公的機関向け 
ますます高度化するサイバー攻撃の脅威に連邦政府機関が
ゼロトラストとは、「決して信頼せず、常に検証する」という原則に基づいたサイバーセキュリティのフレームワークです。すべてのユーザー、デバイス、セッションを継続的に検証したうえでアクセスを許可し、維持するものです。 米国連邦政府機関においては、特権アカウントを通じて機密性の高いシステム、インフラストラクチャ、データへのアクセスが可能となるため、ゼロトラストは特に重要です。 米政府機関は、アクセスリクエストを継続的に認証し、最小権限アクセスを適用し、特権アクティビティをリアルタイムで可視化する特権アクセス管理 (PAM) を備えたアイデンティティセキュリティプラットフォームを導入することで、ゼロトラストセキュリティを実現できます。
以下では、米政府機関がアイデンティティセキュリティプラットフォームを活用して特権アクセスを保護する方法、およびKeeper®がゼロトラストの原則を適用し、連邦政府機関およびエンタープライズ環境全体のアクセスを保護する方法をご紹介します。
ゼロトラストセキュリティが米政府機関にとって重要な理由
ゼロトラストセキュリティは、政府機関にとっては単なる推奨事項ではなく、連邦政府によって義務付けられたものです。2021年に発令された大統領令14028号では、各機関に対し、ゼロトラストアーキテクチャの採用を含め、サイバーセキュリティ対策の最新化を指示しています。 2022年に管理予算局 (OMB) が発行した大統領覚書M-22-09では、連邦政府民間機関に対して、特定のゼロトラストセキュリティ要件を満たすことを課し、環境全体で実施するよう命じました。 また国防総省 (DoW) も2022年にゼロトラスト戦略を発表し、2027年9月までに組織全体にわたってゼロトラストサイバーセキュリティフレームワークを完全に導入する計画を示しました。 国防総省が導入に向けて動き出す中、データの可視性、特に非人間アイデンティティ (NHI) とAIエージェントのアイデンティティガバナンス、従来型システムや運用システムに対するゼロトラストの適用には、依然として課題が残っています。 これらの要件と戦略は、従来の境界ベースのセキュリティからデータ中心型モデルへの移行を示しています。
連邦政府の業務環境は現在、オンプレミス、ハイブリッド、クラウドシステムに分散しているため、すべてのユーザー、デバイス、セッションを継続的に検証することが不可欠となります。 連邦政府のシステムは公共サービス、国家安全保障業務、機密データを支えているため、特権アカウントが1つでも侵害されると、横方向の移動、業務の混乱、機密情報への不正アクセスにつながる可能性があります。 ゼロトラストは、政府機関がリスクを軽減し、きめ細かなアクセス制御を強化し、連邦政府による大規模な要件を満たすのに役立ちます。
連邦政府環境におけるゼロトラストセキュリティの柱
サイバーセキュリティ・社会基盤安全保障庁 (CISA) は、ゼロトラスト成熟度モデルにおいて示す5つの柱を通じて、ゼロトラストを定義しています。 ゼロトラストの5つの柱すべてにおいて、PAMがどのような役割を果たすかを以下にご紹介します。
| Pillar of zero trust | What it means for federal agencies | How PAM supports it |
|---|---|---|
| Identity | Verify employees, third-party vendors, contractors, machines and AI agents before granting access | Enforces strong authentication and time-limited, role-based access |
| Devices | Ensure both government-issued and personal endpoints are trusted before granting access | Restricts privileged access on unmanaged or unfamiliar devices |
| Networks | Secure access beyond traditional perimeter-based models | Works with Zero-Trust Network Access (ZTNA) to secure identity-based connections |
| Applications and workloads | Protect access across on-premises, hybrid and cloud systems | Secures sessions and enables credential injection |
| Data | Secure sensitive and classified data | Enforces least privilege and logs all privileged activity |
連邦政府機関がゼロトラストを導入する際に直面する課題
連邦政府機関の環境全体にゼロトラストを導入することは、従来型システム、厳格なコンプライアンス要件、分散型インフラストラクチャといった要因により、複雑な課題となっています。
従来型システムが最新の認証を制限
政府機関の多くは、多要素認証 (MFA) のような最新の認証技術をサポートしていない従来型システムに依然として依存しています。 これらのシステムを更新することは、変更によって重要な業務が中断される可能性があるため、困難でありリスクを伴います。 例えば住民登録や給付金処理を支えるシステムは、多くの場合、最新の制御技術と容易に統合できない古いオンプレミス型インフラで稼働しているため、セキュリティ上の脆弱性が生じ、それが悪用される可能性があります。
複雑なコンプライアンス要件
連邦政府機関は、連邦情報セキュリティ近代化法 (FISMA) などのフレームワークを遵守し、NIST Special Publication 800-63Bに基づく認証要件を満たす必要があります。 また防衛関連組織や請負業者は、国防総省との契約に基づき、管理された非機密情報 (CUI) を保護する業者に対して適用されるサイバーセキュリティ成熟度モデル認証 (CMMC) の要件も満たす必要があります。 最小権限アクセスの証明と監査証跡の維持は、通常、面倒な手動のプロセスであり、多大な時間とリソースを必要とします。
分散型マルチクラウド環境
連邦政府のIT環境は極めて分散化しており、オンプレミスとクラウドプラットフォームにまたがって、遠隔地のユーザーや第三者の請負業者が地域に分散して存在しています。 こうした境界のないアーキテクチャでは、一貫したアクセス制御を維持し、サプライチェーン全体で可視性を確保することが困難になるため、設定ミスや不正アクセスのリスクが高まります。
管理されていない特権認証情報がリスクを増加
特権認証情報により、公共サービスインフラ、金融システム、IDプラットフォームなどの重要なシステムへのアクセスが可能になります。 それが侵害されると、サイバー犯罪者は横方向に移動し、市民の登録情報や健康情報などの機密データにアクセスできるようになります。 幅広い管理アクセス権を持つ特権アカウントが、適切に管理されずに侵害された場合、重要なシステムと機密データのセキュリティを危険にさらす可能性があります。
政府機関向けゼロトラストPAMソリューションのメリット
ゼロトラストによって、ユーザーとデバイスは継続的に検証されることになる一方、PAMによって、特権アクセスが厳密に監視、制御、制限されることが保証されます。 連邦政府機関の環境にゼロトラストPAMソリューションを導入する主なメリットは、次のようなものです。
- 常時アクセスを排除することで攻撃対象領域を低減: 必要な場合にのみ、ゼロスタンディング特権 (ZSP) を介して期間限定でアクセスを許可し、悪用可能なアカウントの数を最小限に抑えます。
- きめ細かなアクセス制御で認証情報ベースの侵害を防止: 最小権限アクセスを強制適用し、特権認証情報を保護し、認証情報の盗難や横方向の移動のリスクを低減します。
- リアルタイムの可視化で継続的なコンプライアンスを実現: FISMA、NIST、CMMCの要件に準拠し、一元化されたセッション監視、監査証跡、レポートを実現します。
- 一元化されたアクセス管理で運用効率を向上: ポリシーの適用とプロビジョニングを合理化し、手作業によるプロセスと人為的エラーのリスクを低減します。
- 安全なハイブリッドおよびマルチクラウド環境: オンプレミス、ハイブリッド、クラウドの各システムに統一されたアクセス制御と可視性を適用します。
Keeperを活用して連邦政府機関のゼロトラストセキュリティを実現する方法
Keeperは、企業向けパスワード管理、シークレット管理、特権セッション管理、エンドポイント特権管理をFedRAMP High認証取得のクラウドネイティブプラットフォームに統合することで、政府機関が重要なシステムを保護し、サプライチェーン全体の特権アクセスを制御できるようにします。
従来型システムと最新システム全体でゼロトラストを強制適用
多くの連邦政府機関では、従来型システムと最新システムが混在して使用されているため、一貫したセキュリティ対策の実施が困難となっています。 Keeperは、Keeperゲートウェイを介した暗号化されたセッション仲介によってこれを実現し、認証情報を公開したり、インフラの変更を必要としたりせずに、安全なアクセスを可能にします。 さらに政府機関は、認証情報をエンドユーザーから見えないようにしながら、ネイティブにサポートされていない従来型の環境を含め、すべてのシステムにMFAを適用できます。 これにより連邦政府機関は、業務を中断することなく、時代遅れの従来型システムにゼロトラスト制御を適用できます。
ジャストインタイム (JIT) アクセスで最小権限を実装
Keeperを使用すると、ジャストインタイム (JIT) プロビジョニングを通じて最小権限アクセスが強制適用されるため、ゼロトラストセキュリティが実現できます。 常時アクセスを付与する代わりに、ロールとコンテキストに基づいて特権が一定期間割り当てられ、不要になった時点で自動的に取り消されます。 これにより、常時アクセスを排除し、内部脅威のリスクを軽減し、サイバー犯罪者が特権アカウントを悪用する機会を最小限に抑えることができます。
特権セッション管理でコンプライアンス遵守を簡素化
Keeperは、特権セッション全体でセッションの監視と記録を行い、画面とキーボードのアクティビティをキャプチャして完全に可視化します。 組織はデプロイメント前に、セッション録画の実施方法が、該当する政府機関のポリシーおよび連邦職員の監視に関する要件に準拠していることを確認する必要があります。 すべての特権アクティビティはログに記録され、SIEMツールと統合できます。KeeperDBは、認証情報のインジェクションを通じてゼロトラスト制御をデータベースアクセスまで拡張します。 ユーザーは、基盤となる認証情報を一切開示することなく、Keeperボルトからデータベースに直接接続できます。 これは、連邦政府機関が機密データを保護し、FISMA、NIST SP 800-53、CMMCへのコンプライアンスをサポートするのに役立ちます。
ゼロトラストネットワークアクセス (ZTNA) を強化
Keeperによって、従来の仮想プライベートネットワーク (VPN) を使用せずにIDベースの接続が可能になり、安全なアクセスを拡張できます。Keeperは、従来のゼロトラストネットアークアクセス (ZTNA) ソリューションに取って代わるもので、ユーザーがどこにいても、システムにアクセスする前にユーザー認証と承認を確実に実行できます。 ZTNAは、PAMと組み合わせることで、システム内のユーザーアクションに対する安全なアクセスと厳格な制御の両方が確保されます。
ゼロトラストをエンドポイントに拡張
ゼロトラストセキュリティは、インフラだけではなく、デバイスにも適用されなければなりません。Keeperのエンドポイント特権マネージャーは、Windows、macOS、Linuxシステムのエンドポイントレベルで、最小権限を徹底させることができます。 永続的かつ広範な管理者権限を排除し、タスクベースの権限昇格を可能にすることで、政府機関は内部脅威のリスクを最小限に抑え、不正な変更を防ぐことができます。
KeeperAIでリアルタイムに脅威を検出
KeeperAIは高度な行動分析を使用してリアルタイムで特権セッションを分析し、疑わしい行動を検出してリスクレベルを分類します。 管理者は、事前に定義したリスクしきい値に基づいて、セッションの終了を含む自動応答を設定できます。また誤検知を最小限に抑え、人間による確認プロセスに役立つ制御機能も備わっています。 リスクの高いアクティビティが検出された場合、KeeperAIでは、潜在的なサイバー攻撃の脅威が拡大する前にセッションを自動的に終了させます。これにより、連邦政府機関はセキュリティインシデントに迅速に対応し、サイバー攻撃の影響を最小限に抑えることができます。
Keeperで連邦政府機関のサイバーセキュリティを強化
大統領令14028号および管理予算局の覚書M-22-09は、ゼロトラストをベストプラクティスとしてではなく、連邦政府の要件として確立しました。 従来型のインフラストラクチャ、分散型クラウド環境、複雑なコンプライアンス環境全体にわたってこれらの要件を満たすには、連邦政府機関のセキュリティのために特別に構築されたプラットフォームが必要です。 KeeperはFedRAMP High認証を取得しており、今日の連邦政府機関および企業環境向けに設計されているため、従来型インフラおよびクラウドインフラ全体で最小権限と安全なアクセスを実現できます。 ぜひデモをリクエストいただき、Keeperがゼロトラストセキュリティの強化と特権アクティビティのリアルタイムでの可視化にどう役立つかをご確認ください。
