月別アーカイブ: 2023年6月

ゲノムデータのサイバーセキュリティとアクセス制御(前編)

コメントをどうぞ

次世代シーケンサーや再生医療に代表されるバイオ技術/バイオ製造の領域では、電子制御技術/OTと情報通信技術/ITの融合が進む一方、セーフティとサイバーセキュリティの両面でリスクをどのように管理するかが大きな課題となっている。

大統領令で加速した米国のバイオ技術/製造R&D推進策

2022年9月12日、米国大統領行政府は、「持続可能な安全でセキュアな米国のバイオエコノミーのために進化するバイオ技術/バイオ製造に関する大統領令」(関連情報)を発表した(https://www.whitehouse.gov/briefing-room/presidential-actions/2022/09/12/executive-order-on-advancing-biotechnology-and-biomanufacturing-innovation-for-a-sustainable-safe-and-secure-american-bioeconomy/)。この大統領令は、以下のような構成になっている。

第1条.政策
第2条.調整
第3条.さらなる社会的目標に向けたバイオ技術/バイオ製造R&Dの利用
第4条.バイオエコノミーのためのデータ
第5条.活気のある国内バイオ製造エコシステムの構築
第6条.バイオベース製品の調達
第7条.バイオ技術/バイオ製造の労働力
第8条.バイオ技術規制の明確性と効率性
第9条.バイオセーフティとバイオセキュリティの進化によるリスクの低減
第10条.バイオエコノミーの評価
第11条.米国のバイオエコノミーに対する脅威の評価
第12条.国際的な関与
第13条.定義
第14条.一般規定

サイバーセキュリティ/プライバシー保護の観点から大統領令をみると、「第1条.政策」の中で、以下のような政策を掲げている。

(b)バイオ技術/バイオ製造のイノベーションを進化させる生物学データエコシステムを促進する一方、セキュリティ、プライバシー、責任ある研究規範の原則を順守する
(j)脅威やリスク、潜在的脆弱性(外国の敵対者によるデジタル侵入、操作、流出の取組など)を評価、予想することによって、また、技術的リーダーシップや経済的競争力の保護目的で共同してリスクを低減するために、民間セクターおよびその他の主要なステークホルダーと連携することによって、前向きでプロアクティブなアプローチを採用し、米国のバイオエコノミーをセキュアにし、保護する
(k)米国の原則や価値と一貫した方法で、また安全でセキュアなバイオ技術/バイオ製造の研究やイノベーション、製品開発、利用のためのベストプラクティスを促進する方法で、バイオ技術R&Dにおける協力関係を強化するために、国際的なコミュニティに関与する

さらに、「第4条.バイオエコノミーのためのデータ」では、セキュリティ、プライバシーおよびその他のリスク(悪意のある誤用、操作、流出、削除など)を特定し、これらのリスクを低減するためのデータ保護計画を提供するとしている。また、国土安全保障省長官は、国防総省長官、農務省長官、商務省長官(NIST長官を通じて行動する)、保健福祉省長官、エネルギー省長官、行政管理予算局(OMB)長と調整しながら、国家サイバーセキュリティの向上に関する大統領令第14028号(2021年5月12日付)(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/)および関連する法律に従って、連邦政府情報システムに保存された生物学的データ向けの適切なサイバーセキュリティベストプラクティスを特定し、提供するとしている。さらに、商務省長官は、NIST長官を通じて行動し、保健福祉省長官と調整しながら、大統領令第14028号の規定に従って、米国連邦政府に販売するソフトウェア開発向けベースラインセキュリティ標準規格を設定する際に、研究器具、計装機器、データマネジメント向けソフトウェアを含むバイオ関連ソフトウェアを考慮すべきであるとしている。

米国防総省のバイオ推進策に組み込まれたサイバーセキュリティ強化

この大統領令を受けて、国防総省(DoD)は、同月14日、「新たなバイオ技術大統領令は、米国の経済・国家安全保障のために国防総省のバイオ技術を進化させる」(https://www.defense.gov/News/Releases/Release/Article/3157504/new-biotechnology-executive-order-will-advance-dod-biotechnology-initiatives-fo/)と題した声明文を発表している。

その中で国防総省は、バイオ製造向けに総額12億米ドルの新規投資を行うことを発表した。新たなバイオ製造能力は、国防総省の複数のミッション領域に渡る物流課題への取組を支援するとしている。具体的なメリットとしては、以下のような点を挙げている。

  • 脆弱なサプライチェーンに依存することなく、重要な材料を国内で供給する
  • 極超音速機から潜水艦まで、新たな特性を有する材料を開発する
  • 材料やエネルギー製品の開発のために、必要なポイントで製造することにより、物流や再供給のタイムラインを大幅に削減する

また、国防総省は、今後5年間で総額10億米ドルをバイオ産業の国内製造インフラストラクチャに投資し、米国のイノベーターがアクセス可能な国内バイオ産業の製造基盤構築を促進する計画を発表した。これが、民間および国防双方のサプライチェーンにとって重要な製品の製造能力を拡大するための官民連携パートナーシップに対するインセンティブとなるとしている。加えて、これらの施設のバイオセキュリティやサイバーセキュリティのポスチャーを強化するために、総額2億米ドルを投入するとしている。

さらに国防総省は、バイオ技術におけるプロトタイピングや運用の実証、迅速な生産を加速させるために、以下のような施策を踏襲するとしている。

  • バイオ技術ソリューションをミッションのニーズに結びつけて提供する
  • データ共有、標準的なワークフロー、自動化能力を実現する共有基盤により、迅速なプロトタイプのパイプラインを構築する
  • バイオ倫理、バイオセーフティ、バイオセキュリティにおいてリードする
  • 将来に向けて、多様で学際的な労働力を育成する
  • 産業やアカデミック、国際的なパートナーと効果的に連携する

特に、バイオ技術の進化において重要な役割を担うのが、国防総省傘下の製造イノベーション研究所(MIIs)である。ここでは、2016年12月、国防長官府により創設された先進再生製造研究所(ARMI)傘下のBioFabUSA(https://www.armiusa.org/)と、2020年10月に創設されたバイオ産業製造・設計エコシステム(BioMADE)(https://www.biomade.org/)を挙げている。

米国防総省がバイオ製造戦略および付随するRFIを公表

その後2023年3月22日、国防総省傘下の研究工学担当国防次官室は、「国防総省バイオ製造戦略」(https://www.defense.gov/News/Releases/Release/Article/3337235/dod-releases-biomanufacturing-strategy/)を発表した。国防総省のバイオ戦略は、以下の3つの原則より構成される。

  • 早期段階のイノベーションのために移行パートナーを確立する:
    本戦略は、バイオ製造能力を求めるDoD顧客の確立がDoD技術投資を導く。早期段階の科学が、作戦指揮官のミッション達成に役立つような能力の進化を目的としている点を保証するために、正式な要求事項の構築プロセスなどを活用する。
  • イノベーションの実践と適用を通して、バイオ製造を構築する:
    本原則は、国防総省が、バイオ製造業を国内で構築し、同盟者やパートナーとともに、自立した国内バイオ製造エコシステムを構築して、国防上のニーズを満たすだけでなく、現場における米国の継続的な競争力を保証するよう仕向けるものである。
  • バイオ製造エコシステムをマッピングし、将来の国防総省によるバイオ製造R&Dの取組を支援するようなメトリクスを追跡する:
    バイオ製造エコシステムは、比較的新しいため、現行のエコシステムを評価し、構築に合わせて変更を追跡することが不可欠である。それにより、将来の投資を優先順位付けし、導入リスクを低減するのに役立つような知識を提供する。

これと合わせて国防総省は、バイオ製造戦略の支援措置として、国防上のニーズへの取組を支援し、国防総省の投資により開発および商用化の取組が可能となるようなバイオ製造製品およびプロセス能力に関して、正式な情報提供依頼(RFI)(https://sam.gov/opp/8fec24f77b6046c9ae28dc99b2417e42/view)を発出している(募集期間:2023年4月23日まで)。具体的には、バイオ製造に関して、以下のようなソリューションに関する情報を求めている。

  • 国防総省が必要とする特殊化学品・素材(例.バイオ製造燃料およびエネルギー前駆体、スパイダーシルク、ポリマー、天然ゴム/ラテックスゴム、溶媒などの生合成ファイバー)を、利用可能で手頃な方法により製造する
  • バイオ複合・生体材料(例.強化特性を備えた調整可能な素材、自己修復型素材)を通じた、物流の費用、時間、エネルギーの削減を可能にする
  • 持続的な人体及び環境のインテリジェンス(例.水質モニタリング向けセンサー、海事システムにおけるバイオベースのエネルギー採取)のために、一貫したセンシング能力を維持する
  • パフォーマンスや保護に影響を及ぼす人間拡張システム(例.テーラーメイドのタンパク質)
  • 製品パフォーマンスの要求事項を充足または越えながら、環境面のインパクトを低減するような方法で、国防関連材料の製造を可能にする

国防総省がバイオ技術/製造関連企業に求めるセキュリティ調達要件

政府調達時のサイバーセキュリティ基準からみると、国防総省を含む連邦政府機関のサプライヤーとなる企業は、前提条件として、「NIST SP 800-53 連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策」(https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)の遵守が不可欠である。加えて、国防総省は、契約企業および再委託先企業に対して、国防総省調達規則附則(DFARS) の要求事項を遵守するよう求めている。国防総省傘下の教育・研究機関や医療施設とバイオ関連製品・サービスについて契約する企業も適用対象となる。

代表的なDFARSとしては、以下のようなものがある。

DFARSが参照する代表的な標準規格としては、「NIST SP 800-171 非連邦政府組織およびシステムにおけるCUI(管理対象非機密情報)の保護」(https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final)や、サイバーセキュリティ成熟度モデル(CMMI)フレームワーク(https://dodcio.defense.gov/CMMC/)がある。なお、NIST SP 800-171については、現在改訂第3版の改定作業が行われており(https://csrc.nist.gov/publications/detail/sp/800-171/rev-3/draft)、今後の動向を注視する必要がある。

国防総省独自のクラウドセキュリティ認証制度とFedRAMPの関係

クラウドセキュリティに関して、国防総省では、連邦情報セキュリティマネジメント法(FISMA)に基づくFedRAMP(Federal Risk and Authorization Management Program)(https://www.fedramp.gov/)とは別個に、国防情報システム局(DISA)が、国防総省指示に基づく「クラウドコンピューティングセキュリティ要求事項ガイド(SRG)」(最新版は2022年1月14日に発行されたVersion 1, Release 4)(https://public.cyber.mil/dccs/)に準拠した認証制度を運用している。最新版のSRGは、以下のような構成になっている。

1. イントロダクション

1.1 目的と対象読者
1.2 権限
1.3 スコープと適用可能性
1.4 SRGs/STIGs
1.5 SRGとSTIGの配分
1.6 文書改定と更新のサイクル
1.7 文書の構成

2. 背景

2.1 重要な用語
2.2 クラウドコンピューティング、クラウドサービスとクラウドデプロイメントモデル
2.3 クラウドサービスプロバイダー(CSP)とクラウドサービスオファリング(CSO)
2.4 国防総省リスク管理フレームワーク(DoD RMF)
2.5 連邦リスク認証管理プログラム(FedRAMP)
2.6 FedRAMP Plus
2.7 国防総省暫定認証

3 情報セキュリティ目標/インパクトレベル

3.1情報インパクトレベル

4. クラウドサービスオファリングのリスク評価/認証

4.1 エンタープライズ利用向け商用および国防総省以外のクラウドサービスの評価
4.2 国防総省編成&運用部門クラウドサービスおよびエンタープライズサービスアプリケーションの評価
4.3 クラウドサービスオファリングとミッションオーナーのりスク管理
4.4 CSPのCC SRGバージョン/リリースから最新のCC SRGバージョン/リリースへの移行
4.5 RFPへの対応と契約締結に関連する国防総省暫定認証:DFARSの翻訳
4.6 クラウドサービス対マネージドITサービス

5. セキュリティ要求事項

5.1 国防総省のセキュリティ制御関連ポリシー
5.2 法的考慮事項
5.3 継続的評価
5.4 CSPの国防総省公開鍵インフラストラクチャ(PKI)利用
5.5 ポリシー、ガイダンス、運用上の制約
5.6 物理的施設と人員の要求事項
5.7 データ漏えい
5.8クラウドサービスオファリングからの終了のためのデータ検索と破壊
5.9ストレージメディアとハードウェアの再利用と廃棄
5.10 アーキテクチャ
5.11 商用クラウドストレージにおける保存データの暗号化
5.12 バックアップ
5.13 国防総省の契約企業/国防総省コンポーネントのミッションオーナーのパートナーによるクラウドサービスオファリング利用
5.14 クラウドにおける国防総省ミッションオーナーのテストと開発
5.15 ポート、プロトコル、サービス、管理とクラウドベースのシステム/アプリケーション
5.16 モバイルコード
5.17クラウドベースのシステム/アプリケーション向けのレジストリとコネクション
5.18 サプライチェーンリスク管理評価
5.19 電子メールの保護

6. サイバー空間防衛とインシデント対応

6.1 サイバー空間防衛の概要
6.2 クラウドコンピューティング向け情報インパクトレベルの概念変更
6.3 サイバー空間防衛活動
6.4 サイバー空間防衛の役割と責任
6.5 サイバーインシデント報告と対応
6.6 警告、戦術指令と命令
6.7 継続的モニタリング/行動計画とマイルストーン(POA&Ms)
6.8 計画的停止の通知
6.9 サイバー空間防衛目的のPKI
6.10 脆弱性・脅威情報の共有

附表A. 参考文献
附表B. 用語集
附表C. 役割と責任
附表D. 暫定認証向けCSP評価パラメーター値
附表E. プライバシーオーバーレイ比較のコントロール/コントロール強化表と数値表

当初SRGのインパクトレベルは6段階が設定されていたが、現在はレベル2・4・5・6の4段階が使われている。各レベルの概要は以下の通りである。

  • インパクトレベル2:管理対象外非機密情報(FedRAMPモデレートベースライン(MBL)認証)
  • インパクトレベル4:管理対象非機密情報または管理対象外陽機密情報(インパクトレベル2認証+管理対象非機密情報固有のテーラーメイド設定による認証、またはFedRAMPハイベースライン(HBL)認証)
  • インパクトレベル5:管理対象非機密情報および非機密国家安全保障情報(U-NSI)/国家安全保障システム(NSS)(インパクトレベル4認証+国家安全保障システム(NSS)固有のテーラーメイド設定により認証する)
  • インパクトレベル6:機密情報でSECRET扱いの国家安全保障システム(NSS)(インパクトレベル5認証+機密情報のオーバーレイにより認証する)

その他、サイバーセキュリティのベストプラクティスに関連して、米国防総省傘下の国防情報システム局(DISA)は、「セキュリティ技術導入ガイド(STIGs)」(https://public.cyber.mil/stigs/)を公開している。国防総省は、「国防総省指令8500.01」により、DISAに対して、セキュリティ技術導入ガイド(STIG)のほか、コントロール相関識別子(CCI)、セキュリティ要求事項ガイド(SRGs)、そして国防総省のサイバーセキュリティポリシー、標準規格、アーキテクチャ、セキュリティコントロール、バリデーションの手順とともに導入した、一貫性のあるモバイルコードリスクカテゴリ・利用ガイドを構築・維持することを求めている。また同指令は、国防総省コンポーネントに対して、国防総省管轄下のすべてのITが、適用されるSTIGs、セキュリティ構成ガイド、SRGsを遵守するよう求めている。これらの規定は、国防総省向けにバイオ技術/バイオ製造関連製品・サービスを提供するサプライヤー企業にも適用される。

米国立衛生研究所(NIH)で、バイオ技術/バイオ製造領域のサイバーセキュリティに関わる専門家をみると、その多くが国防総省出身者であることがわかる。ミリタリーグレードのサイバーセキュリティ専門家をインハウスに抱えるNIHと同等レベルの体制を、日本国内に構築・運用することは容易でない。ここでキャッチアップできなければ、プラットフォーム力における日米間格差はさらに拡大することになる。日本のバイオテクノロジーは、まさに正念場を迎えている。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

ゼロトラストの2つの成熟度モデルを理解する

コメントをどうぞ

Understanding the Two Maturity Models of Zero Trust
ゼロトラストの2つの成熟度モデルを理解する

本ブログは、CSA本部のブログに公開されている「Understanding the Two Maturity Models of Zero Trust」の日本語訳となります。原文は、こちらを参照してください。本ブログは、著者の許可のもとに翻訳し公開するものです。原文と日本語版の内容に相違があった場合には、原文が優先されます。

Blog Article Published: 05/17/2023
Written by John Kindervag, Senior Vice President, Cybersecurity Strategy, ON2IT Cybersecurity.

ゼロトラストの世界における一番の間違いは、一枚岩的な思考です。一口で象全体を食べることが可能であると信じてしまっていることです。組織の最大の間違いは、すべてのゼロトラスト環境を同時に展開しようとすることです。規模が大きすぎるのです。その結果、すぐに失敗します。このような組織は、ゼロトラストについて考え、議論することにすべての時間を費やしていますが、実際に実行に移すことはできません。

2つ目の関連する間違いは、戦術的に考えすぎてしまうことです。製品や技術にのみ焦点が当たってしまっています。戦略を投げ捨てています。このような技術への過度の集中は、サイバーセキュリティの目的である「何を守る」ということを見失わせます。

このことは、進捗を測定することを難しくしています。私は、サイバーセキュリティの進歩を測る最適な方法は、成熟度であると確信しています。

Forrester Researchに在籍中、私は包括的な企業サイバーセキュリティ成熟度評価プロジェクトに携わりました。その後、私はそれをゼロトラストの最初の成熟度モデルに適応させ、報告書にまとめました: “Asses Your Network Security Architecture with Forrester’s Zero Trust Maturity Model “というレポートです。(注)私がレポートを執筆したのは2016年末ですが、出版されたのは私がForresterを退社した後の2017年です。筆者名のところに私が3番目に記載されているのはこのためです)。

“Asses Your Network Security Architecture with Forrester’s Zero Trust Maturity Model” レポートの最初のページが以下です。

図1

何年もかけて、実際の顧客との関わりの中で、このモデルを改良する機会を得ました。このモデルは、NSTACの報告書の中で体系化されています。Appendix Aをご覧になれば、より深く理解することができます。

簡略化した図が下の図です。これは、最近CSAで行ったプレゼンテーションも含め、モデルを説明する際に使用している図です。

図2

この成熟度モデルは、「ゼロトラスト」の5ステッププロセスに基づいており、プロテクトサーフェス単位でスコア付けされます。カーネギーメロン大学が開発した標準的な5段階の成熟度パラダイムを使用しています。

各プロテクトサーフェスは個別にスコア付けされます。このモデルでは、プロテクトサーフェスとDAASの両方の要素を特定することが必要です。このようにして、成熟度のスコアを管理しやすい一口サイズの塊に分割しています。プロテクトサーフェスとしてディレクトリサービスを使用した例は、NSTACの報告書のAppendix Aに記載されています。

つまり、プロテクトサーフェスが完全に最適化されていれば、最大25点というスコアで採点されることになります。ON2ITでは、このようなことはほとんどありません。

図3

次に、すべてのプロテクトサーフェスを集計して、組織の総合スコアとプロテクトサーフェスごとの平均スコアを定義することができます。この例では、平均成熟度スコアは3.8であることがわかります。また、すべてのプロテクトサーフェスにおける成熟度の分布も見ることができます。この情報をもとに、組織は成熟度の低い特定のプロテクトサーフェスを重点的に強化することができます。

図4

では、新しいCISAゼロトラスト成熟度モデルはどのようにフィットするのでしょうか。この成熟度モデルは、実は5ステップ成熟度モデルにうまく統合されています。両者は補完関係にあると考えたほうがよいでしょう。

図5

私は最近、CISAの本社に行き、CSA Zero Trustの運営委員会のメンバーであるSean ConnellyとJohn Simmsを含む、この文書を作成した数人の人物とこの話題について話し合う機会を得ました。私たちは、5ステッププロセスの各ステップで使用される適切なテクノロジーをどのように定義できるかについて議論しました。

プロテクトサーフェスごとの成熟度モデルとCISA成熟度モデルの間のほとんどのマッピングは、ステップ3:ゼロトラスト環境の構築で行われます。以下は、ON2IT AUXOマネージドサービスポータルでどのように表示されるかの例です。

図6

どのコントロールが実施され、どのコントロールがまだ必要なのかを確認することができます。ポータルサイトでは、プロテクトサーフェスをForrester ZTXフレームワークまたはCISA成熟度モデルにマッピングしたレポートを作成することができます。

ForresterのZTXフレームワークといえば、まさにPillar(柱)成熟度モデルの前身といえるでしょう。Chase Cunningham博士がフォレスター・リサーチに在籍していたときに作成したもので、「プロテクトサーフェスごとの成熟度モデル」を補完するために作られました。この歴史は失われてしまいましたが、フレームワークの意図と、それがどのように “柱” につながったかを理解することは重要です。ChaseとForresterの彼のチームは、称賛に値します。

図7

では、どちらの成熟度モデルを使うのが良いでしょうか?その答えは、両方です。なお、CISAの文書には、「CISAのZTMMは、ゼロトラストへの移行をサポートするための多くのパスの1つです」と記載されています。

多くの組織が「柱のモデル」を文字通りに受け取りすぎており、それが重大な実装の問題につながっています。例えば、ある組織は、左から右へ進めていく必要があると考え、アイデンティティの柱から始めます。組織内のすべてのアイデンティティの問題を解決してから、デバイスの柱に移らなければならないと考えています。しかし、これは不可能なことです。この組織は、ID のアップグレードが必要な数千のシステムがあることを認識します。また、多くの組織と同様に、組織全体で複数の異なるIDソリューションを使用する必要があります。そのため、たとえ 1つのシステムの ID ソリューションを最適化できたとしても(CISA モデルのレベル 4)、すべてのシス テムの成熟度レベルは 1 のままになります。これはおそらく永久に続くことでしょう。

よりシンプルで効果的なソリューションは、1つのプロテクトサーフェスを取り上げ、柱にまたがる既存のコントロールをマッピングし、成熟度のギャップを判断することです。その情報をもとに、組織はプロテクトサーフェスの成熟度を向上させるためのプロジェクトを立ち上げることができます。そして、プロテクトサーフェスの成熟度をCISAモデルにマッピングしたレポートを作成すれば、短期間で進捗を確認することができます。

以上