NIST[SP800-207 Zero Trust Architecture]について思ったこと

NISTの[SP800-207 Zero Trust Architecture]の最終版が公表されました。

SP800-207 Zero Trust Architecturとは？
米政府がネットワークやセキュリティのモデルとしてのゼロトラストについて言及する際に、政府標準として扱われるべく提言されたものです。政府標準用途ですが、現在の他SP800同様に、世界中の組織がSP800-207を参考にゼロトラストについて設計、実装するデファクトスタンダードになる提言です。

NISTのゼロトラストは今までと何が違うのか？
まず、今までのゼロトラストの定義を確認してみる

ゼロトラストモデルの生みの親 John Kindervagによる定義
1. ネットワークは常に安全でないと見なされる
2. ネットワーク上には外部および内部の脅威が常に存在する
3. ネットワークを信用できると判断するには、ローカルネットワークでは不十分である
4. デバイス、ユーザー、ネットワークフローは1つ残らず認証および認可される
5. ポリシーは動的であり、できるだけ多くの情報源に基づいて作成されなければならない

そして、今回NISTが公開したSP800-207 Zero Trust Architecturの基本原則です。

SP800-207 Zero Trust Architecture「ゼロトラストにおける7つの基本原則」
1. データソースとコンピュータサービスは、全てリソースと見なす
2. 「ネットワークの場所」に関係なく、通信は全て保護される
3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
4. リソースへのアクセスは動的なポリシーによって決定される
5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

殆どの部分で同じことを、言葉を変えて表現していますが1箇所だけ明確にNISTが付け足してきています。

5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する

NISTはゼロトラストモデルの定義に「デバイスの継続的な監視」を追加してきました。
今まで、ゼロトラストの定義にはデバイスの管理や登録については定義がなかったのです。
しかし、ゼロトラストモデルで実装する際、「デバイスの認証、認可」という要件をクリアするために「デバイスの状態」を組織に伝える必要があり、MDMソリューションを導入する組織が殆どでした。

NISTはデバイスの状態についても組織が管理することとし、「デバイスの状態で認可認証を判断する」前に「組織がデバイスをセキュアな状態にする」ところまで踏み込んだ提言をしてきていることがわかります。

これまでのゼロトラストモデルでの殆どの例や、ベンダーが売りつける不完全ゼロトラストモデルでさえも、MDMソリューションなどによりデバイスがセキュアな状態に保たれるは当たり前だったので、特筆すべきところでは無いかもしれません。

ただ、NISTは定義より踏み込んだ、手法や実装に近いレベルでの提言を進めていく組織です。
日本企業も今後は、NIST SP800-207 Zero Trust Architecture をベースにゼロトラストモデルを実装することになりそうです。