米国 CISA ゼロトラストへの道のり ゼロトラストにおけるマイクロセグメンテーション 第 1 部：序論と計画 (2025.07.29)

こんにちは、丸山満彦です。

CISAが、「ゼロトラスト・マイクロセグメンテーション・ガイダンスのパート1：序論と計画 ]を発表していますね...　連邦政府がゼロトラスト・アーキテクチャへの移行をすすめるためのガイドという感じですかね...

シリーズとして、続いていくような感じですね...

 

CISA Releases Part One of Zero Trust Microsegmentation Guidance	CISA、ゼロトラスト・マイクロセグメンテーション・ガイダンスのパート1を発表
CISA released Microsegmentation in Zero Trust, Part One: Introduction and Planning as part of its ongoing efforts to support Federal Civilian Executive Branch (FCEB) agencies implementing zero trust architectures (ZTAs).	CISAは、ゼロトラスト・アーキテクチャ（ZTA）を導入する連邦文民行政機関（FCEB）を支援する継続的な取り組みの一環として、「ゼロトラストにおけるマイクロセグメンテーション、パート1：序論と計画」を発表した。
This guidance provides a high-level overview of microsegmentation, focusing on its key concepts, associated challenges and potential benefits, and includes recommended actions to modernize network security and advance zero trust principles.	このガイダンスは、マイクロセグメンテーションの重要な概念、関連する課題、潜在的なメリットに焦点を当てながら、マイクロセグメンテーションのハイレベルな概要を提供し、ネットワークセキュリティを近代化し、ゼロトラストの原則を推進するための推奨事項を含んでいる。
Microsegmentation is a critical component of ZTA that reduces the attack surface, limits lateral movement, and enhances visibility for monitoring smaller, isolated groups of resources.	マイクロセグメンテーションは、ZTA の重要な構成要素であり、攻撃対象領域を縮小し、横の動きを制限し、小さ く分離されたリソースのグループを監視するための可視性を強化する。
While the guidance focuses on FCEB references, its principles are applicable to any organization. As part of its Journey to Zero Trust series, CISA plans to release a subsequent technical guide to offer detailed implementation scenarios and technical considerations for implementation teams. Visit our Zero Trust webpage for more information and resources.	このガイダンスはFCEBに焦点を当てているが、その原則はどの組織にも適用可能である。ゼロ・トラストへの旅」シリーズの一環として、CISAは、詳細な実装シナリオと実装チームのための技術的な考慮事項を提供する後続のテクニカル・ガイドをリリースする予定である。詳細とリソースについては、ゼロトラストのウェブページを参照されたい。

 

・[PDF] The Journey to Zero Trust Microsegmentation in Zero Trust Part One: Introduction and Planning

・[DOCX][PDF] 仮訳

 

 

目次...

1. Introduction	1. 序論
1.1 Executive Summary	1.1 エグゼクティブサマリー
Figure 1: ZTMM - Network	図1：ZTMM - ネットワーク
1.2 Background	1.2 背景
Figure 2: Zero Trust Maturity Journey	図2：ゼロトラスト成熟度旅路
Figure 3: Threat Impacts and Segmentation	図3：脅威の影響とセグメンテーション
2. What is Segmentation?	2. セグメンテーションとは何であるか？
2.1 Key Concepts	2.1 主要な概念
Figure 4: Policy-Controlled Access	図 4：ポリシーによるアクセス制御
Figure 5: Evolution of TIC	図 5：TIC の推移
Figure 6: Traditional Network Segmentation	図6：伝統的なネットワークセグメンテーション
Figure 7: Microsegmentation	図7：マイクロセグメンテーション
Figure 8: Workflow-Based Microsegmentation	図 8: ワークフローベースのマイクロセグメンテーション
2.2 Segmentation Types	2.2 セグメンテーションの種類
Table 1: Segmentation Types and Features	表1：セグメンテーションの種類と機能
3. Phased Approach	3. 段階的なアプローチ
3.1 Phase 1: Identify Candidate Resources for Segmentation	3.1 フェーズ 1：セグメンテーションの候補リソースの識別
3.2 Phase 2: Identify Dependencies for Selected Candidate Resources	3.2 フェーズ 2：選択した候補リソースの依存関係を識別する
3.3 Phase 3: Determine Appropriate Segmentation Policies	3.3 フェーズ 3：適切なセグメンテーションポリシーの決定
3.4 Phase 4: Deploy Updated Segmentation Policies	3.4 フェーズ 4：更新されたセグメンテーションポリシーの展開
4. Planning Considerations	4. 計画上の考慮事項
4.1 User and Organizational Support	4.1 ユーザーと組織のサポート
4.2 Identifying Candidate Resources for Segmentation	4.2 セグメンテーションの対象となるリソースの識別
4.3 Identifying Dependent Resources	4.3 依存リソースの識別
4.4 Determining Appropriate Segmentation Policies	4.4 適切なセグメンテーションポリシーの決定
4.5 Deploying Updated Segmentation Policies	4.5 更新されたセグメンテーションポリシーの展開
4.6 Handling User Devices	4.6 ユーザーデバイスの取り扱い
4.7 Handling OT, IoT and Legacy Environments and Devices	4.7 OT、IoT、レガシー環境およびデバイスの取り扱い
4.8 Centralizing Control and Visibility	4.8 制御と可視化の集中化
4.9 Ongoing Maintenance and Evolution	4.9 継続的な保守と進化
5. EXAMPLE MICROSEGMENTATION SCENARIOS	5. マイクロセグメンテーションの例
5.1 Scenario #1: Rearchitecting an Existing On-Premises Enterprise	5.1 シナリオ 1：既存のオンプレミスエンタープライズの再構築
5.2 Scenario #2: Microsegmentation as Part of an Environment Transition	5.2 シナリオ #2: 環境移行の一部としてのマイクロセグメンテーション
5.3 Scenario #3: Microsegmentation of a Distributed Enterprise	5.3 シナリオ 3：分散型エンタープライズのマイクロセグメンテーション
6. Conclusion	6. 結論
APPENDIX A: Federal Guidelines	附属書 A：連邦ガイドライン
APPENDIX B: Acronyms	附属書 B：頭字語

 

エグゼクティブサマリー...

1.1 EXECUTIVE SUMMARY	1.1 エグゼクティブサマリー
Traditional perimeter-focused architecture is no longer effective in protecting enterprise resources from cyber intrusions and compromise. Microsegmentation works by protecting a smaller group of resources, thereby reducing the attack surface, limiting lateral movement and increasing visibility for better monitoring of the microsegmented environment. Microsegmentation does not replace defense-in-depth and the proper management of data, assets, configuration and vulnerabilities through various controls and cybersecurity tools. Rather, microsegmentation augments the organization’s ability to apply targeted risk- and threat-appropriate protections when it is used in conjunction with existing capabilities.	従来の境界重視のアーキテクチャでは、サイバー侵入や侵害からエンタープライズリソースを保護することはもはや困難である。マイクロセグメンテーションは、より小規模なリソースグループを保護することで、攻撃対象領域を縮小し、横方向の移動を制限し、可視性を高めて、マイクロセグメント化された環境の監視を強化する。マイクロセグメンテーションは、さまざまな制御やサイバーセキュリティツールによる多層防御や、データ、資産、構成、脆弱性の適切な管理に代わるものではない。むしろ、マイクロセグメンテーションは、既存の機能と組み合わせて使用することで、リスクや脅威に応じた保護を的を絞って適用する組織の能力を強化する。
Adoption of this cultural and Technical shift in system security and architecture depends on organizational leadership. The Journey to Zero Trust provides leaders with a high-level overview of microsegmentation concepts and a phased implementation approach. While this document has specific federal civilian executive branch (FCEB) references, any organization can apply the information provided to modernize its network and move toward zero trust architecture.	システムセキュリティとアーキテクチャにおけるこの文化的および技術的な変化の採用は、組織のリーダーシップに依存する。このゼロトラストへの道のりは、リーダーにマイクロセグメンテーションの概念と段階的な実装アプローチの概要をわかりやすく説明する。このドキュメントには、連邦文民行政機関（FCEB）に関する具体的な参照情報があるが、あらゆる組織が、ここで提供される情報を活用してネットワークを最新化し、ゼロトラストアーキテクチャへの移行を進めることができる。
Microsegmentation can be applied to any Technology environment, such as information Technology (IT), operational Technology (OT), industrial control system (ICS), internet of things (IoT), as well as any implementation model, including cloud, on premise and hybrid. Microsegmentation enables applying risk- and threat-appropriate protections and visibility capabilities for the specific system(s) or data within the microsegment. Microsegmentation can significantly enhance the security of systems and data and helps reduce the blast area that a compromised resource can impact.	マイクロセグメンテーションは、情報技術（IT）、運用技術（OT）、産業用制御システム（ICS）、モノのインターネット（IoT）などのあらゆるテクノロジー環境、およびクラウド、オンプレミス、ハイブリッドなどのあらゆる実装モデルに適用できる。マイクロセグメンテーションにより、マイクロセグメント内の特定のシステムやデータに、リスクと脅威に応じた保護機能と可視化機能を適用することができる。マイクロセグメンテーションは、システムやデータのセキュリティを大幅に強化し、侵害されたリソースが影響を与える範囲を縮小するのに役立つ。
When implemented as part of ZTAs, microsegmentation solutions utilize additional characteristics at the time of access to protect target resources instead of relying on implicit trust based on network location. PEPs use these characteristics to authorize initial access and validate that continued access remains necessary and authorized while the connection to the resource exists. The Cybersecurity and Infrastructure Security Agency (CISA) addresses microsegmentation in the Zero Trust Maturity Model (ZTMM) within the network pillar.4[5]	ZTAs の一部として実装された場合、マイクロセグメンテーションソリューションは、ネットワークの場所に基づく暗黙の信頼に依存するのではなく、アクセス時に追加の特性を利用して、ターゲットリソースを保護する。PEP は、これらの特性を使用して、初期アクセスを認可し、リソースへの接続が存在する間、継続的なアクセスが必要かつ認可されていることを妥当性確認する。サイバーセキュリティ・インフラセキュリティ庁（CISA）は、ネットワークの柱におけるゼロトラスト成熟度モデル（ZTMM）でマイクロセグメンテーションについて取り上げている。[5]
Figure 1: ZTMM - Network	図1：ZTMM - ネットワーク
In the context of this document, microsegmentation is more than network segmentation. The solutions used to implement microsegmentation span multiple Technical capabilities and are implemented in multiple layers of the Open Systems Interconnection (OSI) model.5F[6]	この文書では、マイクロセグメンテーションはネットワークのセグメンテーション以上のものとして扱われている。マイクロセグメンテーションの実装に使用されるソリューションは、複数の技術的能力にまたがり、開放型システム間相互接続 (OSI) モデルの複数の層で実装される。[6]
Transitioning an organization from existing traditional segmentation, which relied on large-scale perimeters with limited Technical capabilities, to fine-tuned microsegmentation requires a paradigm shift that leaders must champion. Successful adoption of microsegmentation will improve enterprise cybersecurity and availability.	技術的能力が限られた大規模な境界に依存していた従来のセグメンテーションから、微調整されたマイクロセグメンテーションに移行するには、リーダーが主導するパラダイムシフトが必要だ。マイクロセグメンテーションの導入に成功すると、エンタープライズのサイバーセキュリティと可用性が向上する。
This document focuses on concepts, challenges and benefits of moving to microsegmentation and recommends high-level actions for successful adoption of this architectural initiative in support of advancing ZT. Referenced federal guidelines and acronyms are listed in Appendix A and Appendix B respectively.	この文書では、マイクロセグメンテーションへの移行に関する概念、課題、およびメリットに焦点を当て、ZT の推進を支援するこのアーキテクチャイニシアチブを成功裏に導入するための、高レベルのアクションを推奨する。参照した連邦ガイドラインおよび頭字語は、それぞれ附属書 A および附属書 B に記載している。
A subsequent Technical guide will be produced for Technical leaders and implementation teams. This Technical guide will provide implementation scenarios to illustrate the Technical considerations, recommendations, and challenges of this transition.	技術リーダーおよび実装チーム向けに、技術ガイドが別途作成される予定だ。この技術ガイドでは、この移行に関する技術的な考慮事項、推奨事項、および課題について、実装シナリオを用いて説明する。

[5] Cybersecurity and Infrastructure Security Agency, “Zero Trust Maturity Model Version 2.0,” Zero Trust Maturity Model Version 2.0, Section 4 and ZTMM pillars, April 2023, https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf.

[6] International Organization for Standardization/International Electrotechnical Commission, “Information technology–Open
Systems Interconnection–Basic Reference Model, 7498-1:1994,” June 1, 1996, https://www.iso.org/standard/20269.html.

 

---

 

ゼロトラストのページ...

・Zero Trust