米国政府をサイバーセキュリティ脅威から守る「CDM」って何?

米国政府機関の情報セキュリティレベルを上げる取り組みとして、CDM(Continuous Diagnostics and Mitigation; 継続的な診断および軽減)というプログラムが遂行されています。本記事では、このCDMについて概説します。

CDMの目的

米国政府が持つネットワークは非常に巨大で複雑なものです。さらにネットワーク上には古いソリューションが散見されるなど、安全性の担保が課題となっていました。そのため、米国の全ての公的機関を守り、リスクベースで一貫性があり、費用対効果の高いサイバーセキュリティソリューションを提供する政府の取り組みを支援するべく、策定されたのがCDMです。実際に米国政府では、このCDMに沿って情報セキュリティ対策が進められています。

The CDM Program was developed in 2012 to support government-wide and agency-specific efforts to provide risk-based, consistent, and cost-effective cybersecurity solutions to protect federal civilian networks across all organizational tiers. [1]
CDMプログラムは2012年、全ての組織改装に渡る連邦民間ネットワークを守るため、リスクベースで一貫性があり、費用対効果の高いサイバーセキュリティソリューションを提供するという政府全体や各組織での取り組みを支援するために策定されました。

CISAでは、CDMプログラムの目的について以下の4つを挙げています。

  • 直面する脅威の削減
  • サイバーセキュリティに対する姿勢の可視化
  • サイバーセキュリティへの対応能力の強化
  • 連邦情報セキュリティマネジメント法 (FISMA:注1)報告書の合理化

また、CDMプログラムを実行することにより、以下の8つの効果が生じるとしています。

  • 資産把握の自動化促進
  • 正確性、報告、リスク管理の意思決定、インシデント対応の4つの質向上
  • 準リアルタイム監視とリスク対応の強化
  • 監視と認識の改善
  • ネットワークシステムの理解や監視、脅威のある状態からの回復に必要なリソースの削減
  • 組織がCDMのための自動化ツールを入手するための資金調達を一元化
  • FISMA(注1)やその他サイバーセキュリティに関する政令や指導の順守を合理化
  • 各組織内や連邦政府全体での視認性の向上

総合して、CDMは組織のセキュリティレベルを効率的に向上させ、合理化することで維持しやすくするものであるといえるでしょう。

CDMの5つの機能と役割

CDMは、以下の5つの機能により階層的に構成・実装されています。ここでは1つずつ概説していきます。

CDM Program Areas

図1 CDM Program Areas ([1]より引用)

ダッシュボード

保護状況を可視化するものです。管理者はダッシュボードにより、以下の4つの機能について、どのような状況であるかを認識することができます。

資産管理

ネットワーク上に何があるのかを管理するものです。資産管理は、以下の5つの機能を有します。

  • ハードウェア管理
  • ソフトウェア管理
  • 設定値管理
  • ソフトウェアの脆弱性管理
  • エンタープライズモビリティ管理(EMM; 携帯端末を管理する企業向け製品)

資産管理機能は組織のネットワークに位置またはアクセスできるハードウェアとソフトウェアを識別します。一度資産が識別されると、CDMが提供するツールはその資産が資産目録に登録されているか検証し、同時にその資産が持つ脆弱性と構成上の問題をチェックします。また資産管理機能は承認されたデバイスやソフトウェアの資産目録の作成や管理、またソフトウェアのバージョンを最新に保つことについて支援します。

認証・接続管理

誰がネットワークを利用していて、どのような権限を持っているのかを管理することができます。主に以下の4つが可能となります。

  • アカウント/アクセス/特権管理
  • アクセス権を持つユーザの信頼性判断
  • 資格情報と認証情報
  • セキュリティに関する行動訓練

認証・接続管理機能を使用すると、政府機関はIDを検証して、適切な個人が適切なタイミングでリソースや情報にアクセスできるようになります。

ネットワークセキュリティ管理

ネットワーク上で何が行われているのか、および、どのようにネットワークが守られているかを管理するものです。ハッキングや悪用、セキュリティへの権限のない変更に対応するのに役立ちます。主に以下の5つを監視します。

  • ネットワーク上での振る舞い
  • ファイヤーウォール
  • 暗号化・復号されたデータ
  • VPN接続
  • ポートとプロトコル

この機能により、迅速なインシデント対応手順の構築や、潜在的な脅威ベクトルの認識、攻撃対象領域の削減が可能になります。

データ保護管理

どのようにデータが保護されているかを管理するものです。以下の5つの機能に分けられます。

  • データの発見と分類
  • データの保護
  • データ損失防止
  • データ侵害/データ漏えいの阻止
  • 権利の管理

データ保護管理機能は以下の6つの手順でデータを保護します。

  1. 機密データ資産を特定する
  2. そのような資産の重大度と影響を分類する
  3. 個人データを保持できるロール、ユーザー、ポリシーを特定する
  4. データ資産の侵害に関する情報の収集と報告をする
  5. ステークホルダーに情報侵害や情報漏えいについて通知する即時対応プロセスと、攻撃からの効果的な回復方法を構築する
  6. FIPS-140-2(注2)やデータの難読化といった標準的な暗号化制御とメカニズムを実装する

米国政府におけるCDMの取り組み

米国政府機関がCDMに基づくツールを使用し始めると、当初の想定よりも多くの端末がネットワーク上に存在していることがわかったそうで、その数は最大で想定の2倍にも及んだそうです。CISAはCDMの適用により、広大なネットワークの状況把握が可能になり、より強固な脆弱性対応体制を整えることができるようになると述べています。

By implementing CDM capabilities, agencies are better equipped to address vulnerabilities due to vast improvements in situational awareness across their networks. [1]
CDMの機能を適用することで、ネットワーク上の状況把握が大幅に改善することにより、より良い脆弱性対応体制を整えることができます。

長年の取り組みのより、米国政府ではフェーズ1(ネットワーク上に何が接続されているかがわかる)およびフェーズ2(ネットワーク上に誰が接続しているかが明らかになる)が完了し、フェーズ3(ネットワーク上で何が起きているかを把握する)が進行しているとのことです。

まとめ

CDMは米国政府向けに発案された大規模な組織がセキュリティレベルを向上させるためのプログラムですが、その思想は実にシンプルです。特にセキュリティレベル向上におけるフェーズ分けは洗練されているため、小さな組織であっても十分活用できるものだと感じました。CDMを参考に、今一度セキュリティ対策を見直してみてはいかがでしょうか。

注釈

  1. FISMA: 連邦情報セキュリティマネジメント法

    2002年12月に制定された「電子政府法」のタイトルIII 「連邦情報セキュリティマネジメント法(FISMA)」 は、各連邦政府機関に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。 また、同法は、NIST(米国国立標準技術研究所)に対しては、連邦政府がFISMAに準拠するための支援をすることを義務付けています。[3]

  2. FIPS-140-2: 米国連邦情報処理規格 140-2[4]

参考文献