セキュリティ

ゼロトラスト考察 – NIST SP 1800-35 (2nd Preliminary Draft)

木村滋
2023年9月20日

ここ数年の一般企業・組織のデジタル化の加速および、最新のサイバーセキュリティに対する標準的アプローチとして定着している「ゼロトラスト」を再度取り上げたいと思います。

これまで「ゼロトラスト」とは何か？ゼロトラストの標準は何か？を説明・定義した文書では、NIST (National Institute of Standards and Technology, NIST, アメリカ国立標準技術研究所) から公開された「SP 800-207: Zero Trust Architecture (ZTA)」が初期に多く参照されてきたものと認識されています。これは、サイバーセキュリティの高度な専門家だけでなく、IT管理者、企業ITの高度化担当者、ネットワーク、セキュリティ管理者に対しても繰り返し参照されるドキュメントでした。

その後、アメリカ連邦政府関連機関に対してゼロトラストのサイバーセキュリティ原則を採用する支援のため、CISA (Cybersecurity and Infrastructure Security Agency) より、「Zero Trust Maturity Model」が、また NSA (National Security Agency) より、「Advancing Zero Trust Maturity Throughout the User Pillar」が発行されてきました。

2023年9月現在にて、NISTでは、この「SP 800-207 Zero Trust Architecture（ZTA）」の原則を踏襲した、主に具体的なゼロトラストのシステムをどのように企業システムに適用・実装していくか、を目的とした NIST「SP 1800-35 Implementing a Zero Trust Architecture （2nd Preliminary Draft）」にてこれを構成する一部の第三段のドキュメントアップデートも含め、ドラフト版として公開しています。この記事ではこのドキュメントの内容について整理していきます。

ドキュメントの位置付けと構成

NIST SP 800-207 の概念と原則に準拠した相互運用可能なZTA (ゼロトラストアーキテクチャ) について、ゼロトラストソリューションに関連する製品ベンダーから調達することが可能な製品の組み合わせにより、自社システムへ実装し、構築する方法をまとめることが目的になります。

SP 1800 – 35 では、一連の公開ドキュメントの中で、自社のゼロトラストシステムの実装に関わる各種役職・役割の目的別に、A〜Eで構成される5つの異なるドキュメントに分割され、それぞれ構成されています。

NIST SP 1800-35A： エグゼクティブサマリ
NIST SP 1800-35B： アプローチ、アーキテクチャ、特性
NIST SP 1800-35C： 製品のインストール、構築ガイド
NIST SP 1800-35D： 実装例、実証結果
NIST SP 1800-35E：推奨実践文書

A：ガイドの推進要因、課題解決のポイント、アプローチに触れる、意思決定者向けのドキュメント
B：テクノロジ、サイバーセキュリティのプログラムマネージャ向け、アプローチ、アーキテクチャ、セキュリティ効果の特性を把握できるドキュメント
C：ITエンジニア向け、How-to-Guide、インストール、構成手順が含まれる
D：同じくITプロフェッショナル向け、実証結果のデモンストレーションが含まれる
E：プライバシー担当者向け、リスクを特定、理解、評価、軽減する方法

経営者への意思決定訴求ポイントのまとめ、さらにシステム企画や導入に関する具体的アプローチ、さらに具体的導入手法、導入後の正常運用確認方法、等に関する幅広い企業関係者へのリファレンスをまとめた構成になっています。特に前半はゼロトラスト実装に共通した現実的な手法に関するドキュメントとして関係者に一読いただきたいと思います。

コラボレーター（協力企業）リスト

ゼロトラストソリューションベンダーとして導入に利用できる製品を展開しているコラボレータのリストが公開されています。当然の事ながら、この構成ガイドの作成のためにはソリューションベンダーだけではなく、NIST の共同研究者や学術関係者も多くもメンバーに含まれています。35B は最新ドキュメントは 2023年7月に Draft3 としてアップデートされました。現時点で Draft2 からコラボレータの増減はありません。以下はこのドキュメントに含まれる協力企業です。

Appgate, IBM, Ping Identity, AWS, Ivanti, Radiant Logic, Broadcom Software, Lookout, SailPoint, Cisco, Mandiant, Tenable, DigiCert, Microsoft, Trellix, F5, Okta, VMware, Forescout, Palo Alto Networks, Zimperium, Google Cloud, PC Matic, Zscaler

構成コンポーネントの定義

このドキュメントで利用される商用ツールの、必須コンポーネントを「コアコンポーネント」、コアコンポーネントをサポートし理想的なゼロトラストを構成するためのオプショナルなコンポーネントとして「サポーティングコンポーネント」が定義されています。

“Core” コアコンポーネント

ZTA Policy Engines (PE)
ZTA Policy Administrators (PA)
ZTA Policy Enforcement Points (PDP)

コアコンポーネントは、SP 800-207 3.1 章のゼロトラスト論理アーキテクチャで説明される、ゼロトラストコントロールプレーンのコンポーネントである、「ポリシーエンジン (PE) 」と「ポリシーアドミニストレータ(PA) 」、ゼロトラストデータプレーンのコンポーネントである「ポリシー矯正ポイント (PDP) 」が含まれます。

“Supporting” コンポーネント (35B Draft3)

ICAM : identity, credential, and access management
Endpoint Security
Data Security
Security Analytics
Resource Security

サポーティングコンポーネントの機能カテゴリは、CISAやNSAのモデルの考え方に似ています。

SP 1800-35 で全体的なシステムを構成する中で、これら以外にも、ユーザ端末やITアプリ・サーバなど、ゼロトラスト関連ソリューション以外のあらゆる、IT設備・機器、保護対象資産といったコンポーネントも含まれます。設計・導入されるシステムに対して正しく稼働確認ができているかどうかをチェックするために、1800-35Dのドキュメントが参考になります。ここでは、機器の正常稼働を実証するコンソールのログ、運用が正しく行われているダッシュボードキャプチャも含まれます。

ゼロトラストアーキテクチャ実装の想定シナリオとスコープ

現在のIT実環境の一般的・標準的な利用を想定したシナリオが定義されています。

権限の異なる、正規従業員と、契約業者、ゲストといった権限をコントロールできる
社内ネットワーク、テレワーク＆インターネットといった、ハイブリッド環境からのリソースアクセス
リソースはクラウドサービスも含まれる
端末は、社給デバイスと、BYOD利用
可視化機能に基づいた動的なゼロトラストエンジンとして機能

SP 800-207 3.1.1 章のゼロトラストアーキテクチャアプローチの中の「拡張IDガバナンス (EIG) 」にまずは注力して対応することを目的としています。これは「被験者のアイデンティティとデバイスの健全性」に基づいたアクセス制御を行うことです。マイクロセグメンテーションなどは拡張解釈となっており、限定的な情報が組み込まれる予定とされています。