SP 800-207とは
NIST SP 800-207「Zero Trust Architecture」(2020年公開)は、ゼロトラストの概念・原則・アーキテクチャを体系化した文書です。「信頼するな、常に検証せよ(Never Trust, Always Verify)」という考え方に基づき、ネットワークの内外を問わず、すべてのアクセスを検証するセキュリティモデルを定義しています。
従来の「境界防御モデル」(ファイアウォールの内側は安全、外側は危険)がクラウドシフトとテレワークの普及により破綻したことを受け、ゼロトラストが新たなセキュリティパラダイムとして注目されています。
ゼロトラストの7原則
| # | 原則 | 概要 |
|---|---|---|
| 1 | すべてのデータソースとコンピューティングサービスをリソースとみなす | サーバーだけでなく、SaaS、IoTデバイス、BYODデバイスもすべて保護対象 |
| 2 | ネットワークの場所に関係なく、すべての通信を保護する | 社内ネットワークだからといって信頼しない。暗号化+認証を常に適用 |
| 3 | リソースへのアクセスはセッション単位で付与する | 一度の認証で永続的にアクセスを許可しない。セッションごとに再評価 |
| 4 | リソースへのアクセスは動的なポリシーで決定する | ユーザーの身元、デバイスの状態、場所、時間、行動パターン等を総合的に評価 |
| 5 | すべてのデバイスのセキュリティ状態を継続的に監視する | デバイスのパッチ適用状況、マルウェア検出状況をリアルタイムで確認 |
| 6 | 認証と認可は動的に厳格に実施する | MFA、リスクベース認証、継続的な認可チェック |
| 7 | リソースの状態に関する情報を可能な限り収集し、改善に活用する | ログ・テレメトリを収集・分析し、ポリシーの改善に活用 |
論理コンポーネント
SP 800-207はゼロトラストアーキテクチャの論理的な構成要素を定義しています。
| コンポーネント | 役割 | 実装例 |
|---|---|---|
| Policy Engine(PE) | アクセスの許可/拒否を最終判断するエンジン | IdP(Entra ID、Okta)の条件付きアクセスエンジン |
| Policy Administrator(PA) | PEの判断に基づき、データプレーンの接続を確立/遮断 | ZTNA Gateway、プロキシ |
| Policy Enforcement Point(PEP) | 実際にアクセスを制御するポイント | リバースプロキシ、ファイアウォール、SDPゲートウェイ |
3つの実装モデル
| モデル | 概要 | 技術 |
|---|---|---|
| Enhanced Identity Governance | IDベース。ユーザーの認証・認可を強化し、リソースへのアクセスを制御 | MFA、条件付きアクセス、SSO、IdP |
| Micro-segmentation | ネットワークベース。ネットワークを細かくセグメント化し、横展開を防止 | マイクロセグメンテーション、ファイアウォールポリシー |
| Software Defined Perimeters(SDP) | アクセスベース。認証前はリソースを不可視にし、認証後に接続を確立 | ZTNA製品(Zscaler、Cloudflare Access等) |
💡 中小企業はIDベースから始める
3つのモデルのうち、中小企業が最も取り組みやすいのはEnhanced Identity Governance(IDベース)です。Entra IDの条件付きアクセスでMFA必須化+デバイスコンプライアンスチェックを設定するだけで、ゼロトラストの第一歩を踏み出せます。
導入アプローチ
| Phase | アクション |
|---|---|
| 1. 保護対象の特定 | 重要な資産・データ・アプリケーション・サービスを特定 |
| 2. 通信フローのマッピング | 誰がどのリソースにどう通信しているかを可視化 |
| 3. IDベースの制御 | MFA必須化、条件付きアクセスポリシーの導入 |
| 4. デバイスの検証 | Intuneでデバイスコンプライアンスを確認し、非準拠デバイスのアクセスを制限 |
| 5. 継続的な監視 | EDR、SIEM、UEBA等でアクセスと行動を継続的に監視 |
中小企業での実践
- Step 1: MFAの全社展開:全ユーザーにMFAを必須化(パスキー推奨)
- Step 2: 条件付きアクセス:Entra IDの条件付きアクセスで、場所・デバイス・リスクレベルに基づくアクセス制御
- Step 3: デバイス管理:Intuneで全PCを管理し、パッチ適用状況・暗号化・EDRの有無を検証
- Step 4: VPNからZTNAへ:従来のVPNをZTNA(Zscaler、Cloudflare Access等)に段階的に移行
まとめ
SP 800-207は「Never Trust, Always Verify」のゼロトラスト原則を7つの原則と3つの実装モデルで体系化した文書です。中小企業はIDベースのアプローチ(MFA+条件付きアクセス+デバイス管理)からゼロトラスト導入を始めましょう。