米国 NIST SP1800-35 ゼロトラストアーキテクチャの実装： ハイレベル文書 (2025.06.10)

こんにちは、丸山満彦です。

NISTが、ゼロトラスト・アーキテクチャーを導入するための実装ガイドのハイレベル文書であるSP1800-35を公表していますね...

SP1800-35の補足的な資料となる完全な文書については、こちらです...

 

一般的なゼロトラスト・アーキテクチャの図がこちらになります...

 

EIGクロール・フェーズ参照アーキテクチャはこちら...

 

協力している企業が24社あるわけですが、自国の企業だけでゼロトラストの実装ができる国というのは、米国ならではかもしれません。ひょっとしたら中国がすでにできるようになっているかもしれませんが...

 

● NIST - ITL

・2025.06.10 NIST SP 1800-35 Implementing a Zero Trust Architecture: High-Level Document

NIST SP 1800-35 Implementing a Zero Trust Architecture: High-Level Document	NIST SP 1800-35 ゼロトラストアーキテクチャの実装： ハイレベル文書
Abstract	概要
A zero trust architecture (ZTA) enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. This NIST Cybersecurity Practice Guide explains how organizations can implement ZTA consistent with the concepts and principles outlined in NIST Special Publication (SP) 800-207, Zero Trust Architecture. The NCCoE worked with 24 collaborators under Cooperative Research and Development Agreements (CRADAs) to integrate commercially available technology to build 19 ZTA example implementations and demonstrate a number of common use cases. The Guide includes detailed technical information on each example ZTA implementation, providing models that organizations can emulate. The guide also summarizes best practices and lessons learned from the implementations and integrations to make it easier and more cost-effective to implement ZTA. Additionally, this guide includes mappings of ZTA principles and technologies to commonly used security standards and guidelines.	ゼロトラストアーキテクチャ（ZTA）は、オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認可アクセスを可能にすると同時に、ハイブリッドワーカーやパートナーが、組織のミッションを支援するために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。このNISTサイバーセキュリティ実践ガイドでは、NIST特別刊行物（SP）800-207「Zero Trust Architecture」に概説されている概念と原則に沿って、組織がZTAを実装する方法を説明している。NCCoE は、CRADA（Cooperative Research and Development Agreements：共同研究開発契約）に基づく 24 の共同研究者と協力し、市販の技術を統合して 19 の ZTA 実装例を構築し、多くの一般的なユースケースを実証した。本ガイドには、ZTAの各実装例に関する詳細な技術情報が含まれており、組織が模倣できるモデルを提供している。また、ZTAの実装をより簡単かつ費用対効果の高いものにするため、実装や統合から得られたベストプラクティスや教訓もまとめている。さらに、このガイドには、ZTAの原則と技術を、一般的に使用されているセキュリティ標準やガイドラインにマッピングしたものも含まれている。

 

・[PDF] NIST.SP.1800-35

・[DOCX][PDF] 仮訳

 

オンラインのフル文書

Implementing a Zero Trust Architecture: Full Document	ゼロ・トラスト・アーキテクチャを導入する： 完全文書
Executive Summary	エグゼクティブサマリー
Introduction to the Guide	ガイド序論
Project Overview	プロジェクトの概要
Architecture and Builds	アーキテクチャとビルド
Builds Implemented	実装されたビルド
Build Architecture Details	ビルドアーキテクチャの詳細
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs	エンタープライズ 1 ビルド 1（E1B1） - EIG クロール - Okta Identity Cloud および Ivanti Access ZSO を PE とする。
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE	エンタープライズ 2 ビルド 1（E2B1） - EIG クロール - PE として Ping Identity Ping Federate
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE	エンタープライズ3ビルド1（E3B1） - EIG Crawl - Azure AD Conditional Access（後にEntra Conditional Accessに改称）をPEとする。
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE	エンタープライズ 1 ビルド 2（E1B2） - EIG の実行 - PE としての Zscaler ZPA セントラルオーソリティ（CA）
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs	Enterprise 3 Build 2 (E3B2) - EIG Run - PEとしてMicrosoft Azure AD Conditional Access（後にEntra Conditional Accessに名称変更）、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE	エンタープライズ1ビルド3（E1B3） - SDP - PEとしてZscaler ZPA CA
Enterprise 2 Build 3 (E2B3) — Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs	エンタープライズ 2 ビルド 3（E2B3） - マイクロセグメンテーション - PE として Cisco ISE、Cisco Secure Workload、Ping Identity Ping Federate
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs	エンタープライズ 3 ビルド 3（E3B3） - SDP とマイクロセグメンテーション - Microsoft Azure AD Conditional Access（後に Entra Conditional Access に改称）、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を PE とする。
Enterprise 4 Build 3 (E4B3) -	エンタープライズ 4 ビルド 3（E4B3）
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE	Enterprise 1 Build 4（E1B4） - SDP - PEとしてのAppgate SDP Controller
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs	エンタープライズ 2 ビルド 4（E2B4） - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、 Symantec ZTNA、Symantec Cloud Access Security Broker
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs	エンタープライズ3ビルド4（E3B4） - SDP - PEとしてF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、Forescout eyeExtend
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs	エンタープライズ 4 ビルド 4（E4B4） - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs	エンタープライズ 1 ビルド 5（E1B5） - SASE およびマイクロセグメンテーション - PAN NGFW および PAN Prisma Access を PE として使用
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs	エンタープライズ 2 ビルド 5（E2B5） - SDP および SASE - Lookout SSE および Okta Identity Cloud を PE として使用
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly called Azure AD Conditional Access) and Microsoft Security Service Edge as PEs	Enterprise 3 Build 5（E3B5） - SDPおよびSASE - Microsoft Entra Conditional Access（旧名称：Azure AD Conditional Access）およびMicrosoft Security Service EdgeをPEとする。
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PEs	Enterprise 4 Build 5 (E4B5) - SDP とマイクロセグメンテーション - PE として AWS Verified Access と Amazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PE	Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access を PE として使用する。
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE	Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager を PE として使用する。
Build Implementation Instructions	ビルド実装手順
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs Product Guides	エンタープライズ1ビルド1（E1B1） - EIG Crawl - Okta Identity CloudおよびIvanti Access ZSOをPEに 製品ガイド
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE Product Guides	エンタープライズ 2 ビルド 1（E2B1） - EIG クロール - PE としての Ping Identity Ping Federate 製品ガイド
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE Product Guides	エンタープライズ3ビルド1（E3B1） - PE製品ガイドとしてEIG Crawl - Azure AD Conditional Access（後にEntra Conditional Accessに改称
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE Product Guides	エンタープライズ1ビルド2（E1B2） - EIG Run - PE製品ガイドとしてのZscaler ZPA Central Authority（CA）
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	Enterprise 3 Build 2 (E3B2) - EIG Run - PE製品ガイドとしてMicrosoft Azure AD Conditional Access（後にEntra Conditional Accessに改名）、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE Product Guides	エンタープライズ1ビルド3（E1B3） - SDP - PEとしてのZscaler ZPA CA製品ガイド
Enterprise 2 Build 3 (E2B3) - Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs Product Guides	エンタープライズ2ビルド3（E2B3） - マイクロセグメンテーション - PEとしてのCisco ISE、Cisco Secure Workload、Ping Identity Ping Federate製品ガイド
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	エンタープライズ 3 ビルド 3（E3B3） - SDP とマイクロセグメンテーション - PE として Microsoft Azure AD Conditional Access（後に Entra Conditional Access に改称）、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を提供する。
Enterprise 4 Build 3 (E4B3) - EIG Run - IBM Security Verify as PE Product Guides	エンタープライズ 4 ビルド 3（E4B3） - EIG ラン - PE としての IBM Security Verify 製品ガイド
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE Product Guides	エンタープライズ1ビルド4（E1B4） - SDP - PEとしてのAppgate SDPコントローラ 製品ガイド
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs Product Guides	エンタープライズ 2 ビルド 4（E2B4） - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、Symantec ZTNA、Symantec Cloud Access Security Broker 製品ガイド
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	エンタープライズ3ビルド4（E3B4） - SDP - PEとしてのF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、およびForescout eyeExtend製品ガイド
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs Product Guides	エンタープライズ 4 ビルド 4（E4B4） - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T 製品ガイド
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs Product Guides	エンタープライズ1ビルド5（E1B5） - SASEおよびマイクロセグメンテーション - PAN NGFWおよびPAN Prisma AccessをPEとした製品ガイド
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs Product Guides	エンタープライズ2ビルド5（E2B5） - SDPおよびSASE - Lookout SSEおよびOkta Identity CloudをPEとして使用する場合の製品ガイド
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly Azure AD Conditional Access) and Microsoft Security Service Edge as PEs Product Guides	Enterprise 3 Build 5 (E3B5) - SDPおよびSASE - Microsoft Entra Conditional Access（旧Azure AD Conditional Access）およびMicrosoft Security Service EdgeをPEとして製品ガイドに追加
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PE	Enterprise 4 Build 5 (E4B5) - SDPとマイクロセグメンテーション - PEとしてAWS Verified AccessとAmazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PEs Product Guides	Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access as PE プロダクトガイド
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE	Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - PEとしてのAccess Context Manager
Hardening Information	ハードニング情報
General Findings	一般的な調査結果
Functional Demonstrations	機能デモ
Demonstration Terminology	デモの用語
Use Case A: Discovery and Identification of IDs, Assets, and Data Flows	ユースケースA：ID、資産、データフローの発見と識別
Use Case B: Enterprise-ID Access	ユースケースB：エンタープライズIDアクセス
Use Case C: Collaboration: Federated-ID Access	ユースケースC：コラボレーション： 統合IDアクセス
Use Case D: Other-ID Access	ユースケースD： その他のIDアクセス
Use Case E: Guest: No-ID Access	ユースケースE：ゲスト： IDなしアクセス
Use Case F: Confidence Level	ユースケースF：信頼度
Use Case G: Service-Service Interactions	ユースケースG：サービス間相互作用
Use Case H: Data Level Security Scenarios	ユースケースH：データ・レベルのセキュリティ・シナリオ
Functional Demonstration Result Summaries	機能デモ結果サマリー
Functional Demonstration Results	機能実証結果
EIG Crawl Phase Demonstration Results	EIGクロール・フェーズの実証結果
EIG Run Phase Demonstration Results	EIG実行フェーズの実証結果
SDP, Microsegmentation, and SASE Phase Demonstration Results	SDP、マイクロセグメンテーション、SASEフェーズの実証結果
Risk and Compliance Management	リスクおよびコンプライアンス・マネジメント
Risks Addressed by the ZTA Reference Architecture	ZTA参照アーキテクチャが対処するリスク
ZTA Security Mapping Context and Terminology	ZTAセキュリティマッピングのコンテキストと用語
Mappings	マッピング
Zero Trust Journey Takeaways	ゼロ・トラスト・ジャーニーの要点
Glossary	用語集
Acronyms	頭字語
Change Log	変更履歴

 

 

協力している24企業...

1	Appgate
2	AWS
3	Broadcom
4	Cisco
5	DigiCert
6	F5
7	Forescout
8	Google Cloud
9	IBM
10	Ivanti
11	Lookout
12	Mandiant
13	Microsoft
14	Okta
15	Omnissa
16	Palo Alto Networks
17	PC Matic
18	Ping Identity
19	Radiant Logic
20	SailPoint
21	Tenable
22	Trellix
23	Zimperium
24	Zscaler

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.15 米国 NIST NIST SP 1800-35（初公開ドラフト） ゼロトラスト・アーキテクチャの実装 (2024.12.04)

・2024.08.08 米国 NIST SP 1800-35（第4次初期ドラフト） ゼロトラストアーキテクチャの実装 (2024.07.30)

・2023.09.16 NIST SP 1800-35（第2次初期ドラフト） ゼロトラストアーキテクチャの実装　Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35（第3次初期ドラフト） ゼロトラストアーキテクチャの実装　Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35（第2次初期ドラフト） ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. A)