国防情報通信局(DISA)の戦略ビジョンの改訂

米国の国防情報通信局がサイバー防衛、クラウドコンピューティング、防衛エンタープライズオフィスソリューションであるの3つのエリアを新しい技術エリアとして特定しました。
国防総省もパンデミックにより、部門の従業員の多くがリモートワークを開始し、サイバーセキュリティのリスクが高まっているようで、ゼロ-トラスト・サイバーセキュリティアーキテクチャに関する会話が加速しているようです。
11月30日付C4ISRにこれに関する記事がありましたので紹介したいと思います。(黒豆柴)

DISA pinpoints three technology areas in revised strategic plan Andrew Eversden 2020.11.30
DISAは改定された戦力計画で3つの技術エリアを特定

国防情報システム局は、改訂された戦略ビジョンを発表(アーティスト/ゲッティイメージズ)

ワシントン—米国国防情報システム局は、月曜日に2021年度と2022年度の改訂された戦略計画を発表した。これは、米国国防情報システム局が「我々の全ての任務目標を達成するために注意を向けるべき」3つの主要な技術分野を特定するものである。
その分野は、サイバー防衛、クラウドコンピューティング、防衛エンタープライズオフィスソリューションである。後者は新しいオフィスツールの契約となっている。これは、2019年に最初にリリースされた2019-2022年度のDISAの戦略計画の第2版である。

「この更新には、急速に変化するグローバルでサイバースペースの状況を特徴とする変化した戦略的環境に照らして、我々の優先順位の更新が組み込まれている。」と序論で述べている。「サイバードメインにおける技術進歩のこの時代において、DISAは、応答性、回復力、安全性、高品質のITサービスを要求するエンドユーザーのニーズを満たすための新しい方法を絶えず模索している。」

ディレクターからの彼女の手紙の中で、ナンシー・ノートン海軍中将は、国防総省がテレワークとCOVID-19パンデミック対応を可能にするためにその最上級のIT戦闘支援機関としてDISAに依存していると述べた。
ペンタゴンの上級IT関係者は、パンデミックにより、部門の従業員の多くがリモートワークを開始し、サイバーセキュリティのリスクが高まり、ゼロ-トラスト・サイバーセキュリティアーキテクチャに関する会話が加速したと語った。

DISAのサイバー防衛戦略の重点分野は、システムにアクセスしようとするユーザーを本質的に信用しないモデルであるゼロトラストを中心としている。
そのアーキテクチャを有効にするために、戦略計画では、DISAがゼロトラストリファレンスアーキテクチャを定義する必要があり、それは、今年の終わりまでにリリースされ、ポリシーを開発し、機能を試験し、実装する予定だとノートン社は語った。

現在、DISAは、国家安全保障局、米国サイバー軍、および国防総省のCIOと協力して、「ゼロトラスト機能をテストするために既存および実現間近の技術を再生する」ゼロトラストラボ環境を開発するために活動している。DISAは又、部内及び商用ベンダーの両方から、脅威情報を使用してネットワーク境界でのサイバー防御を強化することを計画している。このプロジェクトは22年度に完了する予定。

DISAは、クラウドベースのインターネット分離を通じてサイバーセキュリティを強化し、今年初めに1億9900万ドルの他取引機関契約[1]を締結した。

その戦略計画では、地域の防御とエンドポイントのセキュリティを強化することも定めている。
DISAは、統合地域セキュリティスタック[2]を維持するとともに、21年度から22年度にテクノロジーの更新を通じてそのスタックをアップデートする予定である。DISAは、ネットワークセキュリティを強化するサイバーセキュリティプログラムであるComply to Connectプログラム[3]を通じてエンドポイントセキュリティを強化することも計画している。レガシーシステムの廃止とComplyto Connectへの移行は、20年度に開始され、22年度に終了する予定。
DISAはまた、21年度までにエンタープライズパッチ管理サービスを立ち上げる予定であるため、ペンタゴンコンポーネントはソフトウェアの修正を見つけるための集中型プラットフォームを備えている。

クラウドに関して、DISAは、DevSecOpsフレームワーク、DevOpsメトリクスモデル、部門全体の実践コミュニティなど、部門のクラウドミッションの主要なイネーブラーとしていくつかのアジャイルソフトウェア開発活動を強調している。戦略計画には、クラウドベースのインターネット分離ツールを含む、クラウドの3つの主要な取り組みがリストされている。他の2つは、クラウドアクセスとセキュリティ、およびクラウドインフラストラクチャである。
アクセスとセキュリティに関して、DISAは、部門のクラウド環境のエンタープライズIDと認証を確立し、クラウドアクセスとセキュリティ・サービスを「進化」させたいと考えている。

計画は、「この戦略的なタイムフレームの間に、重要な従来のシステムをホストし、古いレガシーコンピューティングシステムを売却し、必要に応じて、クラウドベースの代替システムに移行する」としている。
我々は、新しいミッションクリティカルなアプリケーションを積極的にオンボーディング[4]し、2021年に[秘区分の無いインターネットプロトコルルーターネットワーク]と[秘区分のあるインターネットプロトコルルーターネットワーク]のインフラストラクチャ技術の刷新に向けて取り組んでいる。」

クラウドインフラストラクチャに関して、DISAはmilCloud 2.0をSIPRnetに展開し、国防総省の大幅に遅れたエンタープライズクラウドであるJoint Enterprise Defense Infrastructureクラウドを通じて提供される共通サービスを統合したいと考えている。

最後の領域であるDefense Enterprise Office Solutionは、部門全体でツールとアプリケーションを標準化するために、部門全体でMicrosoft Officeスイートを提供する商用クラウドサービスである。44億ドルの契約は、いくらかの抵抗の後、最近General Dynamics InformationTechnologyと再契約された

「この戦略的なタイムフレームで、我々は、レガシーエンタープライズサービスからDEOSへの移行、およびレガシーサービスの廃止を促進する予定である。」と戦略計画はしている。「これには、米国本土内でのNIPRNetサービスの立ち上げ、テスト、承認及びOCONUSおよびSIPRNetサービスの開始が含まれる。


[1] OTA(other transaction authority)は、連邦調達規制(FAR)ベースの長期間に亘る複雑な調達プロセスを回避するための制度で、特定のプロトタイプ、研究及び生産プロジェクトを実行するために国防総省(DoD)の(10 U.S.C. 2371b)権限を指すために一般的に使用される用語でOTAのガイドラインはhttps://www.defenseacq.com/contract-comparison-why-use-an-other-transaction-authority-ota-contract-vs-federal-acquisition-regulation-far-based-contract/ 参照

[2] データを格納するコンテナの構造を言い、抽象データ型としてのスタックはノード(何らかのデータを持ち別のノードを指し示すことができる構造)のコンテナ(データを集めて格納する抽象データ型の総称)である。データをスタック上の間違った領域に書き込んだり、大きすぎるデータをスタックに書き込んだりしてリターンアドレスが壊されると、プログラムが異常動作することになる。(バッファオーバーラン攻撃など)

[3] 国防総省(DoD)の現在及び新たな運用環境全体でサイバーセキュリティの効率を高めるように設計されたツールとテクノロジーの包括的なサイバーセキュリティフレームワーク。

[4] オンボーディングとは、組織やサービスに新たに加入した人に手ほどきや支援を行い、定着を促したり慣れてもらう活動のこと。