NISTがゼロトラスト構築支援に向けた新ガイダンスを公開 19の実装例を収録：セキュリティニュースアラート

NISTはゼロトラストアーキテクチャの構築支援ガイド「SP 1800-35」を公開した。同資料は24の業界企業と連携して得た知見を基に19の実装例を示し、多様な現実環境を想定して技術選定や構成方法を解説している。

[後藤大地，有限会社オングス]

　米国国立標準技術研究所（以下、NIST）は2025年6月11日（現地時間）、ゼロトラストアーキテクチャの構築を支援するための新たなガイダンス「NIST Special Publication（SP）1800-35：Implementing a Zero Trust Architecture」を正式に公開した。

　このガイダンスは、商用で入手できる技術を使った19の具体的なゼロトラスト実装例を紹介し、組織が自らの環境に合わせたアーキテクチャを設計する際の出発点となる情報を提供している。

NISTがゼロトラ構築支援用の新ガイダンスを公開　19の実装例を収録

　このガイドは、NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）が4年間にわたり実施した共同プロジェクトの成果としてまとめられている。24の業界企業が参加し、実際に環境を構築して得られたベストプラクティスや統合の教訓を反映している。記載されている技術や製品は商用製品であり、特定のベンダーを推奨・認定する意図はないと明記されている。

　従来のネットワークセキュリティは、物理的な拠点を想定した境界型モデルに基づいていた。内部ネットワークに一度入ると自由にアクセスできるという前提は、クラウドサービスやリモートアクセスが一般化した現在の環境には適さない。これに対しゼロトラストは、アクセス要求ごとに動的に条件を評価・検証するリスクベースの手法を採る。アクセスを許可した後も監視を続け、脅威が内部に侵入しても被害の拡大を防げる構造を持つ。

　新たなガイドでは複数のクラウドプラットフォームを使うケースや支社拠点、公衆Wi-Fiのあるカフェを想定したシナリオなど、多様な現実的環境に基づいた事例が掲載されている。技術の選定から構成、統合の方法、セキュリティ機能の実装内容までが詳細に解説されており、各事例のセキュリティ機能については、NISTサイバーセキュリティフレームワークやNIST SP 800-53 Rev. 5などとの対応関係も技術資料の中で示されている。

　このガイドは、2020年に公表した理論的文書「NIST SP 800-207：Zero Trust Architecture」の補完的資料に位置付けられている。NIST SP 800-207は概念やモデルの提示にとどまっていたが、今回は具体的な構築手法や検証結果が含まれており、導入を計画する組織にとって実務的な指針となる内容になっている。

　NISTは、高度化するサイバー脅威に対処する上でゼロトラストアーキテクチャの導入が有効という考えを示している。組織が直面する複雑なIT環境の中で、安全かつ柔軟なアクセス管理を実現するための手段として、有用な資料となる。