NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイド

こんにちは、丸山満彦です。

NISTが、ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイドを公表していますね。。。

 

 

White Paper NIST CSWP 20 Planning for a Zero Trust Architecture: A Planning Guide for Federal Administrators	ホワイトペーパー NIST CSWP 20 ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイド
Abstract	概要
NIST Special Publication 800-207 defines zero trust as a set of cybersecurity principles used when planning and implementing an enterprise architecture. These principles apply to endpoints, services, and data flows. Input and cooperation from various stakeholders in an enterprise is needed for a zero trust architecture to succeed in improving the enterprise security posture. Some of these stakeholders may not be familiar with risk analysis and management. This document provides an overview of the NIST Risk Management Framework (NIST RMF) and how the NIST RMF can be applied when developing and implementing a zero trust architecture.	NIST Special Publication 800-207 は、ゼロトラストを、エンタープライズアーキテクチャを計画し実装する際に使用する一連のサイバーセキュリティの原則と定義しています。これらの原則は、エンドポイント、サービス、およびデータの流れに適用されます。ゼロトラストアーキテクチャが組織体のセキュリティ態勢を向上させるためには、組織体内のさまざまな利害関係者からの意見と協力が必要です。これらの利害関係者の中には、リスク分析および管理に精通していない人もいるかもしれません。この文書では、NIST リスクマネジメントフレームワーク（NIST RMF）の概要と、ゼロトラストアーキテクチャを開発・実装する際に NIST RMF をどのように適用できるかを説明します。

・[PDF]

 

目次的なもの...

1 Zero Trust	1 ゼロ・トラスト
1.1 Tenets of Zero Trust	1.1 ゼロ・トラストの基本的な考え方
1.1.1 Tenets that Deal with Network Identity Governance	1.1.1 ネットワーク・アイデンティティ・ガバナンスに関する基本的な考え方
1.1.2 Tenets that Deal with Endpoints	1.1.2 エンドポイントに適用される基本的な考え方
1.1.3 Tenets that Apply to Data Flows	1.1.3 データフローに適用される基本的な考え方
2 Getting Started on the Journey	2 旅の始まり
2.1 The Process	2.1 プロセス
2.1.1 Prepare	2.1.1 準備
2.1.2 Categorize	2.1.2 分類
2.1.3 Select	2.1.3 選択
2.1.4 Implement	2.1.4 実行
2.1.5 Assess	2.1.5 評価
2.1.6 Authorize	2.1.6 権限付与
2.1.7 Monitor	2.1.7 監視
2.1.8 RMF Operational Loops	2.1.8 RMFの運用ループ
3 Conclusion	3 まとめ
References	参考文献

 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド：技術についての予防的保守

・2022.03.28 米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.11.19 SP 800-40 Rev.4（ドラフト）組織全体のパッチ管理計画のためのガイド：技術についての予防的保守

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界（SDP）を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.04.01 NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・2020.04.02 NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)