Microsoft Entra ID を使用した覚書 22-09 の ID 要件を満たす
国家のサイバー セキュリティの強化に関する行政命令 (14028) では、連邦機関に、連邦政府のデジタル インフラストラクチャに対するサイバー攻撃が成功するリスクを大幅に削減するセキュリティ対策を進めるように指示しています。 2022 年 1 月 26 日、行政管理予算局 (OMB) は、エグゼクティブ部局長向けの M 22-09 覚書で、行政命令 (EO) 14028 をサポートする連邦政府ゼロ トラスト戦略を発表しました。
この記事シリーズでは、覚書 22-09 で説明されているゼロ トラストの原則を実装する際の一元化された ID 管理システムとして Microsoft Entra ID を採用するためのガイダンスを示しています。
覚書 22-09 は、連邦政府機関でのゼロ トラスト イニシアチブをサポートしています。 ここには、連邦政府のサイバーセキュリティおよびデータ プライバシーに関する法律に関する規制ガイダンスを示しています。 この覚書では、次のように、米国国防総省 (DoD) ゼロ トラスト参照アーキテクチャを引用しています。
"ゼロ トラスト モデルの基本的な信条は、セキュリティ境界の外部または内部で動作しているどのアクター、システム、ネットワーク、サービスも信頼されないことです。代わりに、アクセスを確立しようとしているすべてのものを検証する必要があります。これは、インフラストラクチャ、ネットワーク、データをセキュリティで保護する方法の理念における、境界での 1 回の検証から、各ユーザー、デバイス、アプリケーション、トランザクションの継続的な検証への劇的なパラダイム シフトです。"
この覚書では、サイバーセキュリティ情報システム アーキテクチャ (CISA) 成熟度モデルを使用して整理された、連邦機関が達成しなければならない 5 つの主要な目標を明示しています。 CISA のゼロ トラスト モデルでは、5 つの補完的な取り組み領域 (重要な要素) が記述されています。
- ID
- デバイス
- ネットワーク
- アプリケーションとワークロード
- Data
これらの重要な要素にまたがる内容は次のとおりです。
- 可視性
- 分析
- Automation
- オーケストレーション
- ガバナンス
ガイダンスのスコープ
この一連の記事を参照して、覚書の要件を満たすための計画を立ててください。 前提となるのは、Microsoft 365 製品と Microsoft Entra テナントの使用です。
詳細情報: クイックスタート: Microsoft Entra ID で新しいテナントを作成する。
この記事シリーズの説明には、覚書の ID 関連のアクションと整合性がある Microsoft テクノロジへの機関投資が含まれています。
- 機関は、機関ユーザー向けに、アプリケーションや一般的なプラットフォームに統合できる一元化された ID 管理システムを採用します
- 機関は、企業全体にわたる、強力な多要素認証 (MFA) を使用します
- MFA は、ネットワーク層ではなくアプリケーション層で適用されます
- 機関スタッフ、請負業者、パートナーの場合は、フィッシング対策 MFA が必要です
- パブリック ユーザーの場合は、フィッシング対策 MFA はオプションです
- パスワード ポリシーでは、特殊文字や定期的なローテーションは必須ではありません
- 機関は、リソースへのユーザーのアクセスを認可する場合、認証されたユーザーに関する ID 情報と共に、少なくとも 1 つのデバイス レベルのシグナルを考慮します