NSAがゼロトラスト実装ガイドラインを公開—「発見」から「ターゲットレベル」までを段階で攻める実務ロードマップです

今日の深掘りポイント

• これまでの「理念→成熟度モデル」中心の文書に対し、NSAの新ガイドラインは工程管理に直結する「活動（activities）」「依存関係」「成果」を明示し、実装順序の意思決定を支援する設計です。
• フェーズ1（基盤）に36の活動、フェーズ2（統合）に41の活動が定義され、DoDのゼロトラスト戦略に沿った移行を現場で回せる粒度に落とし込んでいます。米国発の実装ガイダンスはNATO諸国・グローバル企業に波及しやすく、サプライチェーン要件化の加速が読み取れます。
• ポイントは「ネットワークの壁」ではなく「アプリ／データ側のポリシー決定点（PDP）を可視化し管理する」方向へ舵を切っていること。境界型NAC偏重の組成はコスト高で効果が薄いリスクがある、というメッセージを背中から押す内容です。
• 「行動可能性」が高いのは、段階導入の柔軟性と、既存の連邦政策・標準（DoD戦略、NIST SP 800-207、OMB M-22-09）との整合が取られているためです。調達基準・監査基準に直結しやすいのが実務上の効き目です。

参考一次情報・報道

• DoD Zero Trust Strategy（2022年、DoD CIO）: https://dodcio.defense.gov/Library/Zero-Trust/
• NIST SP 800-207 Zero Trust Architecture: https://csrc.nist.gov/publications/detail/sp/800-207/final
• OMB M-22-09 Federal Zero Trust Strategy: https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
• NSA（過去の関連ガイダンス）Embracing a Zero Trust Security Model: https://media.defense.gov/2021/Feb/23/2002588479/-1/-1/0/CSA_embrace-a-zero-trust-security-model_508.pdf
• 報道: NSA Zero Trust Implementation Guidelines公表（Infosecurity Magazine）: https://www.infosecurity-magazine.com/news/nsa-zero-trust-implementation/

はじめに

ゼロトラストは「方針」ではなく「運用モデル」である——その当たり前を、工程表と依存関係に分解して実装手順に落としたのがNSAの新しいゼロトラスト実装ガイドライン（ZIGs）です。米国防総省（DoD）のゼロトラスト戦略を支える実務ガイドとして設計され、フェーズ1（基盤）とフェーズ2（統合）で段階的に活動を積み上げる構成になっています。米連邦のゼロトラストは、NIST SP 800-207、OMB M-22-09、DoD Zero Trust Strategyという「政策・標準・実装」の三位一体で動いてきました。今回のZIGsは、その最末端の「実装」を具体化するドキュメントとして、現場の判断を大きく助ける一手です。調達や監査の基準との整合が見えやすく、日本企業や在日拠点でも「どこから手を付けるか」を決めやすくなるはずです。

深掘り詳細

事実整理：ZIGsはDoD戦略準拠の段階的ガイドで、活動と依存関係・成果を明示します

• 目的と位置づけ
  NSAの新ガイドラインは、DoDのゼロトラストフレームワーク実装を支援するために設計され、組織が「発見（ディスカバリ）」段階から「目標（ターゲット）レベル」の実装へ進むための活動・依存関係・成果を体系化しています。DoDの戦略・実行枠組みの一次情報はDoD CIOが公開するゼロトラスト戦略・ライブラリが基準点です。DoD Zero Trust Strategy
• 構成と活動数
  報道によれば、フェーズ1では基盤確立のため36の活動、フェーズ2では34の追加機能を統合するため41の活動が定義されています。段階ごとに活動と成果指標が定められ、運用ニーズに応じて柔軟に導入順序を選べる構造です。Infosecurity Magazineの報道
• 連邦政策・標準との整合
  ZIGsはNIST SP 800-207の原則（信頼の前提廃止、継続的評価、動的ポリシー決定）と整合し、OMB M-22-09が連邦機関に課した「フィッシング耐性MFAの全面導入」「アプリケーション側の強い認可」「データ分類と最小特権」などの要件を実装面で支える位置づけです。NIST SP 800-207 / OMB M-22-09
• 歴史的連続性
  NSAは2021年の「Embracing a Zero Trust Security Model」で原則と期待効果を提示しており、今回はそれをDoD戦略に即した「工程表」へ深化させた格好です。NSA 2021ガイダンス

インサイト：焦点は「アプリ／データ側のPDPの掌握」と「工程の見える化」。境界偏重の是正が進みます

• ゼロトラストの盲点は「アプリケーションのポリシー決定点」
  多くの現場はネットワーク側の制御（NAC、セグメンテーション）に投資が寄りがちですが、実際のアクセス許可はアプリやAPI、データ層のPDP/PEPで決まります。ZIGsが活動単位で「どの層で、何を、どの順番で」整えるかを示したことで、アプリ／データ側の権限付与と連携（IdP、PAM、サービス間トラスト、トークン検証）の優先度が引き上がります。これは、ゴールデンSAMLのようなトークン偽造リスクへの現実的な処方箋でもあります。
• 「段階導入」の投資対効果
  フェーズ1を「可観測性・ID基盤・端末信頼・最低限のマイクロセグメント」の整備と解釈すると、短期で運用負荷を下げつつ高頻度の事故起点（フィッシング後の正規資格情報悪用、横移動）に効く“最低限の壁”を構築できます。フェーズ2でアプリ／データの一貫したポリシー評価、継続的リスクベース制御、自動化を拡張するほうが全体の摩擦を抑えられます。調達や人材面でも、四半期ごとに“達成可能な成果”を積むスタイルへ移行しやすいです。
• 連邦→同盟→民間への波及
  連邦基準は、DoD調達、米国系プライムのサプライチェーン、NATO連携、そしてグローバル民間の監査項目へ波及します。日本の官公庁・防衛関連、米市場と取引のある製造・金融・テック企業は、ZIGsの活動群をCMMC/NIST 800-171や自組織のISMS/クラウドセキュリティ基準にマッピングしておくと監査耐性が増します。一次基準（DoD戦略、NIST、OMB）と整合している点が、実装を“規格ドリブン”に進められる理由です。
• 編集部の見立て（推測）
  NSAは今後、フェーズ2の粒度や「高度（Advanced）」レベルの工程化を追加する可能性があります。これはDoD戦略の達成度管理や連邦調達での要件明確化に資するためで、実装現場のKPI（例：PDPカバレッジ率、リスクベース認可比率、デバイス健全性証明カバレッジ、観測テレメトリの相関遅延など）が併記されると、より“動かせるガイド”になります（推測です）。

脅威シナリオと影響

ゼロトラストは攻撃を“防ぎ切る”よりも“侵害後の行動自由度を圧縮する”思想です。ZIGsの順序づけは、よくある侵害シナリオの「射程」を短縮するための工程化と読み替えられます。以下、MITRE ATT&CKに沿って主要シナリオを仮説します。

• シナリオ1：フィッシングからの正規資格情報悪用と横移動
  想定TTP

  • 初期侵入: T1566 Phishing
  • 有効アカウントの悪用: T1078 Valid Accounts
  • 認証情報詮索: T1110 Brute Force / パススプレー（バリエーション）
  • 横移動: T1021 Remote Services, T1072 Software Deployment Tools
  • 権限昇格/探索: T1059 Command and Scripting Interpreter, T1087 Account Discovery
    ZIGsの効き所
  • フィッシング耐性MFA（OMB M-22-09準拠）、端末健全性証明、ネットワークとアプリ双方のJIT/JEA（最小特権）で有効アカウントの悪用を難化。アプリ側のPDPでリスクシグナル（位置・端末・行動）を政策判断に織り込むことで、認証後の横移動を遮断します。

• シナリオ2：SAMLトークン偽造（Golden SAML）による権限横取り
  想定TTP

  • T1606.002 Forge Web Credentials: SAML Tokens
  • 防御回避: T1553 Subvert Trust Controls
  • 権限昇格: T1078（特権ロールへの横取り）
    ZIGsの効き所
  • IdPのハードニング、キー管理の分離、トークン検証の厳格化（短寿命化・Audience/Issuer検証・証明鍵ローテーション）、アプリ側PDPの二次評価（高リスク時のステップアップ）で、トークン単独では通過できない状態を作ります。

• シナリオ3：EDRバイパス後のランサムウェア横展開
  想定TTP

  • 防御回避: T1562 Impair Defenses
  • ディスカバリ: T1046 Network Service Discovery, T1083 File and Directory Discovery
  • 影響: T1486 Data Encrypted for Impact
    ZIGsの効き所
  • マイクロセグメントの最小化、サービス間通信の許可リスト化、バックアップの不可変化（WORM）と復旧パスの分離、ポリシーに基づくプロセス実行制御で、展開速度と到達面を物理的に縮めます。

• シナリオ4：クラウド管理プレーンの濫用とデータ流出
  想定TTP

  • 初期アクセス: T1190 Exploit Public-Facing Application / OAuth許諾の濫用
  • クラウドリソース発見・権限昇格: T1069 Permission Groups Discovery (Cloud), T1078 Valid Accounts (Cloud)
  • 流出: T1567.002 Exfiltration to Cloud Storage
    ZIGsの効き所
  • CIEM/IGAによる過剰権限の継続的検出、機密データのタグ付けとポリシー連動、機密度・行動リスクに応じたダウンロード制御やトークン境界のリダクションで、許可されたSaaS経路でも“持ち出し不可”を実現します。

ATT&CK全体像: https://attack.mitre.org/

セキュリティ担当者のアクション

今日から90日で動かす、現実的なステップを編集部視点で提案します。各施策は上記一次基準との整合が取りやすく、ZIGsのフェーズ1→2に沿って並べています。

• ガバナンスと測定基盤を先に引く

  • ゼロトラストの責任分界（ID、デバイス、ネットワーク、アプリ、データ、可観測性、自動化）を明文化し、各領域の「ポリシー決定点（PDP）」「強制点（PEP）」の所在を棚卸します。
  • KPI/KRIを設定（例：フィッシング耐性MFAカバレッジ、端末健全性証明カバレッジ、アプリ側PDPカバレッジ、リスクベース認可比率、認証後遮断のMTTR、観測テレメトリの相関遅延）。これはZIGsの“成果”トラッキングと親和性が高いです。

• フェーズ1（基盤）の“即効薬”を積む

  • OMB M-22-09準拠のフィッシング耐性MFA（FIDO2/Passkey、PIV/CAC相当）を社内・開発・運用に徹底。レガシー例外は期限付きの例外台帳に格納。
  • 端末信頼の最小実装（セキュアブート、TPM/OS健全性、EDR、パッチ準拠）を「認可の前提」に接続。コンプライアンス違反はネットワークだけでなくアプリ側PDPでも拒否。
  • ネットワークは“粗めの”マイクロセグメントで横移動の高速道路を潰しつつ、サービス間通信は許可リストへ。

• フェーズ2（統合）で“アプリ／データ側の決定点”を育てる

  • アプリケーションごとの認可ロジックをIdP/ABAC/RBACで一元化。高リスク判定時はステップアップ認証とコンテキスト付きトークンを要求。
  • データへラベル（分類・取扱制限）を付与し、DLP/IRM/水印/ダウンロード制御をポリシー化。SaaSにも同じ原則を適用。
  • CI/CDとIaCにポリシーを埋め込み、ゼロトラストの“設定ミス”をビルド時に止める。違反例外はPull Requestで承認履歴を残す。

• SOC/Threat Intelの運用をゼロトラスト仕様に刷新

  • 検知は「侵入の有無」だけでなく「認証後の不一致」に軸足を置く。例：端末健全性が緑なのにDLP違反、通常経路外からの管理API呼び出しなど。
  • ATT&CKマッピングの演習を四半期に1回。T1566（フィッシング）、T1078（有効アカウント）、T1606.002（SAML偽造）、T1486（暗号化による影響）など、ZIGsが想定する高頻度シナリオに対してレッドチーム／パープルチームで遮断実効性を検証。

• 調達・監査・対外コミュニケーション

  • 新規調達RFP/RFQに「PDP/PEPの可視化」「ポリシーの外部化（OPA, ABAC等）」「イベント出力の標準化（OTel等）」を必須要件化。
  • 監査はDoD Zero Trust Strategy、NIST 800-207、OMB M-22-09にマッピングした「活動→成果→証跡」で整備。海外サプライヤーには同等基準を要求。

最後に——今回のZIGsは、理念を工程に翻訳する“実装言語”です。順番を間違えず、すぐ効くところから積む。ネットワークの壁を厚くするだけでなく、アプリとデータの“許可の瞬間”を設計する。そうした地に足のついた判断を支えるのがこのガイドラインであり、だからこそ現場で使えるのだと思います。次の四半期の達成目標を、ぜひこのニュースをきっかけに書き換えてください。

参考情報

• DoD Zero Trust Strategy（一次資料）: https://dodcio.defense.gov/Library/Zero-Trust/
• NIST SP 800-207 Zero Trust Architecture（一次資料）: https://csrc.nist.gov/publications/detail/sp/800-207/final
• OMB M-22-09 Federal Zero Trust Strategy（一次資料）: https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
• NSA Embracing a Zero Trust Security Model（背景一次資料）: https://media.defense.gov/2021/Feb/23/2002588479/-1/-1/0/CSA_embrace-a-zero-trust-security-model_508.pdf
• 報道: NSA Zero Trust Implementation Guidelines発表（構成・活動数の詳細）: https://www.infosecurity-magazine.com/news/nsa-zero-trust-implementation/