Harnessで連邦政府のゼロトラスト要件に対応

本ブログでは、Executive Order on Improving the Nation’s Cybersecurityの一環として新たに策定されたFederal Zero Trust Strategyと、それを支援するHarnessの取り組みについてご紹介します。

サイバーセキュリティーの脅威が常に進化しているため、サイバーセキュリティーに対する政府のアプローチも適応していく必要があります。従来の境界ベースのセキュリティーのアプローチは、もはや十分ではありません。そのため、バイデン大統領は2021年５月、Executive Order on Improving the Nation’s Cybersecurity（国家のサイバーセキュリティーを改善するための大統領令）を発行しました。新しいアプローチの一部であるゼロトラスト戦略は、覚書M-22-16で提示されました。覚書にはこう記されています：

「Federal Zero Trust Strategyは、最小特権の原則、攻撃対象の最小化、機関の周辺は危険とみなすという前提での保護設計に基づく、サイバーセキュリティーの一貫した企業全体のベースラインを達成するための、機関の優先目標を定義しています。」

連邦政府機関は、2024年度末までにゼロトラストアーキテクチャー（ZTA）を実装し、特定のセキュリティー基準を満たす必要があります。M-22-16覚書の戦略目標は、U.S. Cybersecurity & Infrastructure Security Agency（CISA）が定めた５つの主要な柱と一致しています。

このブログでは、５つの柱をそれぞれ掘り下げて、Harnessが連邦政府機関のM-22-16覚書の戦略目標をサポートするためにどんなことができるかを紹介します。

CISAの柱#１：アイデンティティー

「政府機関のスタッフは、企業が管理するIDを使って、業務で利用するアプリにアクセスします。フィッシング耐性のある多要素認証（MFA）は、職員を高度なオンライン攻撃から保護します。」

Harnessは、主要なIDプロバイダー（IdP）とエンタープライズグレードの統合を行い、当社のRole-Based Access Control（RBAC）に支えられた、DevSecOpsパイプラインや資産を管理するための完全準拠の認証フレームワークを提供します。Harnessは、接続されたIdPから二要素認証（2FA）を利用したり、Harnessプラットフォームで2FAプロバイダーと直接統合したりして、CISAによって指定されたニーズを満たせるのです。

CISAの柱#２：デバイスのインベントリー管理

「連邦政府は、政府用として運用・認可している全てのデバイスの完全なインベントリーを持ち、これらのデバイス上のインシデントを防止、検出、対応できます。」

Harnessはデバイスインベントリー管理ツールではありませんが、Harnessは包括的なテンプレート機能とOpen Policy Agent（OPA）ガバナンスを内蔵しています。OPAを組み込むことで、政府機関は、デバイス管理ツールへの登録と接続に必要な全ツールと手順が、全てのデプロイで確実かつ強制的に実行されることを確認できます。

サービスメッシュやモニタリングエージェントなどのサイドカーサービスは、潜在的な脅威から保護するための追加のセキュリティー層と可視性を提供するため、ゼロトラストアーキテクチャーにとって重要です。

ゼロトラストアーキテクチャーでは、全てのネットワークトラフィックは信頼できないものとみなされ、通信を許可される前に検証と妥当性確認が必要です。このアプローチでは、攻撃者がネットワークに侵入できる、また侵入を試みることを前提としているため、アーキテクチャーの全ての層でセキュリティー制御を実装する必要があります。

サービスメッシュは、ゼロトラストアーキテクチャー内でサービス間通信を管理するための専用レイヤーとして機能します。トラフィック管理、サービスディスカバリー、セキュリティーなどの機能提供によって、サービスメッシュは、許可されたサービスだけが相互に通信できるようにします。これは通常、サービス間の通信の認証と暗号化を提供するTransport Layer Security（mTLS）暗号化によって実現されます。

同様に、監視エージェントは、ネットワークトラフィック、システムパフォーマンス、ユーザーの行動に関するデータを収集・分析することで、追加の可視性とセキュリティーのレイヤーを提供できます。これは、潜在的な脅威や不審なアクティビティーを特定するのに役立ち、管理者はリスク軽減のための適切なアクションを取れるのです。

サービスメッシュの登録と監視エージェントをサイドカーサービスとして実装することで、組織は、新しい脅威に適応し、ネットワークアクティビティーに高い可視性を提供できる、より安全で回復力のあるゼロトラストアーキテクチャーを構築できます。

Harnessは、これらのサイドカーサービスのデプロイを強制することで、この柱をサポートします。

CISAの柱#３：安全なネットワーク

「政府機関は環境内の全てのDNSリクエストとHTTPトラフィックを暗号化し、境界を分離された環境に分割する計画を実行し始めています。」

Harnessプラットフォームは、ユーザーのプライバシーとセキュリティーを優先する包括的なツールです。Harnessこれを実現する方法の１つは、運用に関連する全てのin-transit通信に最新のTransport Security Layer（TLS）を用いることです。TLSは、データを暗号化し、通信当事者の身元を確認することで、ネットワーク上での安全な通信を保証するプロトコルです。このプロトコルにより、機密データが盗聴や改ざんから確実に保護されます。Harnessでは、TLSを活用することで、ユーザーにデータセキュリティーの強化と安心を提供しています。

TLSに加え、Harnessは独自のシークレットマネージャーを提供し、最高クラスのシークレット管理トサービスや保管場所と統合しています。このアプローチにより、ユーザーはコネクタとシークレットを確実に分離できるため、ネットワーク管理が簡素化され、シークレットのスプロール化も解消されます。シークレットのスプロール化とは、多くのシークレットやクレデンシャルが異なるシステムに散在し、それらの管理やセキュリティー確保が困難になるという問題を指します。Harnessは、シークレットマネージャーを使って、トップシークレットマネージメントサービスやボールトと統合することにより、ユーザーがシークレットのローテーションやジャストインタイム（JIT）アクセスなどの最新の認証やトークンプロビジョニング戦略を実装できるように支援し、データセキュリティーをさらに強化します。

シークレットのローテーションには、システムやデータへのアクセスに使われるパスワード、キー、トークン、その他のシークレットの定期的な変更が含まれます。この戦略により、たとえ秘密が侵害されたとしても、限られた期間しか有効でないため、不正アクセスやデータ侵害のリスクが軽減されます。

JITアクセスとは、特定のタスクに必要なときだけ、システムやデータへの一時的なアクセスを許可する方法です。この戦略は、機密データにアクセスできる時間を制限することで、不正アクセスやデータ侵害のリスクを軽減します。

Harnessは、ユーザーがデータのセキュリティーを心配することなく、ビジネスの中核となる目標に集中できるよう支援します。TLS対応のプラットフォーム通信、シークレットマネージャー、最高クラスのシークレット管理サービスと保管場所との統合により、ユーザーは自分のデータが安全で保護されていることを信頼できます。

CISAの柱#４：アプリとワークロード

「政府機関は全てのアプリをインターネットに接続されているものとして扱い、定期的にアプリに対して厳格な実証テストを実施し、外部からの脆弱性報告を歓迎します。」

Harnessは、あらゆるセキュリティーテスト要件に対応する最高クラスのオーケストレーションツールとして、アプリを厳格なテストの対象とする要件をサポートします

Harness Testing Orchestration（STO）モジュールは、セキュリティーを犠牲にすることなく、全てのアプリの脆弱性スキャンが高速に実行されることを保証します。また、STOはガバナンスポリシーを通じてセキュリティーガードレールを提供することで、重大な脆弱性が運用環境に到達するのを未然に防ぎます。さらに、STOは脆弱性の調査結果を重複排除した使いやすいインターフェイスに集約し、スキャンの集約管理を実現します。これらの知見は、継続的インテグレーション（CI）パイプラインにシフトレフトできます。Harnessは、クラウドベースとオンプレミスの両方のインフラにわたる全てのデプロイの完全な監査ログを使って、SDLC全体で自動テストアプローチをサポートします。

CISAの柱#５：データ

「政府機関は、徹底したデータ分類を活用した保護をデプロイするための明確な共有パスを歩んでいます。政府機関はクラウドセキュリティーサービスを使って機密データへのアクセスを監視し、全社規模のログ記録と情報共有を実現しています。」

Harnessは、プラットフォームデータモデルと緊密に統合されたダッシュボード、アラート、レポートツールを提供し、ビジネスリーダーにDevSecOps運用のあらゆる側面の明確で不変の概要を提供します。このデータは他の記録システムにエクスポートできます。

当社のプラットフォームは、JiraやServiceNowなどのチケット発行ツールに対する最上級のサポートも提供し、ソフトウェアデリバリーライフサイクルに関する記録システムを継続的に更新します。

Harnessは、これらのプロセスをテンプレート化してバージョン管理し、組織全体における全パイプラインに適用することで、DevSecOps全体で目的のデータ分類とメタデータのタグ付けアクティビティーを調整・拡張できます。これらは、S3や外部データベースを含む任意のデータや、アーティファクトリポジトリーにプッシュできます。

ZTAのHarnessサポートについてもっと知る

Harnessは、ZTAを実装するための強力なツールです。Harness STOは、セキュリティー規制の要件を満たすと同時に、配信速度を維持し、開発者の負荷を減らして、燃え尽き症候群を防止できるようにします。STOに組み込まれたインテリジェントなエンジンと自動化が、DevSecOpsに関連するアプリのセキュリティーテストに伴う重労働を処理します。これにより、開発者は新機能の追加とリアルタイムでの脆弱性の修正に集中し続けられるのです。また、STOはセキュリティーチームと開発者間の障壁や摩擦を取り除き、共通のZTA目標に到達するための共同プラットフォームを提供します。さらに、セキュリティーチームはパイプラインをガードレールで管理でき、全アプリサービスにわたri完全なアプリセキュリティーダッシュボードビューを得られます。

ゼロトラストをサポートするために必要なセキュリティー、コンプライアンス関連のサービスやインフラの導入・管理について、Harnessがどう役立つかの情報については、今すぐデモをご依頼ください！

この記事はHarness社のウェブサイトで公開されているものをDigital Stacksが日本語に訳したものです。無断複製を禁じます。原文はこちらです。