米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2022年6月23日(米国時間)、「CISA Releases Cloud Security Technical Reference Architecture|CISA」において、米国の民間部門および機関に向けて「Cloud Security Technical Reference Architecture(CS TRA)」をリリースした。
これは企業・組織がITシステムをクラウドに安全に移行できるようにするためのガイダンスで、クラウドベースのサービスを採用する利点や固有のリスク、移行やデータ保護の推奨アプローチなどがまとめられている。
米国の連邦政府は、2021年5月21日に政府のサイバーセキュリティの近代化と戦略に関する大統領令14028「Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの改善)」を発令している。大統領令14028では、サイバーセキュリティに対する政府のそれまでの取り組みを転換し、ゼロトラストの採用を推進するなどといった新しい取り組み、その優先順位などが示されている。CS TRAはこの大統領令14028に基づいたものとなっている。具体的には、クラウドサービスを採用する組織に対して次のような情報およびサポートを提供する。
- 組織がクラウドサービスを安全に移行、導入、統合、維持、運用するためのガイダンスを提供する
- ベンダーに依存しない柔軟で広く適用可能なアーキテクチャを提供する
- クラウド環境、安全なインフラ、プラットフォーム、および省庁の運用サービスの確立をサポートする
- 組織の移行や進化に合わせてソリューションを再構築できる動的なエンジニアリングサイクルをサポートする
- ゼロトラストアーキテクチャの採用を計画している機関をサポートする
CS TRAはあくまでも米国の政府関連機関をサポートする目的でまとめられたものだが、クラウドを採用するすべての組織にとって包括的な内容となっているため、クラウド移行に関わるIT担当者は一読することをお勧めしたい。