米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月7日(米国時間)、企業においてモバイルデバイスにゼロトラストセキュリティ・アーキテクチャを適用するためのガイダンス「Applying Zero Trust Principles to Enterprise Mobility」を公開した。

今回公開された文書はドラフトバージョンにあたり、パブリックコメントを募集するという。パブリックコメント期間は2022年4月18日までとなっている。

  • Applying Zero Trust Principles to Enterprise Mobility

    Applying Zero Trust Principles to Enterprise Mobility

ゼロトラストセキュリティは、ITシステムのセキュリティに関して、「決して信頼せず、常に検証する」という姿勢に基づいて設計および実装を行うアプローチである。米国では、2021年5月12日に発行された「大統領命令14028」において、連邦政府のセキュリティ対策を強化する一貫としてゼロトラストセキュリティ・アーキテクチャの採用を推進する方針を明確にしている。

今回作成されたガイダンスはこの方針に基づくもので、モバイルデバイスとそれに関連するエンタープライズシステムに対し、ゼロトラストセキュリティを適用するために必要な事項がまとめられている。このガイダンスを使用することで、組織は現在のモバイルセキュリティ機能を、ゼロトラストのアプローチに合わせて実装することができるという。

このガイダンスは米国の民間行政機関に向けたものだが、エンタープライズ分野においてゼロトラストセキュリティを実践するためのベストプラクティスになっているので、一般組織で適用する際にも参考になるだろう。