NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例

NIST Publishes New Zero Trust Implementation Guidance

2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。

さまざまなデバイスやロケーションからの、ネットワーク接続が増加する中で、ゼロトラストが提供するものは、従来からの境界型セキュリティ・モデルに代わるアプローチである。

ゼロトラストでは、場所や過去の検証の有無とは無関係に、ユーザーやデバイスは信頼できないものと想定される。そのため、ネットワーク全体で、継続的に厳格な検証/承認が行われることになる。

しかし、このモデルに関する誤解や、ビジネスに短期的な混乱を引き起こす可能性などにより、実装が困難な場合がある。

NIST のコンピュータ・サイエンティストであり、このガイダンスの共著者である Alper Kerman は、「従来の保護モデルからゼロトラストへの移行は、多くの変更を伴うものになる。どのリソースに対して誰が、どのような理由でアクセスしているのかを、把握する必要がある。また、ネットワーク環境は多種多様であるため、すべての ZTA はカスタム・ビルドとなる。そのため、必要な ZTA を構築できる専門家を見つけ出すのは、容易なことではない」と説明している。

ゼロトラスト実装オプション

NIST のガイダンスでは、市販の既製技術を用いて構築された、19種類の ZTA 実装例が示されている。

これらは、NIST における NCCoE (National Cybersecurity Center of Excellence) プロジェクトを通じて開発されたものだ。このプロジェクトには、複数の大手テクノロジー企業を含む、24 の業界関係者が参加している。

NCCoE チームと協力者たちは、大規模組織が一般的に直面するとされる状況を想定し、これらの実装例のインストール/コンフィグ/トラブル・シューティングを作成するために、4年の歳月を費やしてきた。

その成果物で規定されるのは、19種の実装例のベースとなる、複数のゼロ・トラスト・ビルド・タイプである。具体的には、以下が含まれる:

  • 一般的なゼロトラスト:EIG (Enhanced Identity Governance)/SDP (Software-Defined Perimeter)、Micro Segmentation/SASE (Secure Access Service Edge) などの、すべての導入アプローチに適用されるものであり、オンプレミス/クラウドをベースとするサービスとして運用できる。
  • EIG クロール・フェーズ:このアーキテクチャは、主に ICAM と EPP (Endpoint Protection Platform) コンポーネントに依存しており、現在においては、オンプレミスのリソース保護に用途が限定されている。
  • EIG 実行フェーズ:クロール・フェーズとは異なり、このアーキテクチャには ICAM プロバイダーから提供されない、PA/ PE コンポーネントが含まれる。
  • SDP/Micro Segmentation/SASE:SDP/Micro Segmentation および/または SASE 導入モデルに基づくビルド。
  • ZTA ラボ・フィジカル:すべてのビルドのベースとなる、ベースライン・ラボ環境の物理アーキテクチャを表す。
  • Phase 0 ベースライン・セキュリティ機能の導入:Phase 0 に導入される、セキュリティ分析ツールを指す。ベースライン環境の一部として導入される、共有サービスと従来からのセキュリティ・ツールのセットを拡張する。

NIST の Alper Kerman は、 「このガイダンスでは、ZTA の導入方法の例を示し、それらを実装するために必要な、各種のテクノロジーに重点を置いている。それは、独自の ZTA を構築していく、あらゆる組織にとって、基礎的な出発点となるだろう」と述べている。

このドキュメントでは、市販のテクノロジーの使用について言及しているが、NIST/NCCoE による推奨/承認を意味するものではない。

NIST が公開した ZTA 実装ガイダンスですが、ゼロトラスト導入における実践的な知見を提供し、技術の選定/実装の障壁を可視化してくれそうな感じですね。NCCoE による4年にわたる実証は、理論を実装へと橋渡しする、重要な試みだったのでしょう。単一モデルではない ZTA を前提とする、このアプローチに期待したいです。よろしければ、カテゴリ Zero Trust も、ご参照ください。