「ゼロトラストとは」で検索してもよく分からない？――米国政府による定義「SP 800-207」を読み解く：働き方改革時代の「ゼロトラスト」セキュリティ（5）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国政府が考えるゼロトラストの定義と実践の姿について。

[仲上竜太，株式会社ラック]

ベンダーによって言うことが違う「ゼロトラスト」

　コロナ禍の影響で常態化しつつあるテレワーク／リモートワークの課題を解決するコンセプトとして、「ゼロトラストセキュリティ」「ゼロトラストアーキテクチャ」が注目されつつあります。しかし、その定義や内容は理解が容易ではなく、またベンダーによるゼロトラストの説明も微妙に異なるため、「一体何がゼロトラストなのか」とお考えの方も多いのではないかと思います。

　デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、NIST（National Institute of Standards and Technology：米国立標準技術研究所）が発行したレポートである「SP 800-207 Zero Trust Architecture（2nd Draft）」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えます。

影響力の大きな米国政府の定めるセキュリティ基準＝NIST SP 800シリーズ

　サイバーセキュリティの取り組みやアプローチには、さまざまな方法や考え方が存在します。組織に合わせて方針を検討する際に、世界中で共通する指針としてさまざまな場面で参照されるレポートが、NISTの発行する「SP 800」シリーズです。

　NISTは1900年代初頭に設立された米国の国立機関で、米国内の技術や産業の競争力を高めるため、標準となる技術規格の制定を行っています。産業の基盤となる計量に関する基準を定める機関として、「NIST-F1」と呼ばれる世界で最も正確な原子時計の運営や、AES（Advanced Encryption Standard）やSHA（Secure Hash Algorithm）といった世界中で一般的に使用されている暗号技術の標準化などでよく知られています。

　サイバーセキュリティの構築や運用に関する指針が目的ごとにまとめられているSP 800シリーズは、NISTの中でも情報技術に関する研究を行うITL（Information Technology Laboratory）に所属するCSD（Computer Security Division）が発行しています。

　このSP 800シリーズは、日本政府をはじめさまざまな機関で参照されています。防衛装備庁では令和元年度から、調達要件として「SP 800-171（連邦政府外のシステムと組織における管理された非格付け情報の保護）」と同程度の情報セキュリティ基準を採用しています。また、政府の推進する「サイバー・フィジカル・セキュリティ対策フレームワーク（CPFS）」でもNISTが発行している文書である「Cybersecurity Framework」やSP 800と対応した形で検討されています。

ゼロトラストの「具体的な」定義 - SP 800-207 Zero Trust Architectureを読み解く