NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ
こんにちは、丸山満彦です。
実装ガイドライン全5巻(Vol.A 〜 Vol.E)のうちVol.D 機能デモのドラフトとなりますね。。。
SP 1800-35A | Executive Summary | エグゼクティブサマリー | 2nd Preliminary Draft |
SP 1800-35B | Approach, Architecture, and Security Characteristics | アプローチ、アーキテクチャ、セキュリティ特性 | 3rd Preliminary Draft |
SP 1800-35C | How-To Guides | ハウツーガイド | 3rd Preliminary Draft |
SP 1800-35D | Functional Demonstrations | 機能デモ | 3rd Preliminary Draft |
SP 1800-35E | Risk and Compliance Management | リスクとコンプライアンスマネジメント | Preliminary Draft |
・2023.08.22 NIST SP 1800-35 (3rd Preliminary Draft) Implementing a Zero Trust Architecture
NIST SP 1800-35 (3rd Preliminary Draft) Implementing a Zero Trust Architecture | NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 |
Announcement | 発表 |
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published the third version of volume D of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture” and is seeking the public's comments on its contents. | NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラストアーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題する初期ドラフト実践ガイドの第3版D巻を公表し、その内容に関する一般からのコメントを求めている。 |
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. | このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「ゼロ・トラスト・アーキテクチャ」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。 |
Volume D provides a functional demonstration plan and the updated version includes demonstration results for ten builds. We will continue to update the volumes of NIST SP 1800-35 appropriately as needed as we make significant progress on the project. | D巻は機能実証計画を提供し、更新版には10回の構築の実証結果が含まれる。 NIST SP 1800-35の各巻は、プロジェクトが大きく進展するにつれて、必要に応じて適切に更新していく予定である。 |
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. | エンタープライズのデータやリソースがオンプレミス環境や複数のクラウドに分散するようになり、それらを防御することはますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、これらの課題に取り組んでいる。 |
Abstract | 概要 |
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including criteria such as the requester’s identity and role, the requesting device’s health and credentials, the sensitivity of the resource, user location, and user behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs. | ゼロ・トラスト・アーキテクチャー(ZTA)は、データとリソースの保護に重点を置く。ZTAは、オンプレミスや複数のクラウド環境に分散しているエンタープライズ・リソースへのセキュアな認証アクセスを可能にする一方で、ハイブリッドな従業員やパートナーが、組織のミッションをサポートするために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス・リクエストは、アクセス時に利用可能なコンテキストを検証することで評価される。これには、リクエスト元のアイデンティティや役割、リクエスト元のデバイスの状態や認証情報、リソースの機密性、ユーザーの場所、ユーザーの行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーに合致する場合、リソースとの間で転送されるすべての情報を保護するためのセキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセスが確立・維持される。このプロジェクトでは、NCCoE とその協力者は、市販の技術を使用して、NIST 特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープンな標準ベースの ZTA 実装を構築する。この NIST サイバーセキュリティ実践ガイドでは、さまざまな ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。 |
・[PDF]
● NIST - NCCoE
アナウンス
・2022.08.22 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol D)
The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol D) | ゼロ・トラスト・アーキテクチャー(ZTA)チーム、実践ガイド初期ドラフト(Vol.D)を発表 |
The Zero Trust Architecture (ZTA) team at NIST’s National Cybersecurity Center of Excellence (NCCoE) has published the third version of volume D of a preliminary draft practice guide titled “Implementing a Zero Trust Architecture” and is seeking the public’s comments on its contents. | NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のZero Trust Architecture(ZTA)チームは、「Implementing a Zero Trust Architecture」と題する初期ドラフト実践ガイドの第3版(Volume D)を公開し、その内容に対する一般からのコメントを求めている。 |
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. Volume D provides a functional demonstration plan, and the updated version includes demonstration results for ten builds. | このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。D巻は機能実証計画を提供し、更新版には10回の構築の実証結果が含まれている。 |
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. | エンタープライズのデータやリソースがオンプレミス環境や複数のクラウドに分散されるようになり、それらの防御はますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、こうした課題に取り組んでいる。 |
The NCCoE is making volume D available as a preliminary draft for public comment while work continues on the project. Review the preliminary draft and submit comments online on or before October 9th, 2023. Visit the ZTA page to download the volume and feedback form. | NCCoEは、このプロジェクトの作業を継続する間、パブリックコメント用の初期ドラフトとしてボリュームDを公開している。初期ドラフトを確認し、2023年10月9日までにオンラインでコメントを提出できる。また、ZTAのページで、それぞれの巻とフィードバックフォームをダウンロードできる。 |
・Implementing a Zero Trust Architecture
Implementing a Zero Trust Architecture | ゼロ・トラスト・アーキテクチャの実装 |
Conventional network security has focused on perimeter defenses, but many organizations no longer have a clearly-defined perimeter. To protect a modern digital enterprise, organizations need a comprehensive strategy for secure “anytime, anywhere” access to their corporate resources (e.g., applications, legacy systems, data, and devices) regardless of where they are located. | 従来のネットワーク・セキュリティは境界防御に重点を置いてきたが、多くの組織ではもはや境界が明確に定義されていない。 現代のデジタル・エンタープライズを防御するためには、企業リソース(アプリケーション、レガシー・システム、データ、デバイスなど)への「いつでも、どこからでも」安全にアクセスできる包括的な戦略が必要である。 |
End-to-end zero trust architecture implementations to help industry and government reduce the risk of cyber attack | エンド・ツー・エンドのゼロ・トラスト・アーキテクチャの実装により、産業界と政府はサイバー攻撃のリスクを軽減できる。 |
The National Cybersecurity Center of Excellence (NCCoE) aims to remove the shroud of complexity around designing for zero trust with “how to” guides and example approaches to implementing a zero trust architecture for several common business cases. | 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、いくつかの一般的なビジネスケースに対応したゼロトラスト・アーキテクチャを実装するための「ハウツー」ガイドとアプローチ例により、ゼロトラスト設計にまつわる複雑な覆いを取り除くことを目指す。 |
・[PDF] Fact Sheet: IMPLEMENTING A ZERO TRUST ARCHITECTURE
IMPLEMENTING A ZERO TRUST ARCHITECTURE | ゼロトラストアーキテクチャの実装 |
The National Cybersecurity Center of Excellence (NCCoE) is addressing the challenge of implementing a zero trust architecture (ZTA) through collaborative efforts with industry and the information technology (IT) community, including cybersecurity solutions providers. This fact sheet provides an overview of the Implementing a Zero Trust Architecture project, including background, goal, potential benefits, and project collaborators. | 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、サイバーセキュリティ・ソリューション・プロバイダを含む産業界や情報技術(IT)コミュニティとの協力を通じて、ゼロ・トラスト・アーキテクチャ(ZTA)の実装という課題に取り組んでいる。このファクト・シートでは、背景、目標、潜在的なメリット、プロジェクトの協力者など、「ゼロ・トラスト・アーキテクチャの実装」プロジェクトの概要を説明する。 |
BACKGROUND | 背景 |
The conventional security approach has focused on perimeter defenses. Once inside the network perimeter, users are “trusted” and often given broad access to many corporate resources. But malicious actors can come from inside or outside the perimeter, and several high-profile cyberattacks in recent years have undermined the case for the perimeter- based model. Moreover, the perimeter is becoming less relevant due to several factors, including the growth of cloud computing and mobility, and changes in the modern workforce. | 従来のセキュリティ・アプローチは、境界防御に焦点を当ててきた。ネットワーク境界の内側に入ると、ユーザーは「信頼」され、多くの企業リソースへの広範なアクセスが与えられることが多い。しかし、悪意のある行為者は、境界の内外から侵入する可能性があり、近年、いくつかの有名なサイバー攻撃によって、境界をベースとしたモデルの根拠が崩れつつある。さらに、クラウド・コンピューティングやモビリティの拡大、現代の労働力の変化など、いくつかの要因により、境界はあまり意味を持たなくなってきている。 |
Zero trust is a cybersecurity strategy that focuses on moving perimeter-based defenses from wide, static perimeters to narrow dynamic and risk-based access control for enterprise resources regardless of where they are located. Zero trust access control is based on a number of attributes such as identity and endpoint health. | ゼロ・トラストとは、サイバーセキュリティ戦略であり、境界ベースの防御を広く静的な境界から、エンタープライズ・リソースの所在に関係なく、狭く動的でリスクに基づくアクセス制御へと移行することに重点を置いている。ゼロトラスト・アクセス制御は、IDやエンドポイントの健全性など、多くの属性に基づいている。 |
CHALLENGE | 課題 |
The challenges to implementing a ZTA include: | ZTAの導入には、以下のような課題がある: |
Leveraging existing investments and balancing priorities while making progress toward a ZTA via modernization initiatives | 既存の投資を活用し、優先順位のバランスを取りながら、近代化イニシアチブを介してZTAに向けて前進する。 |
Integrating various types of commercially available technologies of varying maturities, assessing capabilities, and identifying technology gaps to build a complete ZTA | 完全なZTAを構築するために、成熟度の異なるさまざまなタイプの市販技術を統合し、能力を評価し、技術ギャップを特定すること。 |
Concern that ZTA might negatively impact the operation of the environment or end-user experience | ZTAが環境の運用やエンドユーザー・エクスペリエンスに悪影響を及ぼすのではないかという懸念 |
Lack of common understanding of ZTA across the organization, gauging the organization’s ZTA maturity, determining which ZTA approach is most suitable for the business, and developing an implementation plan | 組織全体のZTAに対する共通理解が不足しており、組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、実施計画を策定する。 |
GOALS | 目標 |
The goal of this NCCoE project is to demonstrate several example ZTA solutions—applied to a conventional, general- purpose enterprise IT infrastructure—that are designed and deployed according to the concepts and tenets documented in NIST Special Publication (SP) 800207, Zero Trust Architecture. | このNCCoEプロジェクトの目標は、NIST特別刊行物(SP)800207「Zero Trust Architecture」に記載されているコンセプトと原則に従って設計・導入された、従来の汎用エンタープライズITインフラに適用されるZTAソリューションの例をいくつか実証することである。 |
BENEFITS | 利点 |
The potential business benefits of the example solutions include: | 例示したソリューションの潜在的なビジネス上のメリットは以下のとおりである: |
Support user access to resources regardless of user location or user device (managed or unmanaged) | ユーザーの場所やデバイス(管理型、非管理型)に関係なく、ユーザーのリソースへのアクセスをサポートする。 |
Protect business assets and processes regardless of their location (on-premises or cloud-based) | 場所(オンプレミスまたはクラウドベース)に関係なく、ビジネス資産とプロセスを防御する。 |
Limit the insider threat (insiders—both users and nonperson entities—are not automatically trusted) | インサイダーの脅威を制限する(インサイダー(ユーザーと非事業体の両方)は自動的に信頼されるわけではない |
Limit breaches (reduce attackers’ ability to move laterally and escalate privilege within the environment) | 侵害を制限する(攻撃者が環境内で横方向に移動し、権限をエスカレートする能力を低下させる) |
Protect sensitive corporate information with data security solutions | データセキュリティ・ソリューションで企業の機密情報を防御する。 |
Improve visibility into the inventory of resources, what configurations and controls are implemented, all communications and their specific flows, and how resources are accessed and protected, and then use this understanding to formulate and enforce a useful and complete security policy | リソースのインベントリ、どのような構成と制御が実装されているか、すべてのコミュニケーションとその具体的なフロー、リソースがどのようにアクセスされ、保護されているかについての可視性を改善し、この理解を利用して有用かつ完全なセキュリティポリシーを策定し、実施する |
Perform real-time and continuous monitoring and logging, and policy-driven, risk-based assessment and enforcement of resource access policy | リアルタイムかつ継続的なモニタリングとロギングを行い、ポリシー駆動型のリスクベースの評価とリソース・アクセス・ポリシーの実施を行う。 |
HIGH-LEVEL ARCHITECTURE | ハイレベルアーキテクチャ |
A ZTA is designed for secure access to enterprise resources. Shown here is a high-level, notional architecture of the core components of a ZTA build for a typical IT enterprise and the functional components to support it. A detailed explanation of each component can be found within the practice guide and project description at [web] . | ZTAはエンタープライズリソースへの安全なアクセスのために設計されている。ここに示すのは、典型的なITエンタープライズ向けに構築されたZTAのコアコンポーネントと、それをサポートする機能コンポーネントのハイレベルな想定アーキテクチャである。各コンポーネントの詳細な説明は、[web] の実践ガイドとプロジェクトの説明の中にある。 |
|
|
TECHNOLOGY COLLABORATORS | 技術協力者 |
The technology vendors participating in this project submitted their capabilities in response to an open call in the Federal | このプロジェクトに参加する技術ベンダーは、連邦官報に掲載された公募に応じ て、その能力を提出した。 |
Register. Companies with relevant security capabilities were invited to sign a Cooperative Research and Development Agreement with the National Institute of Standards and Technology (NIST), allowing them to participate in a consortium to build this example solution. | 登録された。関連するセキュ リティ機構を持つ企業は、国立標準技術研究所(NIST)と協力研究開発契約を締結するよう招 待され、このソリューション例を構築するコンソーシアムへの参加が認められた。 |
Appgate | Appgate |
AWS | AWS |
Broadcom Software | Broadcom Software |
Cisco | Cisco |
DigiCert | DigiCert |
F5 | F5 |
Forescout | Forescout |
Google Cloud | Google Cloud |
IBM | IBM |
Ivanti | Ivanti |
Lookout | Lookout |
Mandiant | Mandiant |
Microsoft | Microsoft |
Okta | Okta |
Palo Alto Networks | Palo Alto Networks |
PC Matic | PC Matic |
Ping Identity | Ping Identity |
Radiant Logic | Radiant Logic |
SailPoint | SailPoint |
Tenable | Tenable |
Trellix | Trellix |
VMware | VMware |
Zimperium | Zimperium |
Zscaler | Zscaler |
Certain commercial entities, equipment, products, or materials may be identified by name or company logo or other insignia to acknowledge their participation in this collaboration or to describe an experimental procedure or concept adequately. Such identification is not intended to imply special status or relationship with NIST or recommendation or endorsement by NIST or the NCCoE; neither is it intended to imply that the entities, equipment, products, or materials are necessarily the best available. | 特定の営利事業体、機器、製品、または材料は、本協業への参加を認めるため、または実験手順やコンセプトを適切に説明するために、名称や企業ロゴ、その他の記章によって識別される場合がある。このような識別は、NIST との特別な地位や関係、あるいは NIST や NCCoE による推奨や支持を意味するものではなく、事業体、機器、製品、または材料が必ずしも入手可能な最良のものであることを意味するものでもない。 |
The National Cybersecurity Center of Excellence (NCCoE), a part of the National Institute of Standards and Technology (NIST), is a collaborative hub where industry organizations, government agencies, and academic institutions work together to address businesses’ most pressing cybersecurity challenges. Through this collaboration, the NCCoE develops modular, easily adaptable example cybersecurity solutions demonstrating how to apply standards and best practices using commercially available technology. | 国立標準技術研究所(NIST)の一部門である国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、産業組織、政府機関、学術機関が協力して、企業の最も差し迫ったサイバーセキュリティの課題に取り組む共同拠点である。このコラボレーションを通じて、NCCoEは、市販の技術を使用して標準とベスト・プラクティスを適用する方法を実証する、モジュール式で容易に適応可能なサイバーセキュリティ・ソリューションの例を開発している。 |
LEARN MORE | 詳細はこちら |
For more information about this project, visit: [web] | このプロジェクトの詳細については、以下を参照のこと: [web] |
● まるちゃんの情報セキュリティ気まぐれ日記
1800-35...
・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)
・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)
・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)
・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)
800-207他
・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」
・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表
・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス
・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。
・2020.08.14 NIST SP 800-207 Zero Trust Architecture
・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)
Comments