theNet by CLOUDFLARE

電子行政とサイバーセキュリティがNASIOの優先課題の同列1位に

セキュリティとデジタルサービスにおけるレジリエンスの構築方法

毎年、全米州CIO協会(NASCIO)は戦略的優先事項のトップ10リストを発表しています。予想どおり、2024年もサイバーセキュリティとリスク管理が再び1位に選ばれました。この分野は10年以上にわたり1位を維持しており、容赦ないサイバー攻撃が州や地方自治体に影響を与え続けています。

その中で、デジタル行政サービスがサイバーセキュリティと並んで今年の第1位となり、NASIOは「歴史的初の事態」であると発表しています。デジタル行政サービス(「e-government」サービス)とは、情報通信技術(ICT)を使用して公衆やビジネスコミュニティに提供されるサービスのことです。

NASCIOのエグゼクティブディレクターであるDoug Robinson氏は、1位に並んだこの現象について次のように述べています。「サイバーセキュリティとデジタル行政の2つは、州のCIOにとって重要な問題であり、しばらくの間はこの問題が続くでしょう。」

これに異論を唱える人はほとんどいないでしょうが、優先リストであることを覚えておいてください。1位は1つだけであるべきではないでしょうか?


デジタル行政サービスの現状

ほぼすべてがオンラインで利用可能になっている今、人々は行政に対しても高品質のデジタルサービスを求めています。機関ごとに担当する業務が異なることは関係ありません。政府機関とのやりとりのために、膨大なリストからその機関を探したり、適切なWebサイトを見つけたり、別のアカウントを作成すべきではありません。誰もが、複雑な検索に悩まされたり、プロセスに混乱したり、申請に時間をかけたり、応答に長時間待つなどの「時間税」を負担すべきではありません。しかし、これが現在、この国の大部分の行政サービスの現実です。

州政府および地方自治体はそうした問題を十分に認識しています。一般市民はそのことに気づいていないかもしれませんが、政府のリーダーたちはサービス提供に非常に関心を持っており、実際に行動を起こしています。

例えば、いくつかの州は提供するすべてのサービスへのシームレスなアクセスを可能にするパブリックWebポータルに投資しています。アプリケーションを最新化する際は、最新の人間中心設計の原則を適用して利用者を第一に考えています。シングルサインオンとパスワードレスの多要素認証を組み合わせることで、利用者が単一の資格情報のみ(パスワードなし)を管理すれば良い状態にしています。さらに、AIを活用したデジタルアシスタントを導入し、未来の行政サービスを実現しようとしています。

優れたデジタル体験は、政府に対する信頼の構築に役立ちます。デジタルサービスがNASCIOのトップ10リストで1位にランクインしたのは、この集中的な取り組みが理由です。同時に、セキュリティとプライバシーの実践が不十分であった場合、すべてが損なわれることにつながる可能性があるため、これも優先度の高いものであるため並んで1位にランクインしています。

話を戻して、この結果は本当に予期せぬものであったのでしょうか?もちろんそうではありません。一般市民の視点から見れば、優れたデジタルサービスと強固なセキュリティは別々の優先事項ではありません。これらは同じものです。


組織にレジリエンスを構築する

NASCIOのリストの中で最も驚かされたのはおそらく、「可用性」、「信頼性」、「レジリエンス」といった優先事項がどこにも見られなかったことです。サービスがうまく機能しないことほど信頼を損なうものはありません。

もちろん、可用性は機密性や完全性と並ぶセキュリティの基本的な要素であり、暗黙のうちに含まれていると言えます。しかし、近年は「レジリエンス」という用語が、信頼できるシステムの基盤としてより明確に登場するようになりました。レジリエンスは可用性をお洒落な言い方に変えただけのように聞こえるかもしれませんが、それだけではありません。レジリエンスは、信頼を構築するという重要な問題に光を当てます。NASCIOは、ガバナンス、ユーザーエクスペリエンス、アクセシビリティ、サードパーティのリスクと同じように、それを明示することを検討する必要があります。

企業がレジリエンスを強化するために、米国国立標準技術研究所(NIST)は、信頼できるシステム(第1巻)とサイバー・レジリエント・システム(第2巻)に関する2つの800-160特別刊行物を発行しました。その中に特に重要な引用があり、「信頼性とは、実証された能力であり、逆境に直面しても期待を満たすことを含め、期待を満たすために信頼される事業体の価値です。」としています。言い換えれば、困難な状況下でも一貫して成果を出せば、信頼を獲得できるのです。

システムが遅くなったり、応答しなくなったりすると、状況はすぐに厳しくなります。その原因は、ランサムウェアサービス拒否(DoS)攻撃などのサイバー問題かもしれませんが、予期せぬトラフィックスパイクや人的ミスなどの運用上の問題である可能性もあり、それが本格的な危機に発展する可能性もあります。パンデミックによって全国のビジネスが閉鎖して何百万人もの人々が失業保険の申請システムに殺到し、これが原因となりWebサイトがクラッシュし、重要な給付金の受け取りが大幅に遅れたことは大勢の人の記憶に残り続けています。このような重要な時期での逆境の中での失態は、政府への信頼を損なうことにつながりました。

幸いなことに、デジタルサービスに信頼とレジリエンスを築くためのシンプルなプレイブックがあります。500ページにも及ぶNISTの刊行物を読む必要も、来年のトップ10リストを待つ必要もありません。


州および地方自治体向けの5大優先事項

NIST 800-160シリーズを詳しく読むことをお勧めしますが、サイバーセキュリティとデジタルサービスプログラムにすぐにレジリエンス組み込むための5つの優先事項を以下に紹介します:

  1. DDoS軽減
    攻撃者は、分散型サービス拒否(DDoS)攻撃を使用してサービスを妨害したり、時には単に他の攻撃から注意をそらすために使用します。DDoS攻撃は、多くの送信元から発信されるトラフィックでシステムを過負荷状態にするため、上流のインターネットサービスプロバイダーでさえも阻止することは困難です。しかし、それはもう過去の話です。現在、お客様のデジタルサービスを、DDoS攻撃の特定と阻止に必要な可視性と専門知識を備えた最新のグローバルコネクティビティクラウドに接続することができます。

  2. セキュアDNS
    他のインターネットのコアサービスと同様に、ドメインネームシステム(DNS)はセキュリティを考慮して設計されていません。そのため、攻撃者はその弱点を悪用してサービス品質を低下させたり、ユーザーを悪意あるサイトにリダイレクトしたり、メールを傍受したりすることができます。DNSSEC(Domain Name System Security Extensions)プロトコルなどのDNSの強化策は、DNSリクエストを認証するために進化しましたが、DDoS攻撃に対する防御は提供しません。したがって、最優先事項は高性能DNSサービスにDNSSECとDDoS攻撃対策を組み合わせ、サービスの可用性を高め、DNSベースの攻撃からの保護を確実にする、セキュアDNSソリューションを採用することです。

  3. Webアプリケーション保護
    Webプラットフォームは、絶えず新しい脅威や攻撃手法にさらされています。脅威がOpen Worldwide Application Security Project(OWASP)で定義された既知のものであろうと、新たに出現したゼロデイ脅威ベクトルであろうと、最新のWebアプリケーションファイアウォール(WAF)は、この両方に大規模に対応できなければなりません。資格情報の漏えいチェック、APIの制御、応答内の機密データの検出も、Webアプリケーション保護への総合的アプローチでは重要な要素です。これらの制御は、絶えず変化する脅威環境に合わせて常に更新する必要があります。そのため、これらの新たな脅威を特定し対応するために、広範なグローバルセンサーネットワークによって訓練された機械学習を活用するWAFプロバイダーを検討しましょう。

  4. アプリケーション高速化サービス
    デジタルサービスにおけるユーザーエクスペリエンスの向上には、アプリケーションの設計や人間中心の設計原則に焦点を当てるだけでなく、エンドユーザーに対するコンテンツの可用性と高速化も重要な要素となります。前述のセキュリティ制御に組み込まれている高度なキャッシング機能とコンテンツ管理機能は、これらのシステムのパフォーマンス、レジリエンス、そして最終的には信頼性を向上させるために不可欠な要素です。これらの目標を効果的に達成するためには、高速化とセキュリティが密接に結び付いた分散型のインフラを持つプロバイダーが必要です。

  5. ネットワーク高速化サービス
    サービスノードまたはポリシー実施ポイント(PEP)を相互接続するネットワーク基盤を持つプロバイダーは、レジリエンスに別の側面をもたらします。例えば、ボトルネックが発生した場合、トラフィックを迂回して代替ノードに迂回させることができます。このようにエンドツーエンドのパスを把握し、リアルタイムの状況に応じてリクエストとレスポンスのルートを制御できる能力は、レジリエンスとパフォーマンスに大きく貢献します。グローバルに分散したPEPと、それらを相互接続するネットワークインフラストラクチャを持つクラウドセキュリティプロバイダーを選びましょう。


サービスのレジリエンスを明確な目標にする

NASCIOのCIOの優先事項におけるトップの同列順位は歴史的な出来事かもしれませんが、それは決して驚くべきことではありません。市民へサービスを提供し、信頼を獲得するためには、行政機関には強力なサイバーセキュリティとシンプルなデジタルエクスペリエンスが必要です。しかし、信頼はまた、逆風に直面したときに重要なサービスを常に利用できるようにするレジリエンスにも依存しています。ここで紹介したトップ5の優先事項は、信頼できるデジタルサービスを提供するための大きな一歩となります。

また、2025年の最優先事項を決めかねている州のCIOの皆様にお勧めしたいのは、「デジタル行政の優先事項の中で、特に『レジリエンス』について言及すること」です。これは非常に重要ですが、思ったより簡単に実行できます。

Cloudflareは、米国政府および公共機関に特別に設計されたサービスのスイートを提供しています。これらのサービスにより、企業はエンドポイント、ユーザー、クラウドのセキュリティを強化しながら、高速で信頼性が高くスケーラブルなサービスを構築することができます。サービスは、高いセキュリティとパフォーマンスを備えた、レジリエンスに優れたグローバルなクラウドネットワークから提供されます。Cloudflareを利用することで、企業は複雑化を回避しながらNASIOの両方の優先事項に対処できます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

この記事は当初、GovTech向けに作成されたものです。


このトピックを深く掘りさげてみましょう。

ゼロトラストアーキテクチャへのロードマップ」ガイドでは、連邦政府向けにゼロトラストセキュリティ要件を達成する方法について詳しく説明しています。

著者

Scottie Ray — @H20nly
Cloudflare主任ソリューションアーキテクト

Steve Caimi — @stevecaimi
Cloudflareプリンシパルグローバルアライアンスマネージャー



記事の要点

この記事では、以下のことがわかるようになります。

  • 政府がデジタルサービス強化に向けて取り組んでいる方法

  • 信頼構築にレジリエンスが不可欠な理由

  • サイバーセキュリティとデジタルサービスのレジリエンスを構築するための5つの優先事項


関連リソース


大人気のインターネット関連インサイトの要約を毎月お届けします。