Skip to content Skip to footer

Loading Results

NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

2020-12-10

2020年8月、米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ(以下、本書)」を正式公開しました。今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました(以下よりダウンロードいただけます)。

ゼロトラスト・アーキテクチャとは概念であり、また十分に成熟した領域とは言えないため、内容を正しく理解することは容易ではありません。ゼロトラスト・アーキテクチャは製品/ベンダーによって多様な実現方法があるのが実態ですが、対応したソリューションの1つを導入したとしても、ゼロトラスト・アーキテクチャを実現できる訳ではありません。

本書のポイントとして、ゼロトラストの定義や7つの理念を紹介している点が挙げられます。この定義と理念をNISTが整理したことで、ゼロトラストに関する共通認識形成が大いに促進されることが期待されます。2011年にNISTがクラウドコンピューティングを定義したことでクラウドが世界中に一気に普及したように、本書はゼロトラスト・アーキテクチャのグローバルスタンダードになり得る影響力を有する文書だと言えるでしょう。

また、本書の筆頭執筆者であるScott Rose氏に執筆にかける想いをインタビューで伺いましたので、その内容も以下で紹介しています。

ゼロトラストの考え方

NISTは、ゼロトラストの考え方を以下の7点にまとめています。概念的な内容ではありますが、根底に流れる理念を示したものであり、ゼロトラスト・アーキテクチャの構築を検討する上で非常に重要な内容です。

ゼロトラスト・アーキテクチャの特徴として一般的に「組織が持つリソースにあらゆるネットワークからのアクセスが必要な場合に用いられる」、「ネットワーク境界による静的(スタティック)なアクセスコントロールではなく、アクセスごとに動的(ダイナミック)に検証が必要」、「セキュリティ動作に関する情報を常に監視し、測定する」ことが挙げられますが、本書の7つの考え方は以下の通りリンクしていることが分かります。

  • 組織が持つリソースにあらゆるネットワークからのアクセスが必要な場合に用いられる:①、②
  • ネットワーク境界による静的(スタティック)なアクセスコントロールではなく、アクセスごとに動的(ダイナミック)に検証が必要:③、④、⑥
  • セキュリティ動作に関する情報を常に監視し、測定する:⑤、⑦
また、本書では、ゼロトラストの中核となる論理コンポーネント、つまりネットワークアーキテクチャが図で表現されています。まず、アクセス要求元(ユーザー、アプリケーション、デバイス)は、「主体」(サブジェクト)と表現されています。主体が企業リソース(データやアプリケーション)にアクセスする際、ポリシー実施ポイント(PEP)を経由して、ポリシー決定ポイント(PDP)でアクセス許可が判断されます。アクセス承認後は、企業リソースに対して最小限のアクセス権限が提供されます。

本書の構成やゼロトラストの考え方、アーキテクチャのイメージを理解した上で、本書をご活用いただけると幸いです。

執筆者インタビュー

PwCコンサルティングは、本書の筆頭執筆者であるScott Rose氏に、執筆にかける想いを伺いました。

【本書を発行した目的を教えてください。】

企業のITアーキテクトやセキュリティの専門家が「ゼロトラストの原則」を理解する際に役立つガイドを作成したかったのです。ゼロトラストは、サイバーセキュリティにおいて発展途上の概念ではありますが、多くの企業や米国連邦政府の機関から、クラウドサービスやモバイル環境などへの高まるニーズへの解決策として注目されています。

本書をSP800シリーズとして公表した理由は、NIST SP 800-145(NISTによるクラウドコンピューティングの定義)やNIST SP 500-292(クラウドコンピューティングのリファレンスアーキテクチャ)と同じように共通認識形成の役割を提供するものと考え、特別刊行物(SP:Special Publication)として公表しました。

【本書の公開後、読者からの反応はいかがでしたか。】

肯定的な反応をいただいています。多くのITアーキテクトやセキュリティベンダーが、定義と概念の「共通言語」として本書を活用し始めています。これにより、ベンダーおよびユーザー側の管理者は、共通の定義と概念を使用できるようになります。例えばベンダーは、製品の役割について、本書を参照しながら以下のように説明することができます。

例)

  • 本製品はポリシーエンジン(PE)またはポリシー実施ポイント(PEP)として機能します
  • 本製品を使用して、マイクロセグメンテーションベースのゼロトラストソリューションを確立できます など

【日本の読者へのメッセージをお願いします。】

ゼロトラストに関して最初に覚えておくべきは「ゼロトラストは完全に新しい概念ではなく、長年にわたるサイバーセキュリティの考え方とアイデアが進化したもの」ということです。また、ゼロトラストは概念とアイデアの集合体であり、組織によってシステム構成が異なることから、単一のアーキテクチャにはなり得ません。ユーザーやシステムから学んだフィードバックに基づく絶え間ない改善も求められます。ゼロトラストに関連する概念や機能の役割を説明する際に本書を多くの方がご参照され、ご活用いただけることを願っています。

ゼロトラストに関するインサイトについては以下もご覧ください。

<インサイト>国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021

<インサイト>ゼロトラストへの移行に際する検討・留意事項

<インサイト>ゼロトラストの実現に必要な機能および構成の例

執筆者

上杉 謙二

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}