ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、サイバーセキュリティ・ソリューション・プロバイダを含む産業界や情報技術(IT)コミュニティとの共同作業を通じて、ゼロ・トラスト・アーキテクチャ(ZTA)を実装する課題に取り組んでいます。本稿は、背景、目標、潜在的なメリット、プロジェクトの協力者など、ゼロトラストアーキテクチャの実装プロジェクトの概要について説明します。NIST SP 1800-35
背景
従来のセキュリティ方法は、安全・危険の境界防御に重点を置いていました。ネットワーク境界の内側に入ったユーザーは「信頼」され、多くの場合、多くの企業リソースへの幅広いアクセスが許可されます。しかし、悪意のある行為者は境界の内外から侵入する可能性があり、近年、いくつかの著名なサイバー攻撃により、境界ベースのモデルの論拠が崩れつつあります。さらに、クラウドコンピューティングやモビリティの拡大、現代の労働力の変化など、いくつかの要因により、境界はあまり意味を持たなくなってきています。
ゼロトラストは、サイバーセキュリティ戦略であり、境界ベースの防御を、広範で静的な境界から、企業のリソースがどこにあるかに関係なく、狭範で動的なリスクベースのアクセス制御に移行することに重点を置いています。ゼロトラスト・アクセス制御は、アイデンティティやエンドポイントの健全性など、多くの属性に基づいて行われます。
挑戦
ZTAの導入には、以下のような課題があります:
- 既存の投資を活用し、優先順位とのバランスを取りながら、ZTAの実現に向けて前進すること
- ZTAの導入には、様々な成熟度の多くの導入済み既存技術の統合を活用し、完全なZTAを構築するための技術ギャップを特定する必要性
- ZTAが環境の運用やエンドユーザーエクスペリエンスに悪影響を与えないかという懸念
- ZTAに対する組織全体の共通理解が不足しており、組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、実施計画を策定していない。
目標
このNCCoEプロジェクトの目標は、従来の一般的な企業ITインフラに適用されるZTAソリューションの例をいくつか示すことです。これらは、NIST Special Publication (SP) 800-207, Zero Trust Architectureに記載されているコンセプトや考え方に従って設計・導入されています。
メリット
このソリューションの例では、以下のような潜在的なビジネス上の利点があります:
- ユーザーの所在地に関係なく、リソースへのアクセスを可能にするテレワーク者のサポート。
- ユーザーの所在地に関係なく、リソースを保護することができる。
- 社内ネットワークからの脅威を制限する(社内ネットワーク網は自動的に信頼されるわけではない)。
- 侵害を制限する(攻撃者が社内ネットワーク内で横方向に移動し、特権を拡大する能力を低下させる)。
- 強力な暗号化により、企業の機密データを保護する。
- ネットワーク上に誰がいるか、どのリソースがアクセスされ保護されているか、インシデントの検出、対応、回復をどのように改善するかについての可視性を向上させる。
- リソースのリスクベースの評価を継続的、継続的、動的に行う。
上位アーキテクチャ
ZTAは、企業のリソースに安全にアクセスするために設計されています。ここに示すのは、一般的なIT企業で構築されるZTAのコアコンポーネントと、それをサポートする機能コンポーネントの、ハイレベルな想定アーキテクチャである。各コンポーネントの詳細な説明は、https://www.nccoe.nist.gov/zerotrust にある実践ガイドとプロジェクトの説明をご参照ください。
技術協力者
このプロジェクトに参加するテクノロジーベンダーは、連邦官報に掲載された公募に応じ、その能力を提出しました。関連するセキュリティ機能を持つ企業は、国立標準技術研究所(NIST)との間で共同研究開発契約を締結し、このソリューションの例を構築するコンソーシアムに参加することが求められました。
特定の商業団体、装置、製品、または材料は、本共同研究への参加を認めるため、または実験手順やコンセプトを適切に説明するために、名称または会社のロゴもしくはその他の記章によって特定される場合があります。このような識別は、NISTとの特別な地位や関係、NISTやNCCoEによる推奨や支持を意味するものではなく、当該団体、装置、製品、または材料が必ずしも入手可能な最高のものであることを意味するものでもありません。
原文:IMPLEMENTING A ZERO TRUST ARCHITECTURE (NIST)
