米国立標準技術研究所(NIST)はこのほど、ゼロトラスト・アーキテクチャの構築例を紹介する「NIST SPECIAL PUBLICATION 1800-35 Implementing a Zero Trust Architecture: High-Level Document」を公表しました。
本ガイダンスは、NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が共同プロジェクトの成果をまとめたもので、AWSやCiscoなど計24の企業が技術協力で参加し、商用技術を利用した19のゼロトラスト・アーキテクチャ実装(以下、「ビルド」)例などを紹介しています。PDF形式の本ガイドでは主にプロジェクトの概要が示され、より詳細な活用技術や実装されたセキュリティ機能などについての情報は、Web形式の完全版ドキュメントで提供されています。
実施されたビルドとしては、EIG(Enhanced Identity Governance)RunやSDP(Software-Defined Perimeter)、マイクロセグメンテーション、SASE(Secure Access Service Edge)などの例が示されました。例えばEIG Runの実装にはZscalerの製品を用い、PE(Policy Engine)には「ZPA Central Authority」が、PEP(Policy Enforcement Point)には「ZIA(Zscaler Internet Access)」が使われているほか、AWS、IBMなどの企業が技術協力を行ったと記されています。また、ZIAを使用して外部向けリソースへのアクセスを保護するユースケースについても説明がなされました。ZIAがPEPとして機能する場合、ユーザーとソース側との間で送信されるすべてのトラフィックを双方向に検査しポリシーを適用することができ、企業から送られるPDFをブロックしたり、社会保障番号などを含むドキュメントをブロックするように構成できると記されています。
さらに、本プロジェクトを通して、組織がゼロトラスト・アーキテクチャを実装する際の課題が特定できたと述べています。具体的には▽ゼロトラスト・アーキテクチャの導入によりこれまでの運用やエンドユーザーに悪影響を及ぼすという懸念▽管理者やセキュリティ担当者に必要な追加のスキルやトレーニングについての理解不足▽移行計画の策定・実施に必要なリソースの不足、などが挙げられました。これについてNISTは、あらゆる組織に適合する単一のゼロトラスト・アーキテクチャは存在しないため、組織の要件やリスク許容度、既存の環境に基づいて設計・実装する必要があるとしています。
※本ガイダンスでは商用技術の使用について言及していますが、NISTおよびNCCoEがそれを推奨・承認するものではありません。