シンジです。シンジがゼロトラスト実装から運用まで始めて早10年。ここまで何度も「ゼロトラスト導入しました」とかいう訳のわからんド素人感満載の、ITわかってない自称コンサルや自称セキュリティなんちゃらみたいな連中を山のように見てきました。今回の記事では、そんな素人達に読み聞かせたい、ついでに滅ぼしたい、そしてゼロトラストなんもわからんそんなあなたにも読んで欲しい、実務者向けのちょっとレベルを上げた読み物になっています。セキュリティ白帯な人たちもこの記事を読み終わった頃には、「あーはいはいゼロトラストねーなるほどわからん」と言いながらも、なんだか一皮剥けて詳しくなった感と、真のゼロトラストについての興味が沸くはずです。ゼロトラストとは概念であり製品ではありません。
まずこの記事の結論を先に書きます。今回取り上げる4つのPDF文章とZIGについて。
NSAが2026年1月に公開し、2026年5月に専用ウェブページとして再整理・対話的リソース化したZero Trust Implementation Guidelines(ZIG)は、ゼロトラストにおける新しい理論ではありません。
これは実装のための「作業仕様書」です。アメリカ国防総省(DoD。ZIG本文では、大統領令EO 14347に基づく認可された別称としてDepartment of War / DoW表記が用いられています)が、DoD Zero Trust StrategyでFY2027末(米会計年度。2027年9月30日にあたります)までの達成目標として掲げた「目標水準のゼロトラスト」を、現場が実際に手を動かせる91個の作業に分解した文書群です。
「ゼロトラストとは何か」を語る文書ではなく、「期限までに何を、どの順序で、どう実装するか」を語る文書です。そしてそれは、米国の防衛サプライチェーンに連なる日本企業を含むすべての企業に、契約要件やプライムからの要求を通じて波及していく可能性があります。
シンジは本記事で、本文を翻訳引用しながら、元のPDFを読まなくても全体が掴めるところまで解説します。
この記事で分かること
- ZIGとは何か、どんな構成で、何が書かれているか
- なぜ「2026年1月」というタイミングで公開されたのか
- 米国社会・重要インフラ利用者、米国企業、全世界の組織が、それぞれどう受け止めるべきか
- 本文(英語原文)の要所を日本語訳で引用しながらの精読
- 7つの柱(Pillar)にまたがる42 Capabilityを軸に、91 Activityの構造をどう俯瞰するか
- 企業が自社のゼロトラストを点検するための実務チェックリスト
- Salt Typhoonのような国家APTに対して、ZIGは何に寄与し、何に届かないか
一次ソースは末尾にまとめました。固有名詞・日付・数値は確実なものだけを書き、不確かな点は「不明」と明示しています。
1. まず事実を確定します — 何が公開されたのか
本記事の読み方(凡例):以下では、出典の性格が異なる4つを意識的に分けて扱います。(a) ZIG本文に書かれている事項、(b) DoD Zero Trust Strategy由来の期限・目標、(c) CMMC等の契約・調達文脈、(d) Salt Typhoon等の報道・分析。混同を避けるため、断定の根拠がどの層かを文中で明示します。
ZIGは、NSA(米国家安全保障局)のCybersecurity Directorateが発行する「Cybersecurity Technical Report」シリーズで、Zero Trust Implementation Guidelinesの略称です(本記事では便宜上「ジグ」と表記します。読み方がNSA公式に示されているかは確認できていません)。現時点(2026年5月)で公開されているのは、次の4文書です。なお日付は「PDF文書日付」と「NSAプレスリリース日」を分けて示します。
| 文書 | 役割 | Activity数 / Capability数 | PDF文書日付 | NSAリリース日 | 文書番号 |
|---|---|---|---|---|---|
| Primer(総則) | 方法論・全文書共通の用語/略語/参照/タスク図 | — | January 2026 | 2026/1/14 | U/OO/102936-26 |
| Discovery Phase | 環境の棚卸し | 14 / 13 | January 2026 | 2026/1/14 | U/OO/103058-26 |
| Phase One | 安全な基盤の確立 | 36 / 30 | January 2026 | 2026/1/30 | U/OO/107297-26 |
| Phase Two | ZT中核ソリューションの統合開始 | 41 / 34 | January 2026 | 2026/1/30 | U/OO/107298-26 |
(補足:PDFの表紙には発行月として「January 2026」、配布先 media.defense.gov のパスにはJan/08が現れます。一方でNSAプレスルーム上の告知日は、Primer・Discoveryが2026年1月14日、Phase One・Phase Twoが1月30日です。本記事では混同を避けるため両方を併記します。)
ここで日付について、混同しやすい点を最初に整理しておきます。ZIGは「PDF文書の公開」と「専用ウェブページの公開」を分けて理解すると正確です。 前者は上表の通り、PDF文書のリリースで、これは2026年1月です(Primer・Discoveryが1月14日、Phase One・Phase Twoが1月30日のNSAプレスで告知され、配布先は media.defense.gov)。後者が、それらを束ねる専用ウェブページ nsa.gov/Cybersecurity/ZIG/ の公開です。2026年5月28日、NSAはこのZIGウェブページを立ち上げたと発表しました。プレスリリースによれば、このページは「以前公開されたPrimer・Discovery・Phase One・Phase Twoへの集約的アクセス」を提供すると同時に、「技術文書をアクセスしやすくカスタマイズ可能なガイダンスへ翻訳し、activities・checklists・reports・tasksを含む対話的なマルチメディアコンテンツを提供する」とされています。つまり単なるPDFのリンク集ではなく、対話的リソースへの再整理です。
そしてもうひとつ、最初に強調しておきたい前提があります。ZIG自体は義務文書ではありません。 本文は "not prescriptive or mandatory"(処方的でも義務的でもない)と明記しています。本記事では便宜上「作業仕様書」と呼びますが、これは「義務として課された仕様書」という意味ではなく、「実装支援文書」です。義務や期限は、ZIGそのものではなく、後述するDoD Zero Trust Strategyや契約・調達側の文脈から来ています。
つまり、文書の中身は1月発行のまま変わっていません。5月に新設されたのは「散在していたPDF群を集約し、対話的にアクセスできる入口(ハブページ)」です。本記事が拠り所とするのはこの一次情報で、後述する「なぜ今、再び話題なのか」の答えの一部も、この5月のウェブページ公開にあります。
Primerは「使い方の総論」、残り3つが実装ガイドラインの本体です。NSAは原文で、現行セットの位置づけを次のように述べています。
原文:"The current set of ZIGs consist of a Primer and three ZT Implementation Guidelines (Discovery, Phase One, and Phase Two) designed to assist skilled practitioners in adopting and integrating ZT Target-level Capabilities (42) and Target-level Activities (91). ZIGs for Phase Three and Phase Four may be developed at a later time."
訳:現行のZIGセットは、Primerと3つのゼロトラスト実装ガイドライン(Discovery、Phase One、Phase Two)から成り、熟練の実務者が目標水準のゼロトラスト・ケイパビリティ(42個)とアクティビティ(91個)を採用・統合するのを支援するために設計されています。Phase ThreeとPhase Fourは将来策定される可能性があります。
ここで早くも重要な事実が3つ確定します。
第一に、対象は「熟練の実務者(skilled practitioners)」であって入門者ではありません。
第二に、現行版がカバーするのは「Target-level(目標水準)」までで、その上の「Advanced-level」はまだ出ていません。
第三に、Capabilityは延べ77(13+30+34)ありますが、同じ能力が複数フェーズに再登場するため、ユニークな数は42、Activityは91です。この「42」と「91」という数字が、後で出てくる国家期限と直結します。
2. なぜ「今」なのか — 1月の文書発行と、5月の再注目
タイミングは2つの問いに分けると正確に捉えられます。「なぜ1月に文書を出したのか」と、「なぜ5月に再び話題になったのか」です。
まず文書のリリース(2026年1月)について。少なくともZIGに関しては、公開タイミングをDoDのFY2027目標と切り離して読むべきではありません。シンジの見立てでは、2026年1月という時期には少なくとも3つの圧力が重なっています。
(1) 2027年9月30日という、動かせない国家期限
そもそもの起点は、2021年の大統領令 EO 14028(Improving the Nation's Cybersecurity)です。これが米政府全体にゼロトラスト採用を義務付け、国家安全保障システム(NSS)向けには National Security Memorandum 8(NSM-8)がその要件を実装しました。これを受けて、国防総省(当時DoD)は2022年10月に「DoD Zero Trust Strategy」を公開し、152個のアクティビティからなるロードマップを定めました。
このうち91個が「Target Level」で、残り61個が「Advanced Level」です。そして期限が明確に切られています。
DoD Zero Trust Strategy(2022年公表)は、Target Levelの91アクティビティを「FY2027末まで」に達成するロードマップを示しています(本文に "no later than the end of FY2027" と明記)。米連邦会計年度に換算すると、FY2027末は2027年9月30日にあたります。なお、残るAdvanced Levelの61アクティビティの達成時期(FY2032まで)については、GSAのZero Trust Strategy Buyer's Guideが「Target LevelをFY2027末までに達成し、Advanced Levelの活動もFY2032まで概説する」と記述しており、DoD ZT Capability Execution Roadmap(DoD CIO)のタイムライン図でも最終列「FY32」(計画用=notionalの注記付き)として示されています。ただしDoD Zero Trust Strategy本文のproseには「FY2032」という明示的な期限文は現れず、Advanced Levelへの移行を定性的に記述するにとどまります。
つまりZIGがカバーする「Capability 42 / Activity 91」は、偶然の数字ではありません。DoDがDoD Zero Trust Strategy上、FY2027末までの達成目標として掲げた「Target Level」そのものです。2026年1月は、その期限まで約20か月の局面にあたります。DoDはゼロトラスト・ポートフォリオ管理室(PfMO、責任者はRandy Resnick氏)のもとで、戦略策定の段階から実装・調達の段階へと軸足を移しており、各コンポーネントは毎年10月に実装計画の更新提出を求められています。ZIGは、この「実装せよ」という流れに、実際の手順書を与えるための文書です。
(2) 進捗が目標に対して大きく遅れている
期限が動かせない一方で、進捗は芳しくありません。DoD News(war.gov / army.mil、2025年2月26日配信)は、ゼロトラストPMOのデータとして、全58コンポーネントを通じて、DoD全体のTarget-levelゼロトラスト活動の14%が2024年10月までに完了したと伝えています(原文: 14% of target level Zero Trust activities were completed by October 2024)。この数値は、ゼロトラストPMO幕僚長のGary Kipe大佐が2025年2月19日のZero Trust Summitで言及した文脈で報じられました。つまり基準日は2024年10月、公表は2025年2月です。期限まで残り少ない中で達成率が低水準にとどまっていたことは明確で、この乖離を埋めるには各組織が迷わず動ける詳細な手順が要ります。ZIGの「Activityを離散的なタスクに分解する」という設計思想は、この遅れへの直接の処方箋です。
(3) サプライチェーンへの強制力が、すでに発効しています
2025年11月10日には、CMMC要件を契約に組み込む48 CFR最終規則が発効しました(Federal Register、2025年)。これはZIGそのものの義務化でも、ZT統制の直接要求でもありませんが、防衛請負業者(DIB)に対してサイバーセキュリティ要件を契約上具体化していく、別系統の圧力として機能します。CMMCの直接対象はCMMCレベルに応じたサイバー要件であり、ZIG/DoD ZT Strategyとは系統が異なる点に注意してください。とはいえ、期限・遅れ・契約上の強制力という3つが揃った2026年初頭は、「現場が使える実装書を配る」のに合理的なタイミングでした。
(4) 背景としての国家APT — そして「Department of War」改称
加えて、文脈として無視できないのが、中国系の国家APT「Salt Typhoon」による米通信インフラへの大規模侵入です。これは後段(第7節)で詳述しますが、「侵害は不可避」というゼロトラストの前提が、もはや比喩ではなく現実になっていることを国民に突きつけた事件です。なお、NSAがZIG公開の理由としてSalt Typhoonを直接挙げているわけではありません。本記事では、assume breach(侵害前提)を現実の政策課題として読むための代表的な背景事例として扱います。
なお全ZIG文書は、組織名を「Department of War(DoW)」と表記し、脚注で「EO 14347により、DoWは国防総省(DoD)の認可された別称(authorized secondary title)である」と明記しています。つまりこれは議会法による正式名称変更ではなく、認可された副次的名称の使用です。本記事では、ZIG本文の表記に合わせてDoWと記しますが、これはEO 14347に基づく別称であり、従来のDoDと同一組織を指します。
そして5月、ウェブページ公開で「再注目」
ここまでが「1月の文書発行」の背景です。では、なぜ5月の今、改めて話題になっているのか。理由は単純で、この5月にNSAが専用ウェブページを立ち上げ、SNSで告知したからです。1月のPDFは media.defense.gov に個別配置され、専門メディアは報じたものの、一般の実務者の目に触れる入口は限られていました。5月のウェブページ公開は、4文書を nsa.gov のハブに集約し、「消費しやすく対話的なアクセス」を与えた、いわば一般向けの正式お披露目です。文書の中身が変わったわけではなく、届け方が変わったことが、再注目の正体です。
裏を返せば、この「お披露目」のタイミングが2027年9月の期限まで残り約16か月という局面に置かれたこと自体が、メッセージです。少なくともNSAは、ZIGを専門家がPDFを探して読む文書から、より広い実務者が参照しやすい対話的リソースへ再整理した、と読めます。
3. この文書は「何者」かを性格を5つ否定することで理解する
ZIGの性格は、それが「何でないか」を見ると正確に掴めます。Primer本文は、自身の限界をはっきり列挙しています。要約すると、ZIGは次の5つの否定によって定義されます。
- 処方箋ではありません(not prescriptive)— 「こうしろ」という義務命令ではありません
- 万能型ではありません(not one-size-fits-all)— 全組織に同じ解は当てはめません
- 逐次手順書ではありません(not sequential)— 1番から順にこなす階段ではありません
- ベンダー固有ではありません(not vendor-specific)— 特定製品を指定・推奨しません
- 既存の権限・法・ポリシーを上書きしません
そして決定的なのが、フェーズの位置づけです。原文は次のように述べています。
原文:"...five phases were developed (Discovery, Phase One, and Phase Two, which are Target-level, and Phase Three and Phase Four, which are Advanced-level). These phases are not doctrinal but are a structured approach to organize the ZT Activities."
訳:5つのフェーズが策定されました(Discovery、Phase One、Phase TwoはTarget-level、Phase ThreeとPhase FourはAdvanced-level)。これらのフェーズは教義的(doctrinal)なものではなく、ゼロトラストのアクティビティを整理するための構造的アプローチです。
「教義的でない(not doctrinal)」— ここが肝です。シンジが日本のゼロトラストについての現場を見ていて最も危ういと感じるのは、「成熟度モデルのレベルを上げること自体が目的化する」現象です。それはセキュリティや利便性向上の本質から外れます。ZIGはそれに対し、「これは点数を競う物差しではない。作業を整理する枠組みにすぎず、自組織の環境に合わせて並べ替えてよい(modular)」と最初に釘を刺しています。
文書の中身はどう構造化されているか
ZIGは「Pillar(柱)→ Capability(能力)→ Activity(作業)」という3階層で書かれています。Primerはこの役割分担を明快に定義しています。
- Pillar と Capability が「What / Why(何を・なぜ)」を定義します
- Activity が「Why / How(なぜ・どうやって)」を定義します — これが最下層の実装単位です
そして各Activityは、さらに離散的なタスクに分解されます。各Capabilityの記述フォーマットは全文書で統一されており、次の順で並びます。
- Scenario — その能力が実際に効く場面(攻撃シナリオなど)
- Positive Impacts — 導入で得られる便益
- Technology — 実現技術の代表例(※ベンダー非依存)
- (Activityごとに)Considerations — 前提・課題・教訓
- Implementation — 実行可能なタスクのロードマップ
- Summary — 準備状況の自己評価・戦略的示唆・期待される成果(End State)
つまり1つ1つの作業に「なぜやるか」「何に注意するか」「具体的に何をするか」「終わった状態とは何か」がワンセットで書かれています。これは事実上、WBS(作業分解構成図)として使えるほど粒度の細かい実装タスク集です(「WBS」はシンジによる比喩であり、ZIG本文の用語ではありません)。
7つの柱(Pillar)
ZIGの柱は、DoD Zero Trust Reference Architectureと同じ7本です。
- User(ユーザー)
- Device(デバイス)
- Application and Workload(アプリケーションとワークロード)
- Data(データ)
- Network and Environment(ネットワークと環境)
- Automation and Orchestration(自動化とオーケストレーション)
- Visibility and Analytics(可視化と分析)
4. ゼロトラストの「思想」を本文で読む
ZIGは実装書ですが、冒頭で必ず思想を確認させます。"Adopt a Zero Trust Mindset" と "Zero Trust Design Concepts" のセクションです。ZIGはNIST SP 800-207をはじめDoD ZT Reference Architecture等の既存ガイダンスを踏まえつつ、ゼロトラストの中核的な考え方として次の3点を確認しています(これらはゼロトラスト文脈で広く共有される原則で、NIST SP 800-207自体は7つのtenetsなどより詳細な構成を持ちます。3点への要約はZIG/NSAの整理です)。
3つの中核原則
訳(要旨):
- Never trust, always verify(決して信頼せず、常に検証する):すべてのユーザー/PE・デバイス/NPE・アプリケーション・データフローを信頼せず、最小権限の原則に従って動的に認証し、明示的に承認します。
- Assume breach(侵害を前提とする):敵対者がすでに環境内に存在すると仮定し、deny-by-default(既定で拒否)を前提に、すべてのアクセスを精査し、継続的にログを監視します。
- Verify explicitly(明示的に検証する):動的・静的な複数の属性を用いて、文脈に応じたアクセス判断の信頼度を導出します。
(PE = Person Entity(人の主体)、NPE = Non-Person Entity(人以外の主体=デバイスやサービスアカウント等)。ZIGはこの2つを終始対等に扱います。近年話題のNHI=Non-Human Identityのセキュリティが、政府ガイダンスの構造に正式に組み込まれている点は注目に値します。)
https://blog.cloudnative.co.jp/articles/nhi-non-human-identity-management/
設計の考え方
Design Conceptsの節では、実装にあたっての着眼点が示されます。要旨は次の通りです。
- ミッションの成果(守るべきもの)を先に定義します
- 内側から外側へ設計します — まず最重要のDAAS(Data, Applications, Assets, Services)を守り、次にそこへのアクセス経路を守ります
- DAASにアクセスする主体を特定し、それに基づいてアクセス制御ポリシーを作ります
- 行動を許す前に、すべてのトラフィックを検査し、ログに記録します
この「内側から外側へ」「行動前に全検査」という2点が、後述する3フェーズの順序を決定づけています。
5. 3つのフェーズは「見る → 閉じる → 動かす」
ZIGの3フェーズは、恣意的な区切りではありません。先ほどの3原則を、実装の順序に翻訳したものです。シンジは、これを「見る → 閉じる → 動かす」と要約します。
| フェーズ | ひとことで | 対応する原則 |
|---|---|---|
| Discovery | 見る・数える | Assume breach(可視化が前提) |
| Phase One | 閉じる・土台を固める | Least privilege / Deny by default |
| Phase Two | 動かす・統合する | Verify explicitly(動的・属性判断) |
Discovery — 「守る対象を知らずに守ることはできません」
Discoveryの目的を、原文は次のように定義しています。
訳:Discovery Phaseのアクティビティの目的は、DAAS(データ・アプリ・資産・サービス)やUsers/PE/NPEなど、組織の環境に関する情報を収集することです。
13のCapabilityはすべて「何があるか」「何が流れているか」の把握に収斂します。
User Inventory(1.1)
Device Inventory(2.1)
Application Inventory(3.1)
Data Analysis(4.1)
Data Flow Mapping(5.1)
Log All Traffic(7.1)……。
象徴的なのは、棚卸しの段階で既に防御思想が埋め込まれている点です。最初のActivity「1.1.1 Inventory User」のシナリオには、次のように書かれています。
訳(要旨):退職した契約者が窃取した資格情報でアクセスを試みても、その人物が認可済みユーザーのリストに存在しないため、ポリシーによって自動的にブロックされます。
「ただ数える」のではありません。数えた瞬間に、リストにない者を拒否する基盤ができます。これがゼロトラスト流の可視化です。
Phase One — 「土台とは、閉じた状態を初期条件にすること」
Phase Oneの役割を、原文は次のように述べています。
原文:"Phase One Activities build upon or further refine the Component environment(s) to establish a secure foundation that supports ZT Capabilities."
訳:Phase Oneのアクティビティは、コンポーネント環境を構築・洗練し、ゼロトラスト・ケイパビリティを支える安全な基盤を確立します。
30のCapabilityで、各柱の中核装置が据えられます。User柱ではMFA(1.3)・特権アクセス管理PAM(1.4)・最小権限(1.7)・継続的認証(1.8)。Device柱ではEDR/XDR(2.7)・UEM/MDM(2.6)・脆弱性とパッチ管理(2.5)。Network柱ではマクロ/マイクロのセグメンテーション(5.3/5.4)。
ここで最も雄弁なのは、アクティビティの「名前」そのものです。Phase Oneには次の2つが含まれます。
- Activity 1.7.1「Deny User by Default Policy」(既定でユーザーを拒否するポリシー)
- Activity 2.4.1「Deny Device by Default Policy」(既定でデバイスを拒否するポリシー)
「Deny by Default(既定で拒否)」が、応用機能ではなく基盤フェーズに置かれています。ここに表れているのは、「まず許可して、後から締める」発想ではなく、許可条件を明示してから開けていくという設計思想です。まず閉じた状態を起点とし、そこから業務に必要な穴だけを、検証のうえで開ける。なおZIG自体は "not prescriptive / modular"(処方的でなく、並行実装や開始点の選択を認める)と明示しているため、これは「順序の強制」ではなく「思想の重心」として読むのが正確です。
Phase Two — 「静的な防御を、動的・自動の制御へ統合します」
Phase Twoの役割は、原文で次のように定義されています。
原文:"The Activities within the Phase Two ZIG mark the beginning of integrating distinct ZT fundamental solutions within the Component environment."
訳:Phase TwoのZIGに含まれるアクティビティは、コンポーネント環境内で、個別のゼロトラスト基盤ソリューションの統合を開始するものです。
ここで初めて、動的・属性ベース・ML駆動の制御が登場します。条件付きアクセス(1.2)、行動・文脈ID・バイオメトリクス(1.6)、統合ICAMプラットフォーム(1.9)、機械学習(6.3)、UEBA(ユーザー・エンティティ行動分析、Phase Twoで本格化)。そしてPhase Oneには無かった新しいCapabilityが加わります 。
4.7 Data Access Control(データアクセス制御)です。
Phase Oneで「導入」したものを、Phase Twoで「タグ・分析・IdPと連動させる」流れは、アクティビティ名にも表れています。例えば「4.5.3 DRM Enforcement via Data Tags and Analytics」「4.6.2 DLP Enforcement via Data Tags and Analytics」「4.7.4 Integrate Solution(s) and Policy with Enterprise IdP」。"via Tags" や "via IdP" という命名が、「個別に入れた部品を、相互に繋ぐ」というPhase Twoの本質を示しています。
フェーズは「連鎖」している
3フェーズは独立した階段ではなく、依存関係で連結された作業グラフです。同じ能力が、Part 1 → Part 2、あるいは「組織レベル → 企業レベル」と段階的に深掘りされます。本文で確認できる代表的な連鎖は次の通りです。
- 特権アクセス管理:1.4.1(Phase One・移行Part 1)→ 1.4.2(Phase Two・移行Part 2)
- ID ライフサイクル管理:1.5.1(組織ILM)→ 1.5.2(企業ILM Part 1)
- 継続的認証:1.8.1(Single Authentication)→ 1.8.2(Periodic Authentication)
- EDR/XDR:2.7.1(EDR導入+C2C統合)→ 2.7.2(XDR拡張)
- 脆弱性管理:3.3.2(Part 1)→ 3.3.3(Part 2)→ 3.3.4(Continual Validation)
- ファイル活動監視:4.4.3(Part 1)→ 4.4.4(Part 2)
そして見落とせないのが、Discoveryの起点アクティビティ「1.1.1 Inventory User」の後続が、Phase Twoの「1.2.2 Rule-Based Dynamic Access Part 1」に設定されている点です。最初の棚卸しが、最後の動的アクセス制御の前提になっています。フェーズをまたいで、作業は1本の線で繋がっています。
5.5. 42 Capabilityを軸に、91 Activityの構造を俯瞰する — ZIGの全体マップ
ここまで、ZIGの3フェーズを「見る → 閉じる → 動かす」と整理しました。ただし、ZIGを実務文書として読むなら、もう一段細かく見る必要があります。ZIGの本体は、3つのフェーズだけでなく、DoD Zero Trust Frameworkに沿った7つのPillar(柱)ごとに、Capability(能力)とActivity(作業)を配置したものだからです。
現行ZIGが扱うのは、Target-levelの42 Capabilityと91 Activityです。本節では、91個のActivityを1つずつ列挙するのではなく、42 Capabilityを軸に、それらが7つの柱とフェーズにどう配置されているかの構造を俯瞰します。まず、各柱のCapabilityがどのフェーズに現れるかを一覧にします(番号はCapability ID。同じCapabilityが複数フェーズに再登場します)。
| Pillar | Discovery | Phase One | Phase Two |
|---|---|---|---|
| 1 User | 1.1 | 1.3 / 1.4 / 1.5 / 1.7 / 1.8 | 1.2 / 1.4 / 1.5 / 1.6 / 1.8 / 1.9 |
| 2 Device | 2.1 / 2.3 | 2.1 / 2.4 / 2.5 / 2.6 / 2.7 | 2.1 / 2.2 / 2.3 / 2.4 / 2.6 / 2.7 |
| 3 Application and Workload | 3.1 | 3.2 / 3.3 / 3.4 | 3.2 / 3.3 / 3.4 |
| 4 Data | 4.1 / 4.4 | 4.2 / 4.3 / 4.4 / 4.5 / 4.6 | 4.2 / 4.3 / 4.4 / 4.5 / 4.6 / 4.7 |
| 5 Network and Environment | 5.1 / 5.2 | 5.1 / 5.2 / 5.3 / 5.4 | 5.2 / 5.3 / 5.4 |
| 6 Automation and Orchestration | 6.1 / 6.2 / 6.5 / 6.6 | 6.1 / 6.5 / 6.6 / 6.7 | 6.1 / 6.2 / 6.3 / 6.6 / 6.7 |
| 7 Visibility and Analytics | 7.1 | 7.1 / 7.2 / 7.3 / 7.5 | 7.1 / 7.2 / 7.3 / 7.4 / 7.5 |
この7つを横断して見ると、ZIGが単なる「ID管理のガイド」でも「ネットワーク分離のガイド」でもないことが分かります。ZIGは、ID・端末・アプリケーション・データ・ネットワーク・ポリシー自動化・ログ分析を一体で動かすための実装地図です。以下、柱ごとに中身を読み解きます。
User Pillar — 人と非人間主体を、継続的に検証する
User Pillarは、ユーザーだけを扱う柱ではありません。Person Entity(PE)とNon-Person Entity(NPE)を含む、アクセス主体全体を扱います。DiscoveryではUser Inventory(1.1)から始まり、Phase OneではMFA(1.3)、PAM(1.4)、Identity Federation and User Credentialing(1.5)、Least Privileged Access(1.7)、Continuous Authentication(1.8、Single Authentication)を整えます。Phase Twoでは、Conditional User Access(1.2)、Behavioral・Contextual ID・Biometrics(1.6、ユーザー・エンティティ行動分析=UEBA/User Activity Monitoring=UAM)、Periodic Authentication(1.8)、Enterprise PKI and IdP(1.9)、ICAMプラットフォーム統合へ進みます。
ここで重要なのは、ZIGが「ログインできたら信頼する」という考え方を採っていない点です。最初に主体を棚卸しし、MFAとIdPで基盤を作り、特権アクセスを管理し、最小権限を適用し、行動・文脈・属性に基づいて継続的に判断します。民間企業に置き換えるなら、Okta、Microsoft Entra ID、Google Workspace、PAM、IdP連携、SCIM、ログ監視、UEBAを別々に導入して終わりではありません。それらを、アクセス判断の連続した仕組みとしてつなぐことがUser Pillarの本質です。
Device Pillar — 端末を「所有物」ではなく、検証対象として扱う
Device Pillarは、Device Inventory(2.1)、Device Detection and Compliance(2.2)、Device Authorization with Real-Time Inspection(2.3)、Remote Access(2.4)、資産・脆弱性・パッチ管理(2.5)、UEM/MDM(2.6)、EDR/XDR(2.7)を扱います。Discoveryでは、まずデバイスの状態を把握します。Phase Oneでは、管理対象端末を広げ、脆弱性・パッチ管理、UEM/MDM、EDR、Deny Device by Default(2.4.1)を基盤として整備します。Phase Twoでは、Comply-to-Connect(C2C)やXDRの統合、NPE/PKI、BYOD/IoTの限定的な管理(2.4.2)、Application Control・File Integrity Monitoring(2.3.3)へ進みます。
ここでの主張は明確です。端末は「社給だから信頼する」「社内LANにいるから信頼する」ものではありません。デバイスは、常に状態を検査され、ポリシーに合わなければ接続やアクセスを拒否される対象です。Deny Device by DefaultがPhase Oneに置かれていることは、その思想をよく示しています。
Application and Workload Pillar — アプリとコードを、実行前・実行中・変更時に管理する
Application and Workload Pillarは、Application Inventory(3.1)、Secure Software Development and Integration(3.2、DevSecOps Software Factory)、Software Risk Management(3.3、Approved Binaries and Code・脆弱性管理・Continual Validation)、Resource Authorization and Integration(3.4、Software-Defined Compute Resource Authorization含む)を扱います。Discoveryではアプリケーションとコードを特定します。Phase Oneでは、DevSecOps基盤、承認済みバイナリ、脆弱性管理、リソース認可を整えます。Phase Twoでは、これらをさらに自動化(3.2.3)・継続検証(3.3.4)・ソフトウェア定義の認可(3.4.4)へ進めます。
この柱は、日本企業のゼロトラスト議論で抜けやすい部分です。ゼロトラストというと、IdP・MFA・EDR・SASEに話が寄りがちですが、ZIGはアプリケーションとワークロードの実行環境、コード、バイナリ、DevSecOps、継続的検証もTarget-levelの範囲に含めています。つまり、ゼロトラストは「利用者の入口」だけでなく、「動いているアプリケーションそのもの」にも及ぶということです。
Data Pillar — データを中心に、タグ・分類・DRM・DLP・アクセス制御をつなぐ
Data Pillarは、Data Analysis(4.1)、DoW Enterprise Data Governance(4.2、データタグ標準・相互運用標準・Software-Defined Storage〔SDS〕Policy)、Data Labeling and Tagging(4.3)、Data Monitoring and Sensing(4.4、ファイル活動監視)、Data Encryption and Rights Management(4.5、DRM)、Data Loss Prevention(4.6、DLP)、Data Access Control(4.7)を扱います。Discoveryでは、まずデータ分析とDLP/DRMのログ監視から始まります。Phase Oneでは、データタグ、分類、DRM、DLP、ファイル活動監視を整えます。Phase Twoでは、タグと分析を用いたDRM/DLPの強制(4.5.3/4.6.2)、SDS Policy(4.2.3)、IdPとの統合(4.7.4)、Data Access Control(4.7)へ進みます。
ここはZIGの中でも特に重要です。ゼロトラストは「誰がアクセスするか」だけでは完成しません。「何のデータにアクセスするか」「そのデータはどの分類か」「どの条件なら閲覧・編集・持ち出しを許すか」まで結びつける必要があります。ZIGがData Access ControlをPhase Twoで明示している点は、SaaS時代のゼロトラストにとって大きな意味を持ちます。
Network and Environment Pillar — ネットワークを前提にせず、流れを分解して制御する
Network and Environment Pillarは、Data Flow Mapping(5.1)、Software-Defined Networking(5.2)、Macro-Segmentation(5.3)、Micro-Segmentation(5.4)、通信中データの保護(5.4.4 Protect Data in Transit)を扱います。Discoveryでは、データフローとSDN APIを把握します。Phase Oneでは、データセンター単位のマクロセグメンテーション(5.3.1)、マイクロセグメンテーション(5.4.1)を整えます。Phase Twoでは、制御・管理・データの各プレーンの分離(5.2.3)、拠点単位のマクロセグメンテーション(5.3.2)、アプリ・デバイス単位のマイクロセグメンテーション(5.4.2)、通信中データの保護へ進みます。
ここで注意したいのは、ZIGがネットワークを不要だと言っているわけではない点です。むしろ、ネットワークを細かく理解し、フローを把握し、制御単位を小さくし、通信経路を保護することを求めています。SASEやZTNAを導入して終わりではなく、データフロー、制御プレーン、管理プレーン、アプリケーション単位の分離まで踏み込む必要があります。
Automation and Orchestration Pillar — ポリシーと運用を、人手から機械実行へ移す
Automation and Orchestration Pillarは、Policy Decision Point(PDP)and Policy Orchestration(6.1)、Critical Process Automation(6.2)、Machine Learning(6.3)、SOAR(6.5)、API Standardization(6.6)、SOC and Incident Response(6.7、ワークフロー強化)を扱います。Discoveryでは、ポリシー棚卸し、重要プロセスの特定、SOARのギャップ分析、API棚卸しから始まります。Phase Oneでは、Organization Access Profile(6.1.2)、SOAR導入(6.5.2)、API標準化(6.6.2)、Workflow Enrichment(6.7.1)へ進みます。Phase Twoでは、Enterprise Security Profile(6.1.3)、Enterprise Integration and Workflow Provisioning(6.2.2)、データタグ分類のML(6.3.1)、標準API(6.6.3)へ進みます。
この柱があることで、ZIGは単なる統制一覧ではなくなっています。ゼロトラストは、人が都度判断する運用ではスケールしません。ポリシーを定義し、PDP/PEPの判断に落とし込み、ログや属性を使って自動判断・自動応答に近づけていく必要があります。ここが、ZIGを「チェックリスト」ではなく「運用モデル」として読むべき理由です。
Visibility and Analytics Pillar — すべてを見るだけでなく、相関・分析・脅威情報へつなぐ
Visibility and Analytics Pillarは、Log All Traffic(7.1)、SIEM(7.2)、共通セキュリティ・リスク分析(7.3)、UEBA(7.4)、Cyber Threat Intelligence(7.5)を扱います。Discoveryでは、ログ取得のスケールを検討します(7.1.1)。Phase Oneでは、ログ解析(7.1.2)、脅威アラート(7.2.1)、共通分析(7.3)、脅威インテリジェンス(7.5)を整えます。Phase Twoでは、ログ分析(7.1.3)、Threat Alerting(7.2.2)、User and Device Baselines(7.2.5)、UEBA(7.4)へ進みます。
ここでのポイントは、ログを集めること自体が目的ではないということです。ZIGは、ログを資産・ユーザー・デバイス・アプリケーション・データと結びつけ、平常時のベースラインからの逸脱を検知し、CTIと組み合わせて判断することを求めています。これは、国家APTや正規資格情報を使った侵害に対して特に重要です。
5.6. 各PDFは何を詳述しているのか
ZIGを網羅的に読むには、4本のPDFの役割を分けて理解する必要があります。
Primer — ZIG全体の読み方と、91 Activityの索引。
Primerは、ZIG全体の取扱説明書です。背景、ゼロトラストの考え方、設計コンセプト、対象読者(Target Audience)、スコープ、前提(Assumptions)、設計方法論、Pillar / Capability / Activityの構造、用語、略語、参考文献、そして全Target-level Activityのタスク図(Appendix D)を提供します。実務上は、Primerを読まずにPhase OneやPhase Twoだけ読むと、ZIGの意図を誤解しやすくなります。Primerは、ZIGが義務文書ではなく、組織の環境に合わせて使うモジュール型の実装支援文書であることを示しています。
Discovery Phase — 「何があるか」を知らずにゼロトラストは始められない。
Discovery Phaseは、環境の棚卸しです。対象は、ユーザー、デバイス、アプリケーション、コード、データ、データフロー、DLP/DRMログ、ポリシー、API、SOAR、自動化対象、ログ取得などです。Discoveryは単なるインベントリではありません。棚卸しによって、許可すべき主体、管理すべき端末、保護すべきデータ、制御すべき通信、監視すべきログを明らかにします。つまり、以後のDeny by Default、最小権限、動的アクセス制御の前提を作るフェーズです。
Phase One — 安全な基盤を作る。
Phase Oneは、ゼロトラストを支える基盤整備です。MFA、PAM、ILM、最小権限、Deny User by Default、Deny Device by Default、UEM/MDM、EDR、脆弱性・パッチ管理、DevSecOps、DLP、DRM、セグメンテーション、SOAR、SIEM、ログ分析、CTIなどが入ります。Phase Oneの本質は、信頼の初期値を変えることです。ユーザーもデバイスも、アプリケーションもデータアクセスも、最初から許可されているのではなく、明示的に認可された範囲だけが許される状態を作ります。
Phase Two — 個別導入した部品を、動的・統合的な制御へ進める。
Phase Twoは、Phase Oneで整えた基盤を統合し、動的制御へ進めるフェーズです。条件付きアクセス、ルールベースの動的アクセス、UEBA/UAM、Periodic Authentication、Enterprise PKI、XDR、C2C、DevSecOpsの高度化、データタグと分析によるDRM/DLP強制、Data Access Control、SDN、マイクロセグメンテーション、ML、SOAR、API標準化、ベースライン・プロファイリングが中心になります。ここで初めて、各製品・各統制が単独で動くのではなく、IdP・データ分類・ログ・分析・ポリシー・PDP/PEP・SOAR・APIを通じて相互に接続され、ゼロトラストは「導入済み製品の集合」から「継続的に判断する運用モデル」へ変わります。
5.7. 企業がZIGを読むときの実務チェックリスト
民間企業がZIGを読むときは、91 Activityをすべて同じ重みで読む必要はありません。重要なのは、自社の現状を7つのPillarに分けて、どこが空白かを確認することです。まず確認すべき10項目を挙げます。
- ユーザー、サービスアカウント、デバイス、アプリケーション、データの棚卸しができているか
- IdPとMFAが全社の主要SaaS・特権操作・管理画面に適用されているか
- 特権アクセス管理とIdentity Lifecycle Managementが運用として回っているか
- 管理対象デバイスと非管理対象デバイスを区別し、アクセス制御に反映できているか
- EDR/XDR、脆弱性管理、パッチ管理、UEM/MDMが分断されず連携しているか
- 重要データにタグ・分類・DLP・DRM・アクセス制御を結びつけられているか
- 重要アプリケーションとワークロードの棚卸し、脆弱性管理、DevSecOpsができているか
- ネットワークとデータフローを把握し、必要な単位でセグメンテーションできているか
- SIEM、ログ分析、UEBA、CTI、SOARが検知・判断・対応の流れとしてつながっているか
- ポリシー、API、ワークフロー、自動化が属人運用ではなく、継続的に改善される形になっているか
この10項目に答えられない場合、ZIGの91 Activityを読む価値があります。逆に言えば、ZIGは「米国政府の特殊な文書」ではなく、自社のゼロトラストを点検するための実務的な鏡として使えます。シンジの見方では、ZIGの最大の価値は、ゼロトラストを製品名ではなく作業単位に分解している点です。MFAを入れたか、EDRを入れたか、SASEを入れたかではなく、「棚卸し」「拒否」「分類」「検証」「相関」「自動化」「継続的改善」が実装されているかを見る。この視点が、ZIGを読む上で最も重要です。
6. このPDF群を、誰が、どう受け止めるべきか
ここが本記事の核心です。同じ発表でも、立場によって意味がまったく変わります。
米国社会・重要インフラの利用者にとって
ZIG本文の直接対象はDoW・DIB・NSS・関連組織であり、一般市民は名宛人ではありません。それでも含意は大きいです。Salt Typhoonに代表されるように、通信・政府・防衛ネットワークが国家APTに侵入され、米議会・政府関係者の側では「完全な排除の時期は予測困難」とする懸念が示されています(一方でAT&TやVerizonなどの通信事業者は、自社ネットワークは封じ込め済み・安全だとする見解を表明しており、評価は分かれています)。ZIGは、境界防御だけでは不十分であり、侵害を前提に設計する必要があるという政府系ゼロトラストの考え方を、実装作業へ落とし込んだ文書です。市民の側の現実的な含意は、政府関係者が一時期推奨したように、機微な通信は端末間で暗号化されたアプリを使う、といった自衛にまで及びます。ZIGそのものは技術文書ですが、その存在は「国家インフラの安全がまだ達成途上である」という現実の裏返しでもあります。
アメリカ企業 — 特に防衛産業基盤(DIB)にとって
ここが最も切実です。ZIGは明示的にDIBを対象に含めています。
訳:ZIGは、DoW、防衛産業基盤(DIB)、NSS、および関連組織が、ゼロトラスト原則を自らのプロセスに組み込み、Target-levelのゼロトラストを達成できるよう支援することを意図しています。
そしてDoDの期限は、契約者にも影響し得ます。DoD Zero Trust Strategyが定めるのは、DoDとそのComponentsがTarget Level ZTをFY2027末までに達成するロードマップです。個別のDIB企業が未達なら一律に契約を失う、という直接の法的・契約要件まではZIG本文・DoD ZT Strategyだけでは断定できませんが、契約要件・調達条件・プライムからのセキュリティ要求・評価基準を通じて、契約維持や新規受注上のリスクになり得ます(この帰結はZIG本文ではなく、DoD戦略・CMMC・DFARS等の契約調達文脈に由来します)。CMMCの契約組み込みと合わせ、ZIGは「準拠状況を点検するための実装チェックリスト」として活用し得る位置にあります(ただし、ZIGが現に評価基準として参照されているという公的な確認までは、現行の公開資料では取れていません)。
日本企業を含めた全世界の企業・団体
一見これは、他国の政府文書に見えます。しかし3つの理由で、世界中の組織が読む価値があります。
第一に、米防衛サプライチェーンに連なる企業には、間接的に波及する可能性があります。日本企業でも、米国の防衛・政府関連の取引や、米企業のサプライチェーンの一部であれば、契約要件・プライムからのセキュリティ要求・評価基準を通じて、ZIGに沿った水準を求められる可能性があります(全DIB企業に一律・直接にZIG準拠が課されるとまでは、現行の公開文書だけでは断定できません)。
第二に、民間ゼロトラストの「答え合わせ」になります。ZIGはNSS/DIB向けですが、各CapabilityのTechnology節が挙げる技術カテゴリ(MFA、IdP、PAM、EDR/XDR、SIEM、UEBA、DLP、マイクロセグメンテーション……)は、民間SaaSとそのまま対応します。つまり「国家版・ゼロトラスト最低ライン」が、製品名を伏せた中立な形で公開されているに等しいのです。ここでいう「最低ライン」とは、民間企業への公式義務という意味ではありません(ZIGは "not prescriptive or mandatory / not one-size-fits-all" と明記しています)。DoW ZT FrameworkのTarget-levelを実装作業に分解したものとして、自社のゼロトラスト実装を照合する参照基準になる、という意味です。自社の構成がこのCapability群のどこをカバーし、どこに穴があるかを照合すれば、それ自体が成熟度診断になります。
第三に、「フェーズは教義的でない/成熟度競争ではない」という思想が、日本の現場への処方箋になります。製品を入れて成熟度レベルを自称して終わり、という形骸化への対案として、ZIGの「作業の依存グラフ」という捉え方は強い武器になります。
注意:ZIGは米国政府文書であり、日本の法令・ガイドライン(個人情報保護法、政府機関等のサイバーセキュリティ対策統一基準群など)を代替するものではありません。あくまで「実装の構造と順序の参照モデル」として読むのが正しい姿勢です。
7. 国家APTにZIGは効くのか
「で、実際の攻撃に効くのか」。最後にこの問いに答えます。題材は、現在進行形で最も深刻な事例、Salt Typhoonです。
事実の確認
この節では、厳密な攻撃グループの同定ではなく、通信インフラを狙う中国系サイバー諜報活動の代表例としてSalt Typhoonを扱います(命名やクラスタリングはベンダー・政府機関ごとに異なり、同一性の断定は避けます)。
「Salt Typhoon」は、中国系の国家支援サイバー諜報活動に対してセキュリティ業界が付けた呼称です。米国の通信インフラ・政府・防衛網などを標的に、監視と通信傍受を行ってきたとされます。活動開始時期はソースで割れており、業界報告(ESET等)は「少なくとも2019年から」とする一方、米政府の合同勧告(AA25-239A)は当該APTのグローバルな活動を「少なくとも2021年から」と記述しています。なお、NSA・CISA・FBI等による2025年8月の合同勧告(AA25-239A)は、この活動が「Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807、GhostEmperorなど業界報告と部分的に重なる」と述べつつ、特定の商用命名を採用せず、勧告内では一般的に「APTアクター」と呼ぶと明記しています。つまり政府勧告は「Salt Typhoon」を公式クラスタ名としては採用していません。本記事では便宜上、業界呼称の「Salt Typhoon」を用います。被害は報道で「米史上最悪級の通信ハック」とも評されます。2026年初頭には、ノルウェーでSalt Typhoonがネットワーク機器を侵害したと報じられました。一方、同時期に話題となったシンガポールの4大通信事業者(Singtel・StarHub・M1・Simba Telecom)への侵入は、シンガポール政府(CSA)がUNC3886という別グループに帰属させており、Salt Typhoonとは区別されます。両者は「通信事業者を標的とする手口が類似する」と複数の分析が指摘するものの、同一グループとは断定されていません。本記事では両者を混同せず、中国系APTが通信インフラへ広く展開している状況の例として扱います。
最も重いのは、専門家がSalt Typhoonは依然として米ネットワーク内に残存している可能性を指摘し、米上院商業委員会の関連文書では、侵害の規模と重大性ゆえに完全な排除の時期を予測することは困難である旨が示された点です。確認されている重要なTTPは、ネットワーク機器における公開済み脆弱性(既知CVE)の悪用と、組み込みのネットワーク管理機能を悪用した潜伏です。同勧告はゼロデイ悪用を現時点で観測していないとする一方、「初期アクセスの手法は重要な情報ギャップである」とも明記しており、侵入の起点そのものは完全には解明されていません(参考までに、別グループであるUNC3886はファイアウォール等のゼロデイ悪用で知られ、この点でも両者は対照的です)。
ZIGが効く部分
防御・封じ込め:侵入経路が未パッチ機器である以上、Phase Oneの「2.5 資産・脆弱性・パッチ管理」は対応する統制カテゴリです。EDR/XDR(2.7)は管理対象エンドポイントや対応可能な領域での検知・封じ込めに寄与しますが、通信キャリアのコアネットワーク機器すべてに直接効くわけではありません。さらに横展開(ラテラルムーブメント)の封じ込めとして、「5.3 マクロセグメンテーション」「5.4 マイクロセグメンテーション」「4.7 データアクセス制御」が対応します。実際、セキュリティ各社の分析は「セグメンテーションと制御されたegress(外向き通信)ポリシーの強制が、攻撃者の横移動とデータ持ち出しを制限し得た」と指摘しています。要は「入られても、奥に進めない・データを抜けない」状態を作るのが、ZIGの土台が狙う統制です。
検知:未検知のAPTへの最大の武器は可視化です。「7.1 全トラフィックのログ取得」「7.2 SIEM」「1.6 UEBA」が、平常時のベースラインからの逸脱を捉えます。APTは正規の資格情報で静かに居座るため、署名ベースの検知では見つかりません。行動分析(UEBA)と継続的認証(1.8)が要になります。
ZIGが届かない部分 — 論じる価値のある核心
ここは率直に整理します。ZIGには、Salt Typhoon型の攻撃に対して構造的な穴があります。
- スコープの穴:ZIGは現状、ITエンタープライズが主対象です。本文は「OT(運用技術)・防衛重要インフラ(DCI)・戦術/兵器システムは将来更新で扱う可能性がある」と明記しています。ところがSalt Typhoonの主戦場は通信キャリアのネットワーク機器そのもの、つまりインフラ層です。最も狙われている領域を、現行スコープは完全にはカバーしていません。
- 機器ファームウェアの信頼性:侵入起点がネットワーク機器の脆弱性である以上、機器そのものの完全性検証(ファームウェアレベルのゼロトラスト)が要ります。ですがZIGのデバイス柱は管理対象エンドポイント中心で、コアネットワーク機器のファームウェア完全性は手薄です。
- 残存APTの能動的駆逐:「完全駆逐は不可能」という現実に対し、ZIGは「assume breach」を掲げながらも、既に内在する高度な攻撃者を能動的に狩るThreat Huntingのケイパビリティが明示的に薄いです。ここがAdvanced-level(Phase 3/4、未公開)で補強されるかは、現時点では不明です。
結論
ZIGの統制群は、Salt Typhoon型APTに対して、初期侵入の難化・横展開の封じ込め・行動ベースの検知に寄与し得ます。一方で、最も狙われているインフラ層・機器ファームウェア・残存APTの能動的駆逐には、現行スコープが届いていません。ゼロトラスト警察かつゼロトラストおじさんのシンジから見れば、ZIGは万能薬ではなく、Target-levelの達成目標を、検証可能な作業単位に分解した実装支援文書です。それ以上でも以下でもありません。
8. まとめ — シンジの視点
- ZIGはゼロトラストにおける新理論ではありません。DoD Zero Trust Strategyが掲げるTarget-level達成に向けて、42 Capability / 91 Activityを実装単位に分解した、実務者向けの実装支援文書です。
- 公開は二段階です。PDF文書のリリースが2026年1月、それを束ねる専用ウェブページの公開・対話的リソース化が2026年5月。5月のウェブページ公開により、ZIGは専門家がPDFを探して読む文書から、より広く参照される対話的リソースへ移りました。1月の文書公開はFY2027末まで約20か月、5月のウェブページ公開は約16か月という局面で行われ、背景には進捗の遅れ(14%)と、CMMC要件を契約に組み込む48 CFR最終規則の発効(2025年11月)がありました。
- 3フェーズは「見る → 閉じる → 動かす」です。Discoveryで環境を把握し、Phase Oneで安全な基盤を作り、Phase Twoで個別の基盤ソリューションを統合します。
- ZIGの本体は、7つのPillarにまたがる91 Activityです。User/Device/Application and Workload/Data/Network and Environment/Automation and Orchestration/Visibility and Analyticsを横断して読まなければ、ZIGの全体像は掴めません。
- 「Deny by Default」をUserとDeviceの基盤フェーズに置いたことは、ZIGの重要な思想表明です。ただしZIG自体は義務文書ではなく、not prescriptive / modularな実装支援文書として読むべきです。
- DIBに連なる企業(日本企業を含む)には、CMMC・個別契約・プライムからの要求・評価基準を通じて、ZIGに近い実装水準が波及する可能性があります。民間にとっては「国家版・ゼロトラスト最低ライン」の答え合わせになり、製品導入の有無ではなく、棚卸し・拒否・分類・検証・相関・分析・自動化が実装されているかを点検する実務的な鏡として使えます。
- 国家APTに対しては、可視化・最小権限・セグメンテーション・ログ分析・UEBA・CTI・SOARといった土台には効きます。一方で、通信インフラ層・機器ファームウェア・残存APTの能動的駆逐までは現行ZIGだけでは完全にカバーできません。
NSAが「フェーズは教義的でない」と最初に断ったのは賢明でした。ゼロトラストは点数を競うゲームではありません。守るべきものを見て、まず閉じ、検証しながら開けていく。その地道な作業の連なりこそが本質です。ZIGは、国家安全保障システムとDIBを明示的に対象に含む、きわめて実務寄りの実装ガイドであり、その作業の地図を粒度細かく公開した文書です。
「とりあえずゼロトラストください」とかいう謎思考から解き放たれましょう。
一次ソース・参照
ZIG本文(NSA / media.defense.gov、米国政府著作物)
- Primer:
https://media.defense.gov/2026/Jan/08/2003852320/-1/-1/0/CTR_ZERO_TRUST_IMPLEMENTATION_GUIDELINE_PRIMER.PDF(U/OO/102936-26、文書日付January 2026、NSAリリース2026/1/14) - Discovery Phase:
https://media.defense.gov/2026/Jan/08/2003852321/-1/-1/0/CTR_ZIG_DISCOVERY_PHASE.PDF(U/OO/103058-26、文書日付January 2026、NSAリリース2026/1/14) - Phase One:
https://media.defense.gov/2026/Jan/30/2003868308/-1/-1/0/CTR_ZIG_PHASE_ONE.PDF(U/OO/107297-26、2026/1/30) - Phase Two:
https://media.defense.gov/2026/Jan/30/2003868302/-1/-1/0/CTR_ZIG_PHASE_TWO.PDF(U/OO/107298-26、2026/1/30) - ZIGランディングページ:
https://www.nsa.gov/Cybersecurity/ZIG/ - NSAプレスリリース「Phase One and Phase Two公開」(2026/1/30):
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4393480/ - NSAプレスリリース「ZIGウェブページ公開(対話的リソース化。activities/checklists/reports/tasksを提供)」(2026/5/28付):
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4496862/ - NSAプレスリリース「Primer・Discovery公開」(2026/1/14付):
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4378980/ - (補助)NSA Cyber 公式SNS告知(2026/5/29、ウェブページ公開の告知。一次の裏付けは上記プレスとZIGページ)
根拠となるフレームワーク・期限
- NIST SP 800-207 "Zero Trust Architecture"(2020年8月)
- CISA Zero Trust Maturity Model v2.0(2022年1月)
- DoD Zero Trust Reference Architecture v2.0(2022年7月)
- DoD Zero Trust Strategy v1.0(2022年10月)— Target-level 91アクティビティをFY2027(2027/9/30)までに、Advanced-level 61をFY2032までに達成:
https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf - EO 14028 "Improving the Nation's Cybersecurity"(2021/5/17、連邦官報):
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity - NSM-8(National Security Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems、2022/1/19)
- EO 14347 "Restoring the United States Department of War"(2025/9/5署名、連邦官報Vol.90 No.173, p.43893、2025/9/10掲載。DoWはDoDの認可された別称=正式改称ではない):
https://www.govinfo.gov/content/pkg/FR-2025-09-10/pdf/2025-17508.pdf
APT文脈(二次ソース、状況は流動的)
- NSA/CISA/FBI等 合同勧告 AA25-239A「Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide」(2025/8/27。Salt Typhoon等の業界呼称を公式採用せず「APTアクター」と総称。初期アクセス手法は「重要な情報ギャップ」と明記):
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a - シンガポールCSA/IMDA発表「UNC3886による通信セクター標的化」(M1・SIMBA・Singtel・StarHubの4社。Salt Typhoonとは別グループ):
https://www.csa.gov.sg/news-events/press-releases/largest-multi-agency-cyber-operation-mounted-to-counter-threat-posed-by-advanced-persistent-threat--apt--actor-unc3886-to-singapore-s-telecommunications-sector/ - 米上院商業委員会 Salt Typhoon関連文書(完全排除時期の予測困難、通信事業者への追加説明要求)
- ノルウェー警察保安局(PST)National Threat Assessment 2026(2026年2月公表)— Salt Typhoonがノルウェーの脆弱なネットワーク機器を侵害したと公式に開示(NATO加盟国政府による一次アトリビューション)
- 各社報道・分析(Salt Typhoonによる米・ノルウェーの通信/機器侵害、未パッチ機器の悪用、残存可能性)
- シンガポールCSA発表およびReuters等の報道(4大通信事業者を標的としたのは中国系UNC3886。Salt Typhoonとは別グループとして帰属)
- CMMC 48 CFR最終規則(DFARS Parts 204/212/217/252。2025年9月10日連邦官報公表、2025年11月10日発効)
- DoD News「'Zero Trust' Architecture Could Prevent Adversary Data Theft, Protect Warfighters」(2025年2月26日配信)— ゼロトラストPMOデータとして全58コンポーネントのTarget-level進捗14%が2024年10月までに完了(Gary Kipe大佐が2025年2月のサミットで言及):
https://www.war.gov/News/News-Stories/Article/Article/4078717/zero-trust-architecture-could-prevent-adversary-data-theft-protect-warfighters/
注記:本記事中の「契約リスク」「DIBへの波及」「進捗14%(2024年10月時点)」「FY2027末=2027年9月30日」等は、ZIG本文ではなく、DoD ZT Strategy・CMMC等の契約調達文脈・DoD News等に基づきます。Salt TyphoonとUNC3886は別グループであり、本記事は両者を区別しています。EO 14347による「Department of War」はDoDの認可された別称(正式改称ではありません)です。状況は流動的であり、最新の一次情報での確認を推奨します。Phase Three/Fourの内容・公開時期は2026年5月時点で不明です。
