ゼロトラストのガイドライン「NIST SP800-207」を紐解く

ゼロトラストのガイドライン「NIST SP800-207」とは？

昨今、法人組織の重要な資産へ正規の認証情報を持つユーザやデバイスであっても、アクセスを無条件に信⽤せず、全デバイス、ユーザ、ネットワークを監視して、認証・認可を⾏い、アクセスを制御し、信頼できない限り一切の活動を許可しないというサイバーセキュリティの重要な考え方の1つである「ゼロトラスト」が注目を集めています。

2020年8月、米国国立標準技術研究所（NIST）がゼロトラストを実現するために参考となるガイドライン「NIST SP800 207 Zero Trust Architecture（以下、NIST SP800-207）」を発行しました。本ガイドラインでは、ゼロトラストの基礎知識や実装方法などが纏められています。本稿では、「NIST SP800-207」のポイントを解説します。

NIST SP800-207は7章、全50ページで構成されるガイドラインで、主な対象は、法人組織のサイバーセキュリティ管理者、ネットワーク管理者です。内容はゼロトラストの考え方や前提条件、ゼロトラストの構成要素、導入シナリオ/ユースケース、ゼロトラストに関連する脅威、ゼロトラストと既存の連邦ガイダンスとの連携の可能性、ゼロトラストへの移行等について記載されており、ゼロトラストの基本的な概念を理解したい組織から、実際にゼロトラストという考え方に基づいたセキュリティ技術を実装したい組織まで、幅広く役立つ情報が盛り込まれています。

「NIST SP800-207」で解説しているポイント

＜1章：序章＞

序章はゼロトラストの歴史について言及しており、境界型防御の限界によるゼロトラストの成り立ちについて理解することがポイントです。
近年、リモートワークの導入やクラウドサービスの利用等で、セキュリティ上の脅威を社内ネットワークと外部ネットワークの境界線で食い止める境界線防御の対策だけでは法人組織を保護することが難しくなりました。法人組織は法人組織の重要な資産へ「正規の認証情報を持つユーザやデバイスであっても」アクセスを無条件に信⽤せず、全デバイス、ユーザ、ネットワークを監視して、認証・認可を⾏い、アクセスを制御するゼロトラストという考え方に則りサイバーセキュリティの対策を行っていく必要性が述べられています。昨今のサイバー攻撃において、正規ユーザのアカウントを事前に奪取し、正規アカウントを用いて不正にログインすることもあり、一度正規のユーザやデバイスと判断したとしても、乗っ取りなどにより不正な活動を行う可能性があるため、ゼロトラストの必要性が高まってきていると言えます。また、ゼロトラストでは、資産やビジネスに対するリスクを継続的に分析・評価し、リスクを緩和するための保護を講じることが求められます。

＜2章：ゼロトラストの基本＞

2章はゼロトラストの基本的な考え方について言及しており、ゼロトラストを実装するために重要となる7つの考え方を理解することがポイントです。
これまで法人組織は境界線防御の対策に重点を置いており、一度内部ネットワークに入ることができたら、広範なリソースにアクセスすることができたため、万が一脅威が侵入した際は内部ネットワーク内で脅威が拡散（水平移動、ラテラルムーブメント）されてしまう点が課題の一つでした。そこで、前述の通り、ゼロトラストはリスクを継続的に評価することが重要となり、最初に焦点を置くべきアクションとして、アクセスを必要とするユーザやデバイス等に業務遂行に必要な最低限の権限（例：読み取り、書き込み、削除）のみを付与することが求められます。

ここでは、ゼロトラストの基本的な７つの考え方をまとめています。ゼロトラストの実装を検討している法人組織の参考となります。

＜3章：ゼロトラスト・アーキテクチャの論理的構成要素＞

3章はゼロトラストのネットワークアーキテクチャについて言及しており、ゼロトラストに必要な各コンポーネントの役割を理解することがポイントです。
法人組織がゼロトラストを実装する際のネットワークアーキテクチャ（論理コンポーネント）が下記のイメージ図で表現されています。
この図から、ユーザ、デバイス、アプリケーションといったアクセス要求元は、企業リソースにアクセスする際に、接続の有効化・終了、監視などの役割を担うポリシー実施ポイント（PEP）を経由して、指定されたリソースへのアクセス許可を決定するポシリーエンジン（PE）や通信経路の確立やシャットダウンを実施するポリシーアドミニストレータ（PA）があるポリシー決定ポイント（PDP）でアクセス許可が判断されます。そして、アクセス承認後は、企業リソースに対して最小限のアクセス権限が提供される流れとなっていることが分かります。

＜4章：導入シナリオ/ユースケース＞

4章は多様な企業環境におけるゼロトラストの導入シナリオやユースケースについて言及しており、自組織の環境における実装の留意点を理解することがポイントです。
遠隔地に設備を所有する企業、非従業員からのアクセスがある企業、公開サービス/顧客サービスを提供する企業など、さまざまな企業環境でもゼロトラストを念頭において設計できます。また、ほとんどの組織で、自社のインフラストラクチャーにゼロトラストの要素が既に導入されている可能性があります。
本章では、下記の企業環境における導入シナリオやユースケースが紹介されており、法人組織は、自社の組織環境に近しい事例を参考にできます。

・遠隔地に設備を所有する企業
・企業のマルチクラウド/Cloud to Cloud環境^※1
・非従業員からアクセスのある企業
・複数企業による協業（企業間連携プロジェクトがある企業など）
・公共サービスまたは顧客サービスを提供する企業

※1 法人組織はアプリケーション/サービスやデータをホストするために2つ以上のクラウドサービスプロバイダーを使用しており、パフォーマンスと管理の容易さのために、クラウドサービスプロバイダー（A）でホストされているアプリケーションは、クラウドサービスプロバイダー（B）でホストされているデータソースへ直接接続できるようにしているケース。

＜5章：ゼロトラスト・アーキテクチャに関連する脅威＞

5章はゼロトラスト環境特有の脅威について言及しており、ゼロトラストを実装する際に把握しておくべきリスクや対策を理解することがポイントです。
すべての法人組織は、サイバーセキュリティのリスクに晒されていますが、ゼロトラスト環境特有の脅威が存在することを認識する必要があります。
例えば、ゼロトラストでは図３にあるポリシーエンジン（PE）とポリシーアドミニストレータ（PA）が重要なコンポーネントとなっており、これらのコンポーネントは適切に設定され、維持されなければなりません。しかし、PEのルール変更などを行うことができる管理者は、組織として承認されていない変更を行ったり、設定ミスなどをしてしまう可能性があります。またPAが侵害された場合は、未承認のリソースへのアクセスを許可してしまう恐れもあります。このようなリスクを軽減するために、PEとPAを適切に監視し、万が一予期しない承認や変更が発生した場合に備えて、すべてのログを記録し、監査対象とする必要があります。この例以外にも、ゼロトラストを実装する法人組織が留意すべき脅威と対策について記載されています。

＜6章：ゼロトラスト・アーキテクチャと既存の連邦ガイダンスとの連携の可能性＞

6章はゼロトラストと連邦ガイダンスとの関連性について言及しており、ゼロトラストへの影響や強化すべき要素を理解することがポイントです。
いくつかの連邦政府機関の既存ガイダンスは、法人組織のゼロトラスト戦略の策定に影響を与える可能性があります。
本章では下記の連邦政府のガイダンス等にゼロトラストの考え方がどのように適合するのか、あるいは補完するのかを言及しています。
例えば、ゼロトラストの運用において、法人組織はユーザやデバイス等に関わる様々なログを記録しますが、このログの中には個人情報が含まれている場合があります。NISTプライバシーフレームワークは、ゼロトラストを実装・運用している法人組織のプライバシー関連のリスクを特定し、低減するためのプロセスを開発するのに役立ちます。

・NISTリスクマネジメントフレームワーク（RMF）
・NISTプライバシーフレームワーク
・連邦政府のアイデンティティ、クレデンシャル、およびアクセス管理アーキテクチャ
・Trusted Internet Connections 3.0
・National Cybersecurity Protection System（NCPS）
・Continuous Diagnostics and Mitigations(CDM) Program
・Cloud Smart/Federal Data Strategy

＜7章：ゼロトラスト・アーキテクチャへの移行＞

7章はゼロトラストを実装するためのステップについて言及しており、ゼロトラスト実装に向けて必要なアクションと進め方を理解することがポイントです。
法人組織がゼロトラストを実装するうえで、既存で運用しているインフラストラクチャーやプロセスを全面的に入れ替えるのではなく、中長期のセキュリティ戦略として捉え、部門やシステム、業務等の単位で実装難易度や効果、コストを比較し、優先度を決め、段階的に導入することが大切です。そして多くの組織は、ゼロトラストと境界型防御の対策を同時に進めるハイブリットな運用を継続することが考えられます。
法人組織がどのようにゼロトラストへ移行するかは、その組織が現在どのようなサイバーセキュリティの体制で、どのように運用しているのかに応じて、考える必要があります。また、ゼロトラストを導入する前に、組織が保有する資産、ユーザ、データフロー、ワークフロー等を調査し、現在の運用状況を把握した上で、どのような新しプロセスやシステムを導入する必要があるかを判断します。物理的および仮想的な資産、ユーザやユーザ権限、ビジネスプロセスに関する詳細な情報を整理することが大切です。またシステム管理者が把握していない機器を組織のネットワークに接続してしまうシャドーITも、把握、管理する必要があります。ゼロトラストを実現するためには、下記の図４のステップを考慮しながら実装を検討していきます。実装・運用後も、新しいデバイスやソフトウェアのアップデート、組織構造やシステムの変更などが発生する可能性があり、ゼロトラスト運用におけるワークフローやポリシーの変更につながる可能性があります。そのため、一度ゼロトラストを導入した後も継続的に定期的なメンテナンスや更新を行い、再評価するサイクルを取り入れることが重要です。

まとめ

ゼロトラストはサイバーセキュリティを実現するための概念の１つであり、まだ十分に成熟した領域とは言えないため、正しい情報の共通認識をはかることが重要です。トレンドマイクロの調査^※2では、日本はゼロトラストの推進状況が28の国と地域中27位という結果となり、ゼロトラストの推進において他国から大きく出遅れている現状が明らかになりました。

法人組織は、「NIST SP800-207」を読むことで、ゼロトラストの基本的な考え方やゼロトラストを実装する際に必要となるコンポーネントを理解し、自社の環境に近しい導入シナリオやユースケース、展開サイクルを参考に、自組織に効果的なサイバーセキュリティ対策を講じることができます。
法人組織におけるゼロトラストの実現は、単一の技術だけではなく、エンドポイントセキュリティ、ネットワークセキュリティ、認証・認可などを実現する複数の技術の利用が必要です。そのためには、自組織の守るべき資産の状況の把握と予算やIT戦略に合わせた適切なタイムラインを引くこと、そして何よりも自社のITやセキュリティの導入意思決定権を持つ経営層の理解・合意がゼロトラスト実現に向けては不可欠です。
各国政府がゼロトラストの実現へ向けた気運が高まるなか、日本の組織においてもその動向を注視し、高度な脅威への対策としてより強固なサイバーセキュリティ体制を構築していくことが求められます。

※2 サイバーセキュリティリスク意識調査「Cyber Risk Index」（2023年5月8日プレスリリース）
https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20230508-01.html