米国 NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 (2024.07.30)
こんにちは、丸山満彦です。
NISTがSP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装を公表し、意見募集をしていますね...
かなり詳細なドキュメントです...
本文中にこの文書の利用の前提条件が書いているのですが、重要です...
Assumptions | 前提条件 |
This project is guided by the following assumptions: | このプロジェクトは、以下の前提条件に基づいている: |
NIST SP 800-207, Zero Trust Architecture is a definitive source of ZTA concepts and principles. | NIST SP 800-207「Zero Trust Architecture」は、ZTAの概念と原則の決定的な情報源である。 |
Enterprises that want to migrate gradually to an increasing use of ZTA concepts and principles in their network environments may desire to integrate ZTA with their legacy enterprise and cloud systems. | ネットワーク環境においてZTAの概念と原則を徐々に使用するように移行したいエンタープライズは、ZTAをレガシーエンタープライズシステムとクラウドシステムに統合することを望むかもしれない。 |
To prepare for a migration to ZTA, enterprises may want to inventory and prioritize all resources that require protection based on risk. They will also need to define policies that determine under what set of conditions subjects will be given access to each resource based on attributes of both the subject and the resource (e.g., location, type of authentication used, user role), as well as other variables such as day and time. | ZTAへの移行の準備として、エンタープライズは、リスクに基づいて保護が必要なすべてのリソースをインベントリ化し、優先順位をつけることが考えられる。また、対象者とリソースの属性(場所、認証の種類、ユーザーの役割など)、および曜日や時間などの変数に基づいて、どのような条件で対象者に各リソースへのアクセスを許可するかを決定するポリシーを定義する必要がある。 |
Enterprises should use a risk-based approach to set and prioritize milestones for their gradual adoption and integration of ZTA across their enterprise environment. | 企業は、リスクベースのアプローチを使用して、エンタープライズ環境全体で段階的に ZTA を採用し、統合するためのマイルストーンを設定し、優先順位をつけるべきである。 |
There is no single approach for migrating to ZTA that is best for all enterprises. | すべてのエンタープライズにとって最適なZTAへの移行方法は一つではない。 |
ZTA is a set of concepts and principles, not a set of technical specifications that can be complied with. Therefore, zero trust compliance is not an objective. Rather, the objective is continuous improvement of the access control processes and policies in accordance with the principles of ZTA. | ZTAは概念と原則の集合であり、準拠可能な技術仕様の集合ではない。したがって、ゼロ・トラスト・コンプライアンスは目的ではない。むしろ、ZTAの原則に従ってアクセス管理プロセスとポリシーを継続的に改善することが目的である。 |
Devices, applications, and other non-human entities can have different levels of capabilities: | デバイス、アプリケーション、およびその他の人間以外の事業体は、異なるレベルの能力を持つことができる: |
Neither host-based firewalls nor host-based intrusion prevention systems (IPS) are mandatory components; they are, however, capabilities that can be added when a device is capable of supporting them. | ホストベースのファイアウォールもホストベースの侵入防御システム(IPS)も必須コンポーネントではない。 |
Some limited functionality devices that are not able to host firewall, IPS, and other capabilities on their own may be associated with services that provide these capabilities for them. In this case, both the device and its supporting services can be considered the subject in the ZTA access interaction. | ファイアウォール、IPS、およびその他の機能を単独でホストできない機能制限付きデバイスの中には、これらの機能を提供するサービスに関連しているものもある。この場合、ZTAアクセス相互作用では、デバイスとそのサポー トサービスの両方が主体と見なされる。 |
Some devices are bound to users (e.g., desktop, laptop, smartphone); other devices are not bound to users (e.g., kiosk endpoints, servers, applications, services). Both types of devices can be subjects and request access to enterprise resources. | あるデバイスはユーザーにバインドされる(例:デスクトップ、ラップトップ、スマー トフォン)が、他のデバイスはユーザーにバインドされない(例:キオスクエンドポイン ト、サーバー、アプリケーション、サービス)。どちらのタイプのデバイスもサブジェクトとなり、エンタープライズリソースへのアクセスを要求することができる。 |
ZTA components used in any given enterprise solution should be interoperable regardless of their vendor origin. | 任意のエンタープライズソリューションで使用されるZTAコンポーネントは、ベンダーの出自に関係なく相互運用可能でなければならない。 |
● NIST - ITL
・2024.07.30 NIST SP 1800-35 (4th Preliminary Draft) Implementing a Zero Trust Architecture
NIST SP 1800-35 (4th Preliminary Draft) Implementing a Zero Trust Architecture | NIST SP 1800-35(第4次初期ドラフト) ゼロトラストアーキテクチャの実装 |
Announcement | 発表 |
The NIST National Cybersecurity Center of Excellence (NCCoE) has released the fourth version of our preliminary draft practice guide, Implementing a Zero Trust Architecture (NIST SP 1800-35), for public comment. This publication outlines results and best practices from the NCCoE effort to work with 24 vendors to demonstrate end-to-end zero trust architectures. | NISTナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゼロトラスト・アーキテクチャの実装(NIST SP 1800-35)の初期ドラフト第4版を公開し、パブリックコメントの募集を開始した。本書は、NCCoEが24のベンダーと協力してエンドツーエンドのゼロトラスト・アーキテクチャの実証に取り組んだ結果とベストプラクティスを概説している。 |
Starting with this release, we are introducing our traditional NIST SP 1800-35 document in two formats; one High-Level Document in PDF Format and one Full Document in Web Format. The document in PDF format is meant to serve as introductory reading with insight into the project effort (since it provides a high-level summary of project goals, reference architecture, various ZTA implementations, and findings). | 今回のリリースから、従来のNIST SP 1800-35文書を、PDF形式のハイレベル文書とWeb形式の完全文書の2つの形式で紹介する。PDF形式のドキュメントは、プロジェクトの取り組みについての洞察(プロジェクトの目標、リファレンス・アーキテクチャ、様々なZTA実装、調査結果のハイレベルな要約を提供するため)を提供する入門的な読み物として機能することを意図している。 |
The web format document provides in-depth details about technologies leveraged, their integrations and configurations, and the use cases and scenarios demonstrated. It also contains information on the implemented security capabilities and their mappings to the NIST Cybersecurity Framework (CSF) versions 1.1 and 2.0, NIST SP 800-53r5, and security measures outlined in “EO-Critical Software” under Executive Order 14028. | ウェブ形式の文書では、活用された技術、それらの統合と構成、実証されたユースケースとシナリオに関する詳細な情報が提供される。また、実装されたセキュリティ機能とNISTサイバーセキュリティフレームワーク(CSF)バージョン1.1および2.0、NIST SP 800-53r5、および大統領令14028の「EO-Critical Software」に概説されたセキュリティ対策とのマッピングに関する情報も含まれている。 |
... | ... |
Abstract | 要旨 |
A zero trust architecture (ZTA) enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. | ゼロトラストアーキテクチャ(ZTA)は、オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認可アクセスを可能にすると同時に、ハイブリッドワーカーやパートナーが、組織のミッションをサポートするために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。 |
This NIST Cybersecurity Practice Guide explains how organizations can implement ZTA consistent with the concepts and principles outlined in NIST Special Publication (SP) 800-207, Zero Trust Architecture. The NCCoE worked with 24 collaborators under Cooperative Research Development Agreements (CRADAs) to integrate commercially available technology to build 17 ZTA example implementations and demonstrate a number of common use cases. Detailed technical information on each build can serve as a valuable resource for your technology implementers by providing models they can emulate. The lessons learned from the implementations and integrations can benefit your organization by saving time and resources. This guide also includes mappings of ZTA principles to commonly used security standards and guidance. | このNISTサイバーセキュリティ実践ガイドでは、NIST特別刊行物(SP)800-207「Zero Trust Architecture」に概説されている概念と原則に沿って、組織がZTAを実装する方法を説明している。NCCoE は、CRADA(Cooperative Research Development Agreements:共同研究開発契約)に基づく 24 の共同研究者と協力し、市販の技術を統合して 17 の ZTA 実装例を構築し、多くの一般的なユースケースを実証した。各実装に関する詳細な技術情報は、技術実装者が模倣できるモデルを提供することで、貴重なリソースとなる。実装と統合から学んだ教訓は、時間とリソースを節約することで、組織に利益をもたらす。このガイドには、ZTA の原則と一般的に使用されているセキュリティ標準やガイダンスのマッピングも含まれている。 |
・[PDF] NIST SP 1800-35 high-level overview
目次...
Exective Summary | エグゼクティブサマリー |
1 Introduction to the Guide | 1 ガイドの序文 |
1.1 Audience | 1.1 対象者 |
1.2 Scope | 1.2 適用範囲 |
1.3 How to Use This Guide | 1.3 本ガイドの使用方法 |
2 Project Overview | 2 プロジェクトの概要 |
2.1 Motivation for the Project | 2.1 プロジェクトの動機 |
2.2 Challenges in Implementing ZTA | 2.2 ZTA導入の課題 |
2.3 Project Approach | 2.3 プロジェクトのアプローチ |
2.4 Collaborators and Their Contributions | 2.4 協力者とその貢献 |
3 Architecture and Builds | 3 アーキテクチャとビルド |
3.1 General ZTA Reference Architecture | 3.1 一般的なZTAリファレンスアーキテクチャ |
3.2 EIG Crawl Phase Reference Architecture | 3.2 EIGクロールフェーズリファレンスアーキテクチャ |
3.3 EIG Run Phase Reference Architecture | 3.3 EIG実行フェーズのリファレンスアーキテクチャ |
3.4 SDP, Microsegmentation, and SASE Reference Architecture | 3.4 SDP、マイクロセグメンテーション、SASEリファレンスアーキテクチャ |
3.5 ZTA Laboratory Physical Architecture | 3.5 ZTAラボの物理アーキテクチャ |
3.6 Builds Implemented | 3.6 実装されたビルド |
4 Build Implementation Instructions | 4 ビルド実装手順 |
5 General Findings | 5 一般的な調査結果 |
5.1 EIG Crawl Phase Findings | 5.1 EIGクロールフェーズの結果 |
5.2 EIG Run Phase Findings | 5.2 EIG実行フェーズの結果 |
5.3 SDP, Microsegmentation, and SASE Phase Findings | 5.3 SDP、マイクロセグメンテーション、SASEフェーズの結果 |
6 Functional Demonstrations | 6 機能デモ |
6.1 Demonstration Methodology | 6.1 実証方法 |
6.2 Demonstration Use Cases | 6.2 実証ユースケース |
6.2.1 Use Case A: Discovery and Identification | 6.2.1 ユースケースA:発見と特定 |
6.2.2 Use Case B: Enterprise-ID Access | 6.2.2 ユースケース B:エンタープライズ ID アクセス |
6.2.3 Use Case C: Collaboration: Federated-ID Access | 6.2.3 ユースケース C:コラボレーション: 統合IDアクセス |
6.2.4 Use Case D: Other-ID Access | 6.2.4 ユースケース D: その他のIDアクセス |
6.2.5 Use Case E: Guest: No-ID Access | 6.2.5 ユースケースE:ゲスト: IDなしアクセス |
6.2.6 Use Case F: Confidence Level | 6.2.6 ユースケースF:信頼レベル |
6.2.7 Use Case G: Service-Service Interaction | 6.2.7 ユースケースG:サービス間インタラクション |
6.2.8 Use Case H: Data Level Security Scenarios | 6.2.8 ユースケースH:データ・レベルのセキュリティ・シナリオ |
6.3 Functional Demonstration Results | 6.3 機能実証結果 |
6.3.1 Demonstration Result Summaries | 6.3.1 実証結果の概要 |
6.3.2 Demonstration Results in Full | 6.3.2 実証結果全文 |
7 Risk and Compliance Management | 7 リスクとコンプライアンスのマネジメント |
7.1 Risks Addressed by the ZTA Reference Architecture | 7.1 ZTAリファレンスアーキテクチャが対処するリスク |
7.2 ZTA Security Mappings | 7.2 ZTAセキュリティマッピング |
8 Zero Trust Journey Takeaways | 8 ゼロ・トラスト・ジャーニーの要点 |
8.1 Discover and Inventory the Existing Environment | 8.1 既存環境の発見とインベントリ作成 |
8.2 Formulate Access Policy to Support the Mission and Business Use Cases | 8.2 使命とビジネスユースケースをサポートするアクセスポリシーを策定する |
8.3 Identify Existing Security Capabilities and Technology | 8.3 既存のセキュリティ能力と技術を識別する |
8.4 Eliminate Gaps in Zero Trust Policy and Processes by Applying a Risk-Based Approach Based on the Value of Data | 8.4 データの価値に基づくリスクベースアプローチを適用することで、ゼロトラストポリシーと プロセスのギャップをなくす |
8.5 Implement ZTA Components (People, Process, and Technology) and Incrementally Leverage Deployed Security Solutions | 8.5 ZTA の構成要素(人、プロセス、技術)を実装し、展開済みのセキュリティソリュ ーションを段階的に活用する |
8.6 Verify the Implementation to Support Zero Trust Outcomes | 8.6 ゼロトラストの成果をサポートするために実装を検証する |
8.7 Continuously Improve and Evolve Due to Changes in Threat Landscape, Mission, Technology, and Regulations | 8.7 脅威の状況、ミッション、技術、規制の変化に応じて継続的に改善し、進化させる |
Appendix A List of Acronyms | 附属書 A 頭字語リスト |
Appendix B References | 附属書 B 参考文献 |
Appendix C Change Log | 附属書 C 変更履歴 |
エグゼクティブサマリー
Exective Summary | エグゼクティブサマリー |
A zero trust architecture (ZTA) can help your organization to protect its data and resources no matter where they are located. A ZTA can also enable your workforce, contractors, partners, and other authorized parties to securely access the data and resources they need from anywhere at any time. ZTAs implement a risk-based approach to cybersecurity — continuously evaluating and verifying conditions and requests to decide which access requests should be permitted, then ensuring that each access is properly safeguarded commensurate with risk. Because of their effectiveness against both internal and external threats, ZTAs are increasingly being implemented, and some organizations are already required by legislation or regulation to use ZTAs. | ゼロトラストアーキテクチャ(ZTA)は、組織のデータとリソースがどこにあろうと、それらを保護するのに役立つ。ZTAはまた、従業員、請負業者、パートナー、その他の認可された関係者が、いつでもどこからでも必要なデータやリソースに安全にアクセスすることを可能にする。ZTAはサイバーセキュリティにリスクベースのアプローチを導入している。どのアクセス要求を許可すべきかを決定するために、条件と要求を継続的に評価・検証し、各アクセスがリスクに見合った適切な保護を受けていることを保証する。ZTAは、内部および外部の脅威に対して有効であるため、導入が進んでおり、すでに法律や規制によってZTAの使用を義務付けられている組織もある。 |
This guide is intended to help your organization plan how to gradually evolve its existing environments and technologies to a ZTA over time. The insights in this guide are based on a project being led by the National Cybersecurity Center of Excellence (NCCoE) in collaboration with 24 ZTA technology providers. Together they have built 17 example ZTA solutions in lab environments and demonstrated each build’s ability to meet the principles of ZTA. Detailed technical information on each build can also serve as a valuable resource for your technology implementers by providing models they can emulate. The lessons they have learned from the implementations and integrations can benefit your organization by saving time and resources. | 本ガイドは、既存の環境とテクノロジーを時間をかけて徐々にZTAに進化させる方法を、組織が計画するのに役立つことを目的としている。このガイドの洞察は、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が24のZTAテクノロジー・プロバイダと協力して主導しているプロジェクトに基づいている。彼らは共同で、17のZTAソリューション例をラボ環境で構築し、各構築がZTAの原則を満たす能力を実証した。各構築に関する詳細な技術情報は、模倣可能なモデルを提供することで、技術実装者にとって貴重なリソースとなる。実装と統合から学んだ教訓は、時間とリソースを節約することで、組織に利益をもたらす。 |
By utilizing this guide, your organization can be better positioned to implement a ZTA that achieves the following: | このガイドを活用することで、あなたの組織は、以下を実現するZTAを実装するためのより良いポジションを得ることができる: |
・Supports user access to resources regardless of user location or device (managed or unmanaged) | ・ユーザーの場所やデバイス(管理型、非管理型)に関係なく、リソースへのユーザーアクセスをサポートする。 |
・Protects sensitive information and other business assets and processes regardless of their location (on-premises or cloud-based) | ・場所(オンプレミスまたはクラウドベース)に関係なく、機密情報およびその他のビジネス資産とプロセスを防御する。 |
・Limits breaches by making it harder for attackers to move through an environment and by addressing the insider threat (insiders are not automatically trusted) | ・攻撃者が環境内を移動することを困難にし、インサイダーの脅威(インサイダーは自動的に信頼されるわけではない)に対処することで、侵害を制限する。 |
・Performs continuous, real-time monitoring, logging, and risk-based assessment and enforcement of corporate policy | ・継続的なリアルタイムのモニタリング、ロギング、リスクベースのアセスメントを行い、企業ポリシーを実施する。 |
・[HTML] NIST SP 1800-35 Full Document
● まるちゃんの情報セキュリティ気まぐれ日記
1800-35...
・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント
・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ
・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)
・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)
・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)
・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)
800-207他
・2023.09.17 NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」
・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表
・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス
・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。
・2020.08.14 NIST SP 800-207 Zero Trust Architecture
・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)
Comments