新たな基準になる？ NSA、ゼロトラスト実装指針「ZIGs」のフェーズ1・2を公開：セキュリティニュースアラート

NSAは、米国戦争省が定義するゼロトラスト成熟度の達成に関する実装指針を公開した。基礎固めから核心的解決策の導入までを段階的・モジュール型で示しており、組織の状況に応じた柔軟な実装と計画立案を支援する。

[ITmedia エンタープライズ編集部]

　米国家安全保障局（NSA）は2026年1月30日（現地時間、以下同）、ゼロトラストアーキテクチャの実装を支援する指針として「Zero Trust Implementation Guidelines」（ZIGs）の「Phase One」および「Phase Two」を公開した。

　米国戦争省（DOW：旧米国国防総省）が定義するターゲットレベルのゼロトラスト成熟度に到達するために必要な活動を整理した技術報告書となる。

ゼロトラスト実装の道筋を示すNSA ZIGsの概要

　今回公表されたPhase OneおよびPhase Twoは、組織がディスカバリー段階からターゲットレベルの実装に移行する過程を示す内容となっている。フェーズにおいて、実施すべき活動や要件、それらに先行または後続する事項を体系的に示している。段階的な構成により、基礎的な取り組みから高度な取り組みまでを選択でき、組織ごとの目的や制約に応じた調整が可能とされる。

　Phase Oneでは36の活動を提示している。これらは既存環境を整備または改善し、該当フェーズに対応する30のゼロトラスト能力を支える安全な基盤の構築を目的とする内容だ。続くPhase Twoにおいて、コンポーネント環境に中核となるゼロトラストソリューションを組み込む段階に入る。41の活動が示され、34の能力を有効化する構成となっている。

　NSAは、Phase OneおよびPhase Twoを確認する前に、2026年1月14日に公開された「Primer」と「Discovery Phase」を参照するよう呼びかけている。これらの基礎文書を通じて、ゼロトラスト関連の活動や自組織の運用環境に関する理解を深めることが、実装に先立つ前提となると位置付けている。

　PrimerおよびDiscovery Phaseは、ゼロトラスト実装の入り口として位置付けられている。Primerにおいて、ZIGs全体を構成する戦略や原則を示し、シリーズ全体を活用するための考え方を整理している。ZIGsがモジュール型で設計されている点も示され、成熟度の異なる組織が必要な能力を選択できる構造になっていることが説明されている。

　Discovery Phaseは、組織内の重要なデータやアプリケーション、資産、サービス、アクセスおよび認可の状況を把握するための指針を示す内容だ。信頼できる基準線を形成し、優先順位付けや計画立案を支えることが目的とされる。

　NSAは、PrimerとDiscovery Phase、Phase One、Phase Twoを通じたZIGsの一連の文書が、ゼロトラストアーキテクチャの導入を計画中の組織、またはすでに取り組みを進めている組織にとって、DOW CIOゼロトラストフレームワークに基づくターゲットレベル成熟度に必要な能力を理解する助けとなるとしている。