NIST SP 800-207 にすと えすぴー はちひゃく にひゃくなな
簡単に言うとこんな感じ!
アメリカの国立標準技術研究所(NIST)が出した「ゼロトラストセキュリティの教科書」だよ!「社内ネットワークだから安全」という考えを捨てて、すべてのアクセスを毎回疑って確認しようという設計指針をまとめた公式ガイドなんだ。
NIST SP 800-207とは
NIST SP 800-207(NIST Special Publication 800-207)は、アメリカの政府機関であるNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が2020年8月に公開した、ゼロトラストアーキテクチャ(ZTA: Zero Trust Architecture)に関する公式ガイドラインです。「SP」はSpecial Publication(特別刊行物)、「800」はコンピュータセキュリティ分野のシリーズ番号を指します。
このドキュメントは「社内ネットワーク内にいれば信頼できる」という従来の境界型セキュリティ(城壁モデル)の考え方を根本から見直し、すべてのユーザー・デバイス・通信を常に検証するという設計思想(ゼロトラスト)をアーキテクチャとして実装するための原則・概念・コンポーネントを定義しています。
特定のベンダー製品を指定するものではなく、考え方の枠組み(フレームワーク)として書かれているため、政府機関だけでなく民間企業のセキュリティ設計においても世界標準の参照文書として広く活用されています。日本でも経済産業省や総務省がゼロトラスト関連のガイドラインを整備する際にこの文書を参照しています。
ゼロトラストの7つの基本原則
NIST SP 800-207は、ゼロトラストアーキテクチャを構成する7つのテネット(基本原則)を定義しています。
| # | 原則 | 意味・ポイント |
|---|---|---|
| 1 | すべてのデータソース・計算サービスをリソースとみなす | PCだけでなくスマホ・IoT機器・クラウドも管理対象 |
| 2 | 通信は場所を問わずすべて保護する | 社内LANだからといって暗号化を省かない |
| 3 | リソースへのアクセスはセッション単位で許可する | 一度ログインしたら永久に信頼、は禁止 |
| 4 | アクセス許可はポリシーで動的に決定する | ユーザー・デバイス状態・時刻などを組み合わせて判断 |
| 5 | すべての資産のセキュリティ状態を継続的に監視する | デバイスが最新パッチか・不審な動きがないかを常時確認 |
| 6 | 認証・認可は厳格に行い継続的に検証する | 多要素認証(MFA)などを組み合わせる |
| 7 | セキュリティ態勢の改善のためにデータを収集・活用する | ログ分析でポリシーを継続的にチューニング |
覚え方:「全・通・セ・ポ・監・認・デ」
「全リソース管理・通信保護・セッション単位・ポリシー動的・監視継続・認可厳格・データ活用」と頭文字で覚えるのがおすすめです。
ゼロトラストの3つのコアコンポーネント
┌─────────────────────────────────────────────┐
│ コントロールプレーン │
│ ┌───────────────┐ ┌───────────────────┐ │
│ │ ポリシーエンジン │ │ ポリシー管理者(PA) │ │
│ │ (PE) │◀▶│ │ │
│ └───────────────┘ └───────────────────┘ │
└─────────────────────────────────────────────┘
│
▼ アクセス可否の指示
┌─────────────────────────────────────────────┐
│ データプレーン │
│ ポリシー施行ポイント(PEP) │
│ [主体(ユーザー/デバイス)] →→→ [リソース] │
└─────────────────────────────────────────────┘- PE(Policy Engine):アクセスを許可するかどうかを判断する「審判」
- PA(Policy Administrator):PEの決定をもとに実際の通信セッションを制御する「管制官」
- PEP(Policy Enforcement Point):実際にアクセスを通す・遮断する「ゲート」
歴史と背景
- 2010年代初頭 — Forrester ResearchのアナリストであるJohn Kindervag氏が「ゼロトラスト」という概念を提唱。「社内ネットワーク=安全」という前提を捨てるべきと主張
- 2013〜2015年 — Googleが社内でゼロトラストを実装した「BeyondCorp」プロジェクトを論文として公開。実用性が証明され注目が高まる
- 2017年 — NISTがゼロトラストアーキテクチャの研究を本格開始
- 2019年 — NIST SP 800-207の初期ドラフト(Draft 1)を公開・パブリックコメント募集
- 2020年2月 — 改訂ドラフト(Draft 2)を公開
- 2020年8月 — NIST SP 800-207 正式版(Final)公開。ゼロトラストの世界標準文書として確立
- 2021年5月 — バイデン米大統領が「国家サイバーセキュリティ改善に関する大統領令」に署名。米連邦政府機関にZTAへの移行を義務付け、NIST SP 800-207が実質的な国家標準に
- 2022年以降 — 日本・EU・英国など各国政府もゼロトラスト指針を策定。NIST SP 800-207が共通の参照文書として引用される
ゼロトラストの3つの実装アプローチ
NIST SP 800-207は、ゼロトラストを実現するための主な技術アプローチを3つ示しています。
実際の導入では、これら3つのアプローチを組み合わせて段階的に実装することが推奨されており、NISTは「いきなり完全なZTAを実現しようとするのではなく、現在の境界型セキュリティと共存しながら移行する」方針を示しています。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義・原則・実装ガイド(本文書) |
| NIST SP 800-63 | デジタルアイデンティティガイドライン(認証・IDの強度定義) |
| NIST SP 800-37 | リスクマネジメントフレームワーク(RMF)。ZTAと組み合わせて使う |
| RFC 8446 | TLS 1.3。ZTAが要求する「すべての通信を暗号化」の基盤プロトコル |
| RFC 7519 | JWT(JSON Web Token)。ZTAのID検証トークンとして広く使用 |
関連用語
- ゼロトラストアーキテクチャ — すべてのアクセスを常に検証するセキュリティ設計思想
- マイクロセグメンテーション — ネットワークを細かく分割して横断的な攻撃を防ぐ技術
- IAM(アイデンティティ・アクセス管理) — ユーザーの認証・認可・権限管理を一元的に行う仕組み
- MFA(多要素認証) — パスワード以外の追加認証要素でなりすましを防ぐ認証方式
- SASE(サシー) — ネットワークとセキュリティ機能をクラウドで統合したアーキテクチャ
- SDP(ソフトウェア定義境界) — 認証済みの通信相手にだけリソースを見せる動的ネットワーク境界
- CASB — クラウドサービスの利用を可視化・制御するセキュリティプロキシ
- 境界型セキュリティ — 社内ネットワークを城壁で守る従来型のセキュリティモデル