このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
何十年にもわたり、米国国立標準技術研究所(NIST)は、コンピューターセキュリティリソースセンターの多くの出版物を通じて、業界の取り組みを指導してきました。NISTは、2020年にリリースされた「NIST SP 800-207:Zero Trustアーキテクチャ」から始まる一連の出版物を通じて、Zero Trustアーキテクチャの採用において特に重要な役割を果たしてきました。
NISTは、このシリーズの別の特別刊行物であるSP 1800-35をリリースしました。「Implementing a Zero Trust Architecture (ZTA)」と題し、さまざまな環境にZTAを展開するための実践的な手順とベストプラクティスを提供することを目的としています。NISTのZTAに関する出版物は業界全体で非常に影響力がありますが、長くて非常に詳細な発表が多いため、このブログでは、ZTAに関するNISTの最新のガイダンスの短く、読みやすい要約を提供しています。
そこで、このブログ記事では、
このNISTの新しい出版物について知っておくべき重要な項目をまとめました。この新しい電子書籍では、ゼロトラストアーキテクチャ(ZTA)のリファレンスアーキテクチャと、さまざまなベンダーの異なる製品を組み合わせてZTAを構築する方法をデモンストレーションする一連の「ビルド」を紹介しますDDoS軽減策が必要です。
CloudflareのZero Trust製品スイートを他のベンダーのサービスと統合して、NISTのレファレンスアーキテクチャにマッピングするゼロトラストアーキテクチャをサポートする方法をご紹介します。
FedRAMPや新しいポスト量子暗号標準への準拠など、NISTのZTAリファレンスアーキテクチャへの準拠を求めるお客様にとって特に価値のある、CloudflareのZero Trustプラットフォームのいくつかの主要な機能をご紹介します。
NISTの特別刊行物にアクセスしてください!
SP 1800-35で、NISTは次のことを注意喚起しています。
ゼロトラストアーキテクチャ(ZTA)は、オンプレミスかクラウド上かにかかわらず、資産(マシン、アプリケーション、サービス、関連データ、リソースなど)へのセキュアな認証アクセスを可能にし、ハイブリッドワークフォースやパートナーが組織のユースケースに基づいてアクセスポリシーが定義されています。
NISTは、「Subject」という用語を使用してエンティティ(従業員、開発者、デバイスなど)に適用します。例:PC、データベース、サーバー、アプリケーションなど)の一部を紹介します。SP 1800-35は、主体がリソースにアクセスできるようにするさまざまなZTAの実装の開発と実証に焦点を当てています。具体的には、SP 1800-35のリファレンスアーキテクチャは、EIG(Enhanced Identity Governance)に焦点を当てています。これは、Zero Trustアーキテクチャへの具体的なアプローチで、NISTがSP 800-207で以下のように定義しています。
[EIG]アプローチでは、企業リソースアクセスポリシーはIDと割り当てられた属性に基づいています。
[R]リソースアクセスの主要要件は、特定の[S]オブジェクトに付与されたアクセス権限に基づいています。使用デバイス、アセットの状態、環境要因などの他の要因によって、最終的な信頼度レベルの計算が変更されたり、ネットワークロケーションに基づいて、特定の[リソース]に対する部分的なアクセスのみ許可するなど、何らかの方法で結果が調整される場合があります。
個々の[R]ソースまたは[ポリシー適用ポイント(PEP)]は、リクエストをポリシーエンジンサービスに転送するか、[S]オブジェクトを認証してリクエストを承認してからアクセスを許可する方法が必要です。
ZTAへのアプローチについては、オリジナルの NIST SP 800-207 で言及されていますが、SP 1800-35 は主にEIGに焦点を当てているため、ここでは省略しています。
SP1800-35のZTAリファレンスアーキテクチャは、下図に示すように、EIGアプローチに焦点を当てた論理コンポーネントです。リファレンスアーキテクチャの各コンポーネントは、必ずしも物理的な(ハードウェアまたはソフトウェア)コンポーネント、または単一ベンダーによって販売される製品に直接対応するわけではなく、コンポーネントの論理機能に対応します。
図1:一般的なZTAリファレンスアーキテクチャ。出典:NIST, Special刊行 1800-35, 「Implementing a Zero Trust Architecture (ZTA)」, 2025.
リファレンスアーキテクチャの論理コンポーネントは、すべてポリシーの実装に関連しています。ZTAにとってポリシーは極めて重要です。ZTAの全体像は、誰が何に、いつ、どのような条件でアクセスできるかを決定するポリシーを適用することです。
リファレンスアーキテクチャのコアコンポーネントは以下の通りです。
|ポリシー適用ポイント(PEP) | PEPは、企業リソースをホストする「トラストゾーン」を保護し、サブジェクトとリソース間の接続の有効化、監視、そして最終的には終了の処理を行います。PEPは、主体のリソースへのアクセスをサポートするデータプレーンと考えることができます。
ポリシー適用ポイント (PEP)
|
PEPは、企業リソースをホストする「トラストゾーン」を保護し、サブジェクトとリソース間の接続の有効化、監視、そして最終的には終了の処理を行います。PEPは、主体のリソースへのアクセスをサポートするデータプレーンと考えることができます。
|
ポリシーエンジン
(PE)
|
PEは、特定のサブジェクトのリソースへのアクセスの付与、拒否、または取り消しを行う最終的な決定を処理し、企業のポリシーとサポートコンポーネントからの情報に基づいて、信頼スコア/信頼度レベルと最終的なアクセスの決定を計算します。
|
ポリシー管理者
(PA)
|
PAは、PEPにコマンドを送信して、サブジェクトとリソース間の通信パスを確立および終了することによって、PEのポリシー決定を実行します。
|
ポリシー決定ポイント(PDP)
|
PDPでは、主体によるリソースへのアクセスを許可するかどうかの決定が行われます。PIPには、ポリシーエンジン(PE)とポリシーアドミニストレーター(PA)が含まれていました。PDPは、主体のリソースへのアクセスを制御するコントロールプレーンと考えることができます。
|
PDPは、ポリシー決定ポイント(PDP)に重要なデータやポリシールールを提供するサポートコンポーネントであるポリシー情報ポイント(PIP)からの入力に基づいて動作します。
ポリシー情報ポイント
(PIP)
|
PIPは、PDPが情報に基づいたアクセスの決定を行うために必要なさまざまな種類のテレメトリやその他の情報を提供します。PIPには以下のようなものがあります。
NISTの図は、PIPのサポートコンポーネントは、PDPにリアルタイムで応答する単なるプラグインに過ぎないことを示唆しているのかもしれません。しかし、多くのベンダーにとって、ICAM、EDR/エンドポイント保護プラットフォーム、セキュリティ分析、データセキュリティPIPは、複雑で分散したインフラストラクチャであることがよくあります。
|
次に、SP 1800-35では、「クロールフェーズ」と「実行フェーズ」という2つのより詳細なリファレンスアーキテクチャを紹介しています。「実行フェーズ」は、上図に示したリファレンスアーキテクチャに対応しています。「クロールフェーズ」は、このリファレンスアーキテクチャの簡略版で、オンプレミスリソースの保護にのみ対処し、クラウドリソースを省略します。これらのフェーズはいずれも、上記で定義したように、ZTAに対する高度なIDガバナンスのアプローチに焦点を当てたものです。NISTは、「EIGウォークフェーズを省略して、直接ランフェーズに進みました」と述べています。
さらに、SP 1800-35では、さまざまなベンダーが販売する製品を使用して「クロールフェーズ」と「ランフェーズ」のリファレンスアーキテクチャを実装する方法を紹介する「ビルド」と呼ばれる一連の詳細な指示を提供しています。
Cloudflareのゼロトラストプラットフォームは、クラウドとオンプレミスの両方のリソースへのアクセスをネイティブにサポートしているため、「クロールフェーズ」を省略し、Cloudflareのゼロトラストプラットフォームを使用してリファレンスアーキテクチャの「実行フェーズ」をサポートする方法を直接説明します。
Cloudflareと連携機能を利用した完全なゼロトラストアーキテクチャ
NIST SP 1800-35には、特定のベンダーのテクノロジーを推奨するものはありません。本書の発行意図は、組織がリリースすることを選択したテクノロジーやベンダーに関係なく、適用される一般的なアーキテクチャを提供することにあります。また、さまざまなベンダーのさまざまな技術を利用した一連の「ビルド」も含まれており、企業がZTAを達成できるようにしています。このセクションでは、CloudflareがZTAとどのように適合し、CrawlからRunまでのZTAデプロイメントを加速できるかについて説明します。
SP 1800-35の「ビルド」については、このセクションは以下の3つの特定のビルドの集合体と見なすことができます:
次に、CloudflareのゼロトラストプラットフォームをZTAレファレンスアーキテクチャにマッピングする方法を見てみましょう:
図2:Cloudflare Zero Trustおよび主要な統合にマッピングされた一般的なZTAリファレンスアーキテクチャ。出典:NIST, Special刊行 1800-35, 「Implementing a Zero Trust Architecture (ZTA)」, 2025年、Cloudflareが修正を加えました。
Cloudflareのプラットフォームは、グローバルエニーキャストネットワークを介してPEPを、サービスとしてのソフトウェア(SaaS)管理コンソール(SaaS)管理コンソール(グローバルな統合コントロールプレーンとしても機能)を介して提供することで、複雑さを簡素化します。完全なZTAには、上図に示すように、Cloudflareと他のベンダーが提供するPIPを統合することが含まれます。
ここで、図に示されているいくつかの重要なポイントを見てみましょう。
図の右下にあるのがリソースで、オンプレミス、プライベートデータセンター、または複数のクラウド環境にある場合があります。リソースは、Cloudflare Tunnel(図は表示)またはMagic WAN(表示はなし)を介して、Cloudflareのグローバルエニーキャストネットワークを介して安全にアクセスできます。Cloudflare AccessとCloudflare Gatewayの背後に配置することで、リソースはパブリックインターネットへの直接的な露出から保護します。これらは、ポリシー要件に準拠するサブジェクトにアクセスを許可することで、Zero Trustの原則を適用するPEPです。
図の左下の隅にあるのが、リソースへのアクセスを必要とする主体(人間)と非人間です。Cloudflareのプラットフォームでは、主体がリソースに再びアクセスする方法は複数あります。
では、ZTAのデータプレーンであるPEP(ポリシー適用ポイント)に目を向けます。Cloudflare Accessは、ID、デバイスポスチャー、コンテキスト、およびその他の要因に基づいて、ユーザー固有のアプリケーションアクセスポリシーを適用する、動的なPEPとして機能する最新のゼロトラストネットワークアクセスソリューションです。Cloudflare Gatewayは、パブリックインターネットに送信されるトラフィックをフィルタリングおよび検査するためのセキュアWeb Gatewayであり、DNS、HTTP、ネットワークトラフィックフィルタリング、DNSリゾルバーポリシー、エグレスIPポリシーを提供する動的PEPとして機能します。
Cloudflare AccessとCloudflare Gatewayはともに、Cloudflareのコントロールプレーンを採用しており、コントロールプレーンはポリシーエンジン(PE)とポリシーアドミニストレーター(PA)を提供するPDPとして機能します。このPDPは、ICAM、エンドポイントセキュリティ、セキュリティ分析のために他のベンダーと統合することによって提供されるPIPからの入力を取り込みます。これらの統合のいくつかを掘り下げてみましょう。
Cloudflareのゼロトラストプラットフォームを活用することで、企業はZTAの実装を簡素化・強化し、拡張性と導入のしやすさを確保しながら、多様な環境やエンドポイントを保護することができます。このアプローチにより、主体やリソースの場所を問わず、すべてのアクセス要求が堅牢なセキュリティポリシーに準拠するようになり、リスクを軽減し、最新のセキュリティ基準へのコンプライアンスを高めることができます。
ゼロトラストアーキテクチャに向けた官公庁や企業のサポート
Cloudflareは、ネットワークの安全確保のためにNISTガイドラインに依拠する複数の企業や連邦・州政府機関と協力しています。そこで、これらの企業にとって価値があると判断された、Cloudflareのゼロトラストプラットフォームのいくつかのユニークな機能を簡単に説明するために、少し脱線します。
FedRAMPデータセンター。 多くの政府機関や営利企業には、FedRAMP要件があり、Cloudflareはそれらをサポートするのに十分な装備を備えています。FedRAMPの要件により、企業は自社のネットワーク境界内でソフトウェアやサービスをセルフホストする必要がある場合があり、遅延が大きくなったり、パフォーマンスが低下したり、コストが増大する可能性があります。Cloudflareでは、異なるアプローチをとっています。FedRAMPへの準拠を維持しながら、Cloudflareのグローバルネットワークと比類ないパフォーマンスのメリットを享受することができます。FedRAMPのお客様をサポートするために、Cloudflareのデータプレーン(つまり、PEP、つまりポリシー適用ポイント)は、お客様が暗号化されたトラフィックを送信できる330都市以上のデータセンターと、機密性の高いデータプレーン操作が必要な際にトラフィックが送信される32のFedRAMPデータセンターで構成されています(例:TLSインスペクション)を提供しません。このアーキテクチャなら、当社のお客様はPEPをセルフホストする必要がなく、関連するコストや遅延、パフォーマンス低下を招く必要がありません。
ポスト量子暗号。NISTは、2030年までにすべての従来の暗号(RSAとECDSA)を廃止し、ポスト量子暗号にアップグレードしなければならないと発表しました。しかし、暗号技術のアップグレードは難しく、時間がかかるため、Cloudflareはお客様の暗号技術のアップグレード管理の負担を和らげることを目指しています。そのため、企業は、Cloudflareのゼロトラストプラットフォームを通じて企業ネットワークトラフィックをトンネル化でき、企業のアプリケーション、システム、ネットワーク接続を個別にアップグレードする面倒もなく、量子敵対者から保護することができます。エンドツーエンドの量子安全性は、Webブラウザ(今日)またはCloudflareのWARPデバイスクライアント(2025年半ば)を介して、エンドユーザーのデバイスからCloudflare Tunnelに接続されているアプリケーションを保護するための通信に利用可能です。
Cloudflareでゼロトラストアーキテクチャに移行
NISTの最新刊行物「SP 1800-35」では、Zero Trustを実装するための構造化されたアプローチを提供し、ポリシーの適用、継続的な認証、安全なアクセス管理の重要性を強調しています。Cloudflareのゼロトラストプラットフォームは、スケーラブルでグローバルに分散したソリューションを提供することでこの複雑な枠組みを簡素化します。FedRAMP準拠しており、Okta、Microsoft、Ping、CrowdStrike、SentinelOneなど業界をリードするプロバイダーと統合して包括的な保護を確保します。
CloudflareのZero Trustソリューションの主な差別化は、世界最大級で相互接続数も多いネットワークの1つであるグローバルエニーキャストネットワークです。120か国以上、330都市以上に広がるこのネットワークは、比類ないパフォーマンス、レジリエンス、スケーラビリティを提供し、エンドユーザーエクスペリエンスにネガティブな影響を与えることなく、Zero Trustポリシーを適用します。Cloudflareのネットワークレベルのセキュリティ制御の適用を活用することで、企業は、一元化されたチョークポイントを介してトラフィックをバックホールすることなく、インターネットの速度でアクセス制御、データ保護、セキュリティ分析を動作させることができます。このアーキテクチャによって、低遅延で可用性の高いセキュリティポリシーの適用が可能になり、オンプレミス、クラウド、ハイブリッドの全環境でユーザー、デバイス、アプリケーションをシームレスに保護することができます。
今こそ、行動を起こす時でしょう。CloudflareのプラットフォームをNISTのレファレンスアーキテクチャに合わせて活用することで、今すぐZero Trustの実装を開始できます。Zero Trustの導入を始めようとしている場合でも、既存のフレームワークを強化しようとしている場合でも、Cloudflareはツール、ネットワーク、統合を提供して成功を支援します。Cloudflare Zero Trust にサインアップして、当社の統合を検討し、サイバーセキュリティに対するグローバル分散型の最新アプローチで貴社を保護してください。