米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「CISA Directs Federal Agencies to Secure Cloud Environments|CISA」において、サイバーリスクの軽減に向け、拘束力のある運用指令(BOD: Binding Operational Directive) 25-01を発行した。
この指令により、連邦政府文民機関は特別なクラウドテナントを特定し、評価ツールを導入し、クラウド環境をCISAのセキュアクラウドビジネスアプリケーション(SCuBA: Secure Cloud Business Applications)のセキュア構成ベースラインに合わせることが義務付けられる。
拘束力のある運用指令(BOD) 25-01とは?
運用指令の詳細は「BOD 25-01: Implementing Secure Practices for Cloud Services | CISA」から閲覧できる。CISAの上級管理職(Director)を務めるJen Easterly氏は運用指令について次のように述べている。
脅威アクターは、クラウド環境を標的にし、最初のクラウドアクセスを獲得するための戦術を進化させています。この指令で要求される措置は、連邦政府文民市場へのリスクを軽減するための重要なステップです。この指令は連邦政府文民機関にのみ適用されますが、クラウド環境への脅威はすべてのセクターに及んでいます。私たちはすべての組織にこのガイダンスを採用するように強く求めます。サイバーリスクを軽減して回復力を確保することは、私たち全員が果たすべき役割です。
具体的な取り組み
連邦政府文民機関は指令に従い、次の行動を実施する必要がある。
- 2025年2月21日までにCISA報告手順に従い、テナント名およびテナントごとのシステム所有機関/コンポーネントを提出する。毎年第1四半期にこの目録を更新する
- 2025年4月25日までに対象クラウドテナントのすべてにSCuBA評価ツール「cisagov/ScubaGear」を導入し、指定された方法で継続的なレポートを実施する
- 2025年6月20日までに「BOD 25-01: Implementing Secure Practices for Cloud Services Required Configurations | CISA」で既定された、すべての必須SCuBAポリシーを実施する
- 「BOD 25-01: Implementing Secure Practices for Cloud Services Required Configurations | CISA」に定められたタイムラインに従い、すべての必須SCuBAポリシーを更新する
- 必須のSCuBAセキュア構成ベースライン(SCuBA Secure Configuration Baselines)をすべて導入し、新規クラウドテナントに対して継続的な監視を開始してから、運用承認(ATO: Authorization to Operate)を取得する
本稿執筆時点における必須SCuBAポリシーの一覧には「Azure Active Directory/Entra ID」「Microsoft Defender」「Exchange Online」「Power Platform」「SharePoint Online & OneDrive」「Microsoft Teams」 など、Microsoft 365製品のセキュア構成ベースラインのみが含まれている。今後はGoogle Workspaceや他のクラウドプラットフォームにも拡大する予定とされる。
拘束力のある運用指令(BOD) 25-01は米国の連邦政府文民機関にのみ適用されるが、CISAはすべての組織に対し、指令を採用してクラウド環境の保護およびリスク削減に取り組むことを強く推奨している。
