NIST(米国国立標準技術研究所)が、組織がゼロトラストアーキテクチャ(ZTA)を構築する際の手引きとなる、19パターンのアーキテクチャ設計事例をまとめたガイドライン「SP 1800‑35」を発表しました(2025年6月11日)。これまでのファイアウォール中心の境界防御モデルから一歩進み、常に“誰が、何に、どんな理由でアクセスしているか”を検証する姿勢を示すための指針となっています。
目次
「もう境界だけでは守れない」現代企業のリアル
昨今のITインフラは、東京本社・支店をはじめ、全国の支社、リモートワーカー、クラウド上のサービスなどが入り混じる“複雑”なハイブリッドネットワーク。一昔前のように企業のデジタル資産をひとつの拠点に集めて、ファイアウォールで守る時代は終わりました。NISTのガイドでは「もはや境界線だけで守るのは無理」とし、ゼロトラストの考え方を改めて提案しています。
ゼロトラストとは
ゼロトラストとは、ネットワーク上のすべてのアクセスリクエストを、都度「信頼できるか?」とチェックする仕組みです。アクセス要求が来たら「その人」「その端末」「その状況」が本当に安全かをリアルタイムに確認。たとえ一度認証を通った後でも、不審な挙動があれば遮断します。これにより、不正アクセス後の被害拡散を防ぐことができます。
NISTが提示する「19の実装例」が持つ意味
SP 1800-35は、NISTのサイバーセキュリティ専門部門「NCCoE(National Cybersecurity Center of Excellence)」が24社の業界パートナーと4年かけてまとめたガイドです。
特徴は、とにかく“現実的”であること。Amazon Web Services、Microsoft、Palo Alto Networksなどが提供する商用ソリューションを使い、実際にZTAを構築して得られた知見がベースになっています。
例としては以下のような環境が挙げられています
-
本社、支社、クラウド、喫茶店を含むハイブリッドなネットワーク構成
-
多拠点・多クラウドを前提としたアクセス制御
-
VPNを排除したゼロトラスト型のリモートアクセス
-
セグメンテーションとマイクロポリシーの導入による“横移動”対策
単に構成図を提示するだけでなく、テスト結果や運用上の課題、セキュリティフレームワーク(NIST SP 800-53やCSF)との対応関係まで踏み込んで解説されています。
NISTが示した「段階的導入」の現実的アプローチ
ゼロトラストアーキテクチャ(ZTA)の導入に尻込みしている企業は少なくありません。「うちのネットワーク環境では無理だ」「すべてクラウド化しないとダメなのでは」といった声もよく耳にします。しかし、NISTが新たに公開したガイドライン「SP 1800-35」は、そうした不安に現実的な答えを提示しています。
ポイントは、“いきなりすべてをゼロトラスト化する必要はない”ということ。NISTはZTA導入のためのアプローチを、3つのフェーズに分けて示しており、現場の実情に合わせて段階的に進めることを推奨しています。
フェーズ1:「EIG Crawl」──まずは“IDとエンドポイント”から始める
最初のステップ「EIG Crawl Phase」では、ゼロトラストの基本的な構成要素である「アイデンティティ」と「エンドポイント保護」にフォーカスします。
この段階では、クラウド連携や複雑なネットワーク制御はまだ導入しません。例えば、OktaやAzure ADのようなID管理基盤を活用し、社内外問わず、ユーザーごとにアクセス制御をかけていく。端末側ではEDR(Endpoint Detection and Response)やMDM(Mobile Device Management)を通じて、端末の健全性をチェックする──こうした“今すぐできる範囲”でのZTAを構築します。
レガシーシステムが混在する企業にとっても、ここからのスタートであればハードルは高くありません。
フェーズ2:「EIG Run」──クラウド、ネットワーク、可視化へと拡張
次の「EIG Run Phase」では、ZTAの範囲を広げていきます。クラウドベースのリソースやSaaSとの連携、ユーザーやデバイスの動的な可視化、ネットワークセグメンテーションの導入などが含まれます。
この段階では、たとえばZscalerやPalo Alto Networks Prisma Accessなどを活用して、ユーザーがどこからアクセスしてきてもセキュアに通信できる「クラウドセキュリティブローカー(CASB)」的な構成を目指します。
また、SIEMやUEBAを導入し、ログの監視や異常行動の検知も実装に加わります。もはや「一部ゼロトラスト」ではなく、ZTAの中核を担う技術が本格稼働するフェーズです。
フェーズ3:「SDP / Microsegmentation / SASE」──ネットワークの根本をゼロトラストに作り替える
最後の段階では、ネットワークそのものを再構築するアプローチに入ります。ここでは、以下のような技術を使って細かなアクセス制御とセグメンテーションを実現します:
-
SDP(Software-Defined Perimeter):アプリケーション単位でアクセス制御
-
マイクロセグメンテーション:内部ネットワークを仮想的に区切って攻撃拡大を防止
-
SASE(Secure Access Service Edge):ネットワークとセキュリティをクラウドで統合
このフェーズまで進めば、攻撃者がネットワーク内に侵入しても横移動できず、情報漏えいや破壊的被害のリスクを大幅に軽減できます。つまり、ZTAの“完成形”です。
スタートのハードルを下げることが成功のカギ
NISTがこのように段階的な導入ステップを提示した背景には、「ZTAは理想論だけでは機能しない」という現場の実情があります。企業によっては、レガシーな認証基盤や拠点ごとのシステムばらつきがZTA導入の妨げになっていることも少なくありません。
そのため、まずは“できるところから始める”。そして、自社のリソースと業務フローにフィットした形で少しずつZTAを構築していく──このアプローチこそが現実的で、かつ長続きするセキュリティ戦略になります。








