バイデン氏のサイバーセキュリティに関連する大統領令を読んで、何をすべきかまだ迷っている人のための7つのヒント

2022年2月28日2023年2月7日

Yubicoは、多くの連邦政府機関や請負業者、規制対象産業のお客様と連携しており、新しいコンプライアンス規制がもたらす課題について理解しています。 5月12日に発表された大統領令は、PIV（個人識別確認）カードやCAC（共通アクセスカード）を使用した認証ができない事例向けの、多要素認証（MFA）への移行を連邦政府が全面的に受け入れたことを示しています。この命令は、政府職員だけでなく、各省庁をサポートする何千もの請負業者にも影響を与えることが予想され、多くの場合、PIVやCACの資格対象にならないことがあります。 YubicoのQuick Takeという記事では、この指令が連邦政府機関、ひいては連邦政府機関と連携する企業に要求している基本的事項を説明しています。サイバーセキュリティ大統領令では、MFAとZero Trust Architect(ゼロトラストアーキテクト)が、連邦政府機関の近代化と安全性を確保するための新しい標準になることを明確に示しています。

サイバーセキュリティとプライバシーを専門とする法律事務所Venable LLPのサイバーセキュリティサービス担当シニアディレクターであるロス・ノダーフト氏は、「政府は、最新の認証基準と技術を活用して、政府機関がゼロトラストアーキテクチャや（ゼロトラストの）環境に移行する際のリスクを大幅に軽減する機会を得ました」と言っています。

しかし、省庁と契約しているか、あるいは省庁との契約を推進している企業であれば、必然的に「さて今回は何をすれば良いのか？」という疑問が生じます。

Venable LLPのテクノロジー部門のマネージングディレクターであり、NSTIC（サイバースペースにおける信頼できるアイデンティティに向けた国家戦略）プログラムのアーキテクトでもあるジェレミー・グラント氏は、「コントラクターやベンダーのコミュニティは、この大統領令の施行を注意深く見守る必要があります」と述べています。「政府に製品やサービスを提供している企業のサイバーセキュリティ対策の強化など、サプライチェーンの安全確保に重点が置かれているため、この業界にも新たなコンプライアンス要件が発生する可能性があります。 MFAはその中心的な役割を担うことになります。」

導入ガイダンスが出るまでは、企業は未知の部分が多いため、計画をたてることができないように感じるかもしれません。各社はどのくらいのスピード感で命令に従うのか？この命令は、特定のタイプの企業に他の企業よりも大きな影響を与えるだろうか? この命令を受けて、各省庁は請負業者にどのような証明書を要求するのか？

新しい要件の実装方法を詳細に説明するガイダンスが発表されるまで、これらの質問への回答は得られません。

以下に、政府機関がサイバーセキュリティ大統領令に記載されている対策を受け入れるために、今日からできることを記載します。

まずは深呼吸。 これは23ページにもおよぶ命令で、多くの場合、情報収集のデューデリジェンス（適正評価）を行う前に即座に対応することは、かえって逆効果になる可能性があります。この命令は、あなたの組織がすでに実施しているはずの確立されたサイバーセキュリティのベストプラクティス次第となります。
自社のデータ、ソフトウェア、管理・統制を確認。請負業者や関連サービスプロバイダー（詳細は国土安全保障省から発表される予定）に対する要件の多くは、ログの保持、インシデントの報告、サプライチェーンの監視が中心となるはずです。そのため、社内でセキュリティ管理と報告がベスト・プラクティスに従っているかどうかを確認する取り組みを始めることに価値があります。機密データがオンプレミスやクラウドのどこにあるか、そして誰がデータにアクセスできるのかを正確に把握していますか？サプライチェーンには誰が関わっているか、強力な認証方法は導入されていますか？ログデータを保持しているか、ログデータを保持しているプロバイダーと連携していますか？これらの質問に対する明確な答えを事前に用意しておけば、政府機関のガイドラインを満たすために有利な立場に立つことができます。また、大統領令のセクション4では、「重要なソフトウェア」の定義と、特に外部ベンダーから購入したソフトウェアに対する適切なセキュリティ対策の確保について言及しています。
あとはプロセスです。 今後数ヶ月の間に、大統領令を進めるための推奨方法についてホワイトハウスに報告書が提出されますが、最終的にどのような結果になるのかは予測できません。規制案の最新情報を入手し、担当機関と緊密に連携することが重要です。最終的なアプローチがどのようなものになるかは正確にはわかりませんが、サイバーセキュリティのベストプラクティスに従っていれば、新しい規制に対応できる状態になるはずです。
省庁のカウンターパートとの連携。省庁も彼らのパートナーと同様に不安な日々を送っています。連絡先に接触して、大統領令の意味するところを話しあってみませんか？この問題に関して彼らの「裏方」となり、彼らが必要とする可能性のある目録やその他の報告書のすべてをあなたから得て揃っていることを確認します。あなたは長い間、彼らと苦労をともにしているのです。「私たちは、連邦政府機関とその請負業者やサプライヤーの両方と密接に仕事をしています」とグラント氏は言っています。「政府機関の同僚が常々言っているのは、最高のパートナーシップとは、新しい政策が企業に課すと思われる要求事項を予測し、創造的な解決策を考えてくれる企業とのパートナーシップだということです。」
これをセキュリティ・ベンダーにとって手っ取り早い勝利として扱わない。目先のチャンスについてではなく、国をより安全にするための長旅です。これを資本投入の新たな棚ぼたとして見たくなりますが、実際には国家の安全保障を改善する本当のチャンスなのです。ただ単にポイントソリューションを導入するのではなく、セキュリティリスクにどう対処するのがベストかを理解するまでの時間を費やすことは、私たち全員にとってはるかに良いことです。ゼロトラストのコンセプトやアーキテクチャの導入は、月単位ではなく、数年、数十年単位で評価される継続的なプロセスです。 MFAには様々な選択肢が並んでいますが、すべてのMFAが同レベルに作られているわけではありません。脆弱なMFAオプションは、ある程度の保護機能を備えているものの、バイパスすることもできます。長い目で見て、現在から将来にかけてのセキュリティ投資に備えて、最強レベルのMFAを検討してみてはいかがでしょうか。
今後の予算サイクルの中に、資金要求を組み込む。 現在の潜在的な資金提供機関は、サイバーセキュリティ、近代化、アイデンティティの要件を満たすために、この命令を活用することができます。それらの機関には、技術近代化基金（TMF）やアメリカン・レスキュー・プラン（ARP）基金なども含まれます。しかし、多くの中小企業にとって、サイバーセキュリティの追加プロジェクトに予算が使えるようになるまでには、しばらく時間がかかる可能性があり、各省庁の予算増額や将来の予算に期待する必要があります。これは、今四半期末までに計画を固める必要がないため、待つ必要があるという意味ではありません。ですが若干の猶予期間はあります。
不確実性を受け入れ、柔軟性がある強力な認証へと移行する。最終的な方向性がわからなくても、あなたは業界が構築しようとしている方向に同調すべきです。数多くのIAM（アイデンティティ＆アクセス管理）プロバイダー、OS、ブラウザと連携するFIDO準拠のセキュリティキーは、省庁がどのようなタイプのMFAに移行するかがわかっている場合に、最大限の対応力を発揮します。 1つのYubiKeyでスマートカード（PIV）認証情報とFIDO認証情報を保持することができ、レガシーインフラと最新インフラをつなぐ強力な認証ブリッジとなります。

われわれは今後もこのサイバーセキュリティに関する大統領令については、新たな報告書や各省庁の報告書の作成日に合わせてフォローアップしていきます。今のところは、業界のサイバーセキュリティのベストプラクティスに照らし合わせて、自社の内部セキュリティ対策を評価し、各省庁の担当者に連絡を取って、この大統領令やサイバーセキュリティの向上についての考えを聞いてみてください。また、6月29日に開催されるラウンドテーブル・ウェビナーThe President’s Cybersecurity Executive Order（サイバーセキュリティに関する大統領令）：ゼロトラストと強力なMFAを実現するために.もご登録をお願いします。

最近発売されたYubiKey 5 FIPSシリーズは、FIPS 140-2、Overall(全般)Level 1(レベル１)およびLevel 2(レベル2)の認証を受け、さらにPhysical Security Level 3(物理的セキュリティレベル3)を達成しています。YubiKey 5 FIPSシリーズは、NIST SP800-63Bで定義されているAAL3（Authenticator Assurance Level 3＝オーセンティケーター保証レベル3）の要件を満たすことができます。新製品「YubiKey 5 FIPSシリーズ」の詳細については、Yubicoのウェブサイトをご覧ください。 このシリーズは、Yubicoストア, Yubicoの専任セールスチーム、またはYubicoが承認したチャネルパートナーおよびリセラーからも購入できます。

2021年以降、認証規格はどのように進化していくのでしょうか?

認証規格の開発は、ゆっくりと流れる曲がりくねった川のようなものです。新しいマイルストーンに到達するためには、しばしば何年もの献身的な作業が必要となりますが、それがセキュリティエコシステム全体の糧となり、企業全体のデジタルワークフローの安全性を支えているのです。この川の恩恵はエンドユーザーには見えないことが多いのですが、CISOや開発者は毎日のように川の健全性について考えています。

Yubicoは彼らのそばにいて、川を監視し、Web認証API（WebAuthn）とClient to Authenticator Protocol（クライアント・トゥ・オーセンティケーター・プロトコル）（CTAP2）の両方を包含する（CTAP2）の両方を包含するFIDO2のような近代的な認証規格の開発において、主導的な役割を果たしています。川のほとりに立っているCISOは、ただ水が流れていくのを見ているだけのつもりはありません。理想的なのは、数年先のスタンダードの方向性を予測しながら、その先を見据えていることです。

今日は、Yubicoの2人のエキスパート、シニアアーキテクトのジョン・ブラッドリー（JB）とスタンダード担当プログラムマネージャーのジョン・フォンタナ（JF）と一緒に、2021年以降のスタンダードの方向性について議論します。彼らは川岸に常駐し、新しい基準の開発やインターネットの安全を守るために「未来に向かって働く」のです。

Q：2021年以降の認証規格の注目点は何ですか？

JF:Webやオンライン・コンピューティングの進化をサポートするために、最終的に統一されるかもしれない規格が次々と登場しています。これらの進化により、使いやすさと強固なセキュリティの両立がようやく実現します。 WebAuthn、FIDO、OpenIDはそれぞれ異なる規格ですが、この傘の下に集まることで、より洗練された企業システムや新たなイノベーションを提供することができます。明日には起こらないかもしれないが、これらはそこに向かっているのです。

ここではWebAuthnが現在の目玉です。第2弾の仕様は、今月初めの4月8日に決定されました。ワーキンググループは、新しいクレデンシャルタイプ、証明書に関連するデータを保存する機能、iframeの使用制限など、いくつかの機能を追加しました。W3CのWebAuthn仕様のFIDO対応版であるCTAP（Client to Authenticator Protocol＝（クライアント・トゥ・オーセンティケーター・プロトコル）2.1は、今年の夏の終わりに予定されており、FIDO2に対応したブラウザやオペレーティングシステムを使用した、パスワードレス、二要素、または多要素認証を定義するものです。

JB:標準が開発されて受け入れられてから、実際に市場で採用されるまでにはタイムラグがあるので、期待を抑えなければなりません。大手ハイテク企業は、標準規格が承認された後、追いつくのに1年かかるのが常ですが、私たちは、標準規格がどのようなものになるかを形作るために、かなり前から貢献したいと考えています。

現在、私たちの認証基準の仕事を形成している最大のトレンドの一つは、リモートワークとハイブリッドワークだと思います。具体的には、現場にいない人を安全にオンボーディングしてクレデンシャルを取得するといったことをどのように解決し、それをどのようにして大規模に実現するかということです。もし、企業がこのように、人に会わずに人を乗せることができ、それを安全に行うことができれば、リモートワークが爆発的に増加している現在、大企業のコストを大幅に削減することができるでしょう。

規格採用を促進するトレンドは他にもあります。つい先日、AppleがWebAuthnを採用し、MacOS 11とiOS 14.3でサポートしたことで、企業や消費者向けのアプリケーションでの採用の可能性が広がりました。

Q：この規格の将来の応用例にはどんなものがありますか？

JF:決済の分野では、多くの標準化作業が行われています。なぜなら、金融機関は、決済プロセスを中断させるようなリダイレクトのない、Webブラウザ内の統合されたフローを求めているからです。 2021年後半には本格的な導入が始まるかもしれません。 3Dセキュアの規格（オープンスタンダードではない「Verified by Visa」(Visaで認証)ツールを思い出してください）も進化しており、このフローを一般的なWebブラウザやプラットフォームに簡単に統合できるようになっています。

JB:バイオメトリクス（生体認証）も検討しています。 CTAP 2.1規格は、生体認証の流れをより良くし、より一貫したユーザーエクスペリエンスを提供するもので、これはYubicoにとっても重要な開発分野の一つです。これらは、第一世代のFIDO2プラットフォームやデバイスでは十分に考えられていなかったことです。

Q: 公共部門のような歴史的に遅れていた業種についてはどうでしょうか？今年、政府機関はPIVやCACを超えて、FIDOやWebAuthnのような最新の認証規格に移行しようとしていると思いますか？

JF:規格に関しては、私たちは常に「未来に向かって仕事をしている」ので、自分たちが知っていること、あるいは知っていると思われること、そして来年や再来年にやってくることを想定して開発しています。米国の政府機関は導入が遅れていて、いまだにPIVやCACの規格、物理的なリーダー、スマートカードに頼っているかもしれませんが、パンデミックやリモートワークへの移行により、多くの政府機関で危機感が高まっています。現在のツール（PIV/CAC）に加えて、より良いツール、特に代替品ではなく、より最新のアーキテクチャと機能を備えたツールが必要です。米国の機関が何ヶ月も停止している間に、ヨーロッパの機関がリモートプロセスをより早く、より少ない労力で稼動させるのを米国も見たのです。ヨーロッパのシステムは、ID証明のようなリモートサービスに対応していました。米国の政府機関は、特定の場所やワークステーションに依存しない、強力なリモートオプションの必要性を明確に認識しています。 NISTや他の機関は、PIVやCACを放棄しているわけではありませんが、より新しい技術をデジタル・アイデンティティ・ガイドラインに組み込む作業を行っています。

JB:米国社会保障庁やIRS(米国国税庁)のような大きな機関、あるいは州の失業給付機関などは、近い将来、市民に大規模に展開できる多要素認証（MFA）オプションを求めています。これにより、多くの政府系需要が発生します。彼らは、先に述べたような、簡単なリモート・オンボーディング・プロセスなど、システムが機能するために不可欠な機能のすべてを求めるでしょう。

認証規格のアジェンダを追っている人は、2021年には多くのことを見ることができるでしょう。ソーラーウインズ社の事件をはじめとする最新の情報漏洩事件や、リモートワークの増加に伴い、標準化が加速し、リモートでの身元証明、迅速なオンボーディングプロセス、合理化された支払いフローへの道が開かれることになるでしょう。これは、リモートワークの時代に向けて、より安全な認証手段を求めている多くのCISOにとって、喜ばしいニュースでしょう。

認証規格に関連した最新の開発情報の入手や、新しいFIDO2やWebAuthnリソースへの早期アクセスをご希望の方は、Yubicoデベロッパープログラムのメーリングリストにこちらからご登録ください。