NISTが新たに「ゼロトラスト」アーキテクチャ構築の具体例を公開

セキュリティニュース

投稿日時: 更新日時:

NISTが新たに「ゼロトラスト」アーキテクチャ構築の具体例を公開

NIST(米国国立標準技術研究所)が、組織がゼロトラストアーキテクチャ(ZTA)を構築する際の手引きとなる、19パターンのアーキテクチャ設計事例をまとめたガイドライン「SP 1800‑35」を発表しました(2025年6月11日)。これまでのファイアウォール中心の境界防御モデルから一歩進み、常に“誰が、何に、どんな理由でアクセスしているか”を検証する姿勢を示すための指針となっています。

「もう境界だけでは守れない」現代企業のリアル

昨今のITインフラは、東京本社・支店をはじめ、全国の支社、リモートワーカー、クラウド上のサービスなどが入り混じる“複雑”なハイブリッドネットワーク。一昔前のように企業のデジタル資産をひとつの拠点に集めて、ファイアウォールで守る時代は終わりました。NISTのガイドでは「もはや境界線だけで守るのは無理」とし、ゼロトラストの考え方を改めて提案しています。

ゼロトラストとは

ゼロトラストとは、ネットワーク上のすべてのアクセスリクエストを、都度「信頼できるか?」とチェックする仕組みです。アクセス要求が来たら「その人」「その端末」「その状況」が本当に安全かをリアルタイムに確認。たとえ一度認証を通った後でも、不審な挙動があれば遮断します。これにより、不正アクセス後の被害拡散を防ぐことができます。

NISTが提示する「19の実装例」が持つ意味

SP 1800-35は、NISTのサイバーセキュリティ専門部門「NCCoE(National Cybersecurity Center of Excellence)」が24社の業界パートナーと4年かけてまとめたガイドです。

特徴は、とにかく“現実的”であること。Amazon Web Services、Microsoft、Palo Alto Networksなどが提供する商用ソリューションを使い、実際にZTAを構築して得られた知見がベースになっています。

例としては以下のような環境が挙げられています

  • 本社、支社、クラウド、喫茶店を含むハイブリッドなネットワーク構成

  • 多拠点・多クラウドを前提としたアクセス制御

  • VPNを排除したゼロトラスト型のリモートアクセス

  • セグメンテーションとマイクロポリシーの導入による“横移動”対策

単に構成図を提示するだけでなく、テスト結果や運用上の課題、セキュリティフレームワーク(NIST SP 800-53やCSF)との対応関係まで踏み込んで解説されています。

NISTが示した「段階的導入」の現実的アプローチ

ゼロトラストアーキテクチャ(ZTA)の導入に尻込みしている企業は少なくありません。「うちのネットワーク環境では無理だ」「すべてクラウド化しないとダメなのでは」といった声もよく耳にします。しかし、NISTが新たに公開したガイドライン「SP 1800-35」は、そうした不安に現実的な答えを提示しています。

ポイントは、“いきなりすべてをゼロトラスト化する必要はない”ということ。NISTはZTA導入のためのアプローチを、3つのフェーズに分けて示しており、現場の実情に合わせて段階的に進めることを推奨しています。

フェーズ1:「EIG Crawl」──まずは“IDとエンドポイント”から始める

最初のステップ「EIG Crawl Phase」では、ゼロトラストの基本的な構成要素である「アイデンティティ」と「エンドポイント保護」にフォーカスします。

この段階では、クラウド連携や複雑なネットワーク制御はまだ導入しません。例えば、OktaやAzure ADのようなID管理基盤を活用し、社内外問わず、ユーザーごとにアクセス制御をかけていく。端末側ではEDR(Endpoint Detection and Response)やMDM(Mobile Device Management)を通じて、端末の健全性をチェックする──こうした“今すぐできる範囲”でのZTAを構築します。

レガシーシステムが混在する企業にとっても、ここからのスタートであればハードルは高くありません。

フェーズ2:「EIG Run」──クラウド、ネットワーク、可視化へと拡張

次の「EIG Run Phase」では、ZTAの範囲を広げていきます。クラウドベースのリソースやSaaSとの連携、ユーザーやデバイスの動的な可視化、ネットワークセグメンテーションの導入などが含まれます。

この段階では、たとえばZscalerやPalo Alto Networks Prisma Accessなどを活用して、ユーザーがどこからアクセスしてきてもセキュアに通信できる「クラウドセキュリティブローカー(CASB)」的な構成を目指します。

また、SIEMやUEBAを導入し、ログの監視や異常行動の検知も実装に加わります。もはや「一部ゼロトラスト」ではなく、ZTAの中核を担う技術が本格稼働するフェーズです。

フェーズ3:「SDP / Microsegmentation / SASE」──ネットワークの根本をゼロトラストに作り替える

最後の段階では、ネットワークそのものを再構築するアプローチに入ります。ここでは、以下のような技術を使って細かなアクセス制御とセグメンテーションを実現します:

  • SDP(Software-Defined Perimeter):アプリケーション単位でアクセス制御

  • マイクロセグメンテーション:内部ネットワークを仮想的に区切って攻撃拡大を防止

  • SASE(Secure Access Service Edge):ネットワークとセキュリティをクラウドで統合

このフェーズまで進めば、攻撃者がネットワーク内に侵入しても横移動できず、情報漏えいや破壊的被害のリスクを大幅に軽減できます。つまり、ZTAの“完成形”です。

スタートのハードルを下げることが成功のカギ

NISTがこのように段階的な導入ステップを提示した背景には、「ZTAは理想論だけでは機能しない」という現場の実情があります。企業によっては、レガシーな認証基盤や拠点ごとのシステムばらつきがZTA導入の妨げになっていることも少なくありません。

そのため、まずは“できるところから始める”。そして、自社のリソースと業務フローにフィットした形で少しずつZTAを構築していく──このアプローチこそが現実的で、かつ長続きするセキュリティ戦略になります。