今回の記事は難解かもしれません。ただし、軍の活動も情報セキュリティがあってこそ可能となるのでこうした厳しい検証が必要なのですね。なお、レッドチームとは既存の枠組み規制にとらわれず行動を許されるトップ直轄の組織で、技術に長けた専門家が必須です。DoDやDARPAあるいはNSAにはいつでも使える人材がプールされているのでしょう。「文系」偏重の日本の行政組織では手も足も出ず、結局外部リソースに依存するのでしょうね...
Cloud storage graphic. (Getty Images)
今春開始のテストは、Joint Warfighting Cloud Capability 契約の要件ではなく、ペンタゴン CIO の Zero Trust オフィスによる「独立した」実験だと、担当ディレクターが述べている
Zero Trust, but verify (信頼せず実証する): これは国防総省が新しい民間のクラウドプロバイダーに試行する戦略である。
国防総省のゼロトラスト・オフィス責任者によれば、今春から、国家安全保障局のレッドチーム・ハッカー(場合によっては軍のレッドチームも)が、Amazon Web Services、Google、Microsoft、Oracleの各社が運営するクラウドでのゼロトラストのセキュリティシステムに対し数カ月にわたる連続攻撃を開始する。
ゼロトラスト・ポートフォリオ管理室長のランディ・レスニックRandy Resnickは、本日午後、Billington Cybersecurityのウェブキャストで、「レッドチームが侵入してデータを搾取できるかを判断する敵の攻撃となる」と述べた。「ゼロ・トラスト・オーバーレイが正しく実装されているか、非常に良い感触を得ることができるだろう」。
また、「クラウドでゼロトラストを実現できるかどうか、国防総省に提言する道筋を示すものとなる」と述べた。「もし......実際にそれが可能だという結論に達すれば、革命的なことになる」。
なぜこの4社なのか?12月7日に発表されたJoint Warfighting Cloud Capability (JWCC) 契約の対象であり、失敗したJEDIプログラムの後継であったからだ。
「JWCC契約で将来サービスを提供する CSP(クラウドサービスプロバイダ)4社があるので、JWCCと関係なく、4 社にゼロトラストの話題を持ちかけ、こちらのゼロトラストの定義を説明し、各社のクラウドインフラで目標レベルのゼロトラストができると思うかどうか聞いてみたい」と、レズニックは説明している。
ただし、要請であって義務ではないこと、そしてレズニックのゼロトラスト基準はJWCC契約自体の要件ではないことを理解する必要がある。これは、ハイエンドの商用CSPが、国防総省のゼロトラスト戦略で設定された基準をどれだけ早く導入できるかを見るための実験だ。これはレスニックのオフィスが作成した5ヵ年計画で、軍のネットワークを、ファイアウォールを通過すれば誰でもフルアクセスできる境界防御に依存する現状から、すべてのユーザーの行動と認証情報を継続的に監視しダブルチェックする多重防御に移行させるためのものだ。
レスニックは、指定された保護機能少なくとも91項目を必要とする基本的な「ターゲット」レベルまでは実現できると確信している。4社のうち1社以上は、さらに61項目が要求される厳しい「Advanced」レベルへ到達する可能性がある。
ベンダーは、4社とも「ターゲット」レベルを達成できると言っている。「完全なゼロトラストとまではいかなくても、ほぼ全体に近づくことができる 」。
しかし、それは「紙の上」の話だとレスニックは強調している。証明してほしいという。
「私たちが計画しているのは、各社の主張を実際にテストすること」と言う。「今年の春から夏にかけて、あるいはラウンド2に戻るかどうかにもよりますが、秋にも、4つのCSPすべてをテストするつもりです」。
「NSAのレッドチーム、そしておそらくサービスのレッドチームにも攻撃させます」。
なぜか?国防総省がゼロトラストのクラウドを苦労して自前で構築したり、民間企業が既存のサービスにゼロトラストのプロトコルを重ねるのを待ったりするのではなく、軍は既製のクラウドサービスを購入すればよいからだ。例えばJWCC契約に基づいて、ゼロトラスト保護が組み込まれていると完全に確信できればよい。
「ゼロトラストは、基盤の一部として組み込まれている」とレスニックは熱く語る。「ルールやポリシー、ユーザー側の作業はまだ必要ですが、すべてまとめて、私たちが戦略で話しているすべての機能を統合する大変な作業は、すでにほとんど終わっています」。
「ゼロ・トラストの実現で、これは劇的な変化です。リスクを減らせます。コストを削減する。ゼロトラスト移行を大幅に簡略化することができます。
民間CSP4社のレッドチームテストと並行して、NSAは米国サイバー司令部のDreamPort構想の一環として政府が開発したNative Zero Trust Cloud(NZTC)のレッドチームも行う予定だとレスニックは付け加えている。NZTCは、ゼロトラスト保護の「Advanced」レベルの要件をすべて満たすことができるはずで、国防総省に最高レベルのセキュリティを備えた自社製の代替クラウドを提供する。
その目的は、軍隊や防衛機関、その他DoD組織に、拘束力のある選択肢のかわりに、選択肢を豊富に与えることだとレスニックは述べている。ミッションクリティカルな機能には、クラウドへの移行が全くできないものもあるかもしれないという。その場合、ゼロ・トラストプロテクションを既存のオンプレミスシステムに移植する必要があるが、この手間は2027年までかかるとレスニックは予想する。「そのため5カ年計画があるのです」。
DoDの既存システムをゼロトラストにアップグレードすることを、レスニックの戦略&ロードマップでは「行動コースCOA 1」と呼ぶ。COA2は、ゼロトラストのクラウドサービスを民間から購入するもので、JWCC以外に他ベンダーのサービスも利用できる。そして最後にCOA3は、CYBERCOMのNZTCのように、DoD自身が構築・運用するゼロトラスト・クラウドを求めるものだ。
「現在利用中のネットワークの一つひとつを見直す必要があるため、各サービスはCOA1、2、3のいずれかを組み合わせて利用することになるだろう」とレズニックは述べ、「万能のソリューションはありません。柔軟な選択肢を最大限に提供しているのです」。■
NSA red team will attack JWCC providers to test zero trust security - Breaking Defense
on January 19, 2023
