米国の連邦機関および省庁は、クラウドサービスに関する新たなサイバーセキュリティ対策を実施することが義務付けられた。
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は12月17日、「拘束力のある運用指令(Binding Operational Directive)25-01:クラウドサービスのための安全な実践の実装」を公表した。これは、連邦機関が自組織の環境内にあるすべての本番または運用中のクラウドテナントを特定し、保護するために講じるべき措置を定めたものである。
本指令は、悪意ある行為者によってクラウド環境が標的とされる事案の増加を受けて発出された。
CISAは、クラウド環境におけるセキュリティ制御の不適切な設定が重大なリスクをもたらし、侵害につながっている点を強調した。
「ベンダーの変更、ソフトウェア更新、そして進化するセキュリティのベストプラクティスが脅威環境を形作る、動的なサイバーセキュリティの状況において、安全な構成ベースラインを維持することは極めて重要である。ベンダーは脆弱性に対処するための新たな更新やパッチを頻繁にリリースするため、セキュリティ構成もそれに合わせて調整しなければならない」とCISAは述べた。
連邦機関向けの新たなクラウドセキュリティ要件
これらの措置は、CISAの「Secure Cloud Business Applications(SCuBA)」プロジェクトに基づくもので、同庁は同プロジェクトから「Secure Configuration Baselines(安全な構成ベースライン)」を策定した。これらのベースラインは、一貫性があり管理可能なクラウドセキュリティ構成と評価ツールを定めている。
本指令の下で連邦機関および省庁が実施しなければならない主な対応は次のとおりである。
- 2025年2月21日までに、本指令の対象範囲内にあるすべてのクラウドテナントを特定し、各テナントの名称および当該テナントを所管する機関/コンポーネント(システム所有機関/部門)を提示する
- 4月25日までに、対象範囲内のクラウドテナント向けにSCuBAの評価ツールをすべて展開し、CISAへの継続的な報告を開始する
- 6月20日までに、CISAが管理する「拘束力のある運用指令25-01 必須構成」ウェブサイトに定められた、すべての必須SCuBAポリシーを実装する
- 「必須構成」ウェブサイトに示された期限に従い、必須SCuBAポリシーの将来の更新をすべて実装する
- 運用許可(Authorization to Operate)を付与する前に、新たなクラウドテナントに対して必須のSCuBA安全な構成ベースラインをすべて実装し、継続的な監視を開始する
- CISAに報告する際、SCuBA評価ツールの出力における逸脱を特定し、その理由を説明する
CISAは、これらの要件への準拠方法に関する支援を提供するとともに、国土安全保障長官、行政管理予算局(OMB)局長、および国家サイバー長官に対し、各機関の進捗状況に関するステータス報告を行う。
本指令は、連邦リスク・認可管理プログラム(FedRAMP)、米国国立標準技術研究所(NIST)の関連ガイダンス、ならびにCISAのTrusted Internet Connections(TIC)3.0クラウド・ユースケースなど、クラウドセキュリティに関する既存の連邦リソースを補完するものである。
CISAは、他のクラウド製品向けのSCuBA安全な構成ベースラインを追加しており、これらは自動的に本指令の対象範囲に含まれる。
翻訳元: https://www.infosecurity-magazine.com/news/cloud-security-federal-agencies/
