ゼロトラストアーキテクチャを実現する ICAM とセキュリティクリアランス

米国を中心とするグローバルな枠組みにおいて、重要インフラやサプライチェーンに対するセキュリティ基準の制定が活発になってきたことを受けて、一般社団法人セキュア IoT プラットフォーム協議会が、「国際社会と協調するために、日本の重要インフラ並びにそのサプライチェーンが今取り組むべきこと～ICAM とセキュリティクリアランス制度の考察～」を公開しました。
この考察では、重要インフラおよびサプライチェーンセキュリティ確保のため、ICAM（Identity, Credential, Access Management：ID/ 資格 / アクセス管理）による厳格な個人識別・認証・アクセス管理と、セキュリティクリアランスへの対応が日本の産業界においても重要と説いています。また、これらの要件がグローバルビジネスへの参入条件に変わりつつあり、対応できない企業や団体は、今後国際的な取引から排除されるリスクを指摘しています。その上で、 ICAM と日本版セキュリティクリアランス制度を統合的に捉え、現在日本企業や産業界に求められる視点を整理しています。

サイバートラストはこの考察を受けて、「ゼロトラストアーキテクチャを実現する ICAM とセキュリティクリアランス」として、以下を解説します。

「厳格な個人認証」とセキュリティクリアランス
「認証情報の保護」と PKI 技術の優位性
認証と認可を司る「アクセス管理」

背景

米国国立標準技術研究所（NIST）は多くの技術的なガイドラインを発行し、IT 分野の取組みを支援してきました。2020 年にリリースされた「NIST SP 800-207：Zero Trust Architecture」は、ゼロトラストアーキテクチャの実施において重要な役割を果たしています。また、アメリカ合衆国議会で制定される国防政策の基本法である国防権限法（NDAA）は、国防予算法という枠を超え、サイバーセキュリティ、サプライチェーン管理、人的安全保障を網羅する包括的立法へと進化しています。また、これらさまざまなセキュリティ規格は、行政のみならず、重要インフラやサプライチェーンへも適用されます。
このように、米国は業界全体に強い影響力のある方針を打ち出しながら、安全な技術や製品とは何かを探求しています。
日本においても、セキュリティ要件適合評価及びラベリング制度（JC-STAR: Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements）がスタートし、NIST などの国内外基準への適合性を可視化する取組みが行われるようになりました。また、特定秘密保護法と重要経済安保情報保護活⽤法の成立により、公共サービスの提供体制あるいは重要な物資や製品の供給網を中心に、広くわが国の国民生活・経済活動を安全に発展さるための動きが活発になってきました。
行政や重要インフラが実施していくセキュリティ対策においては、幾度となく繰り返される国際紛争や自然災害に対するサプライチェーンリスクへの取組みが広がり始める中、どのような機能や性能を優先させるべきかといった課題が明確になりつつあります。国内外基準へ準拠させていくことは、発生する多くのセキュリティ上のリスクを低減させ、またインシデント発生時においても回復までの適切な管理を実施していくことに効果的です。その中核には、「厳格な個人認証（ID management）」「認証情報の保護（Credential management）」「アクセス管理（Access management）」の３つのセキュリティ要素があります。ゼロトラストアーキテクチャの実施を確実にしていくために欠かせないこれらの技術は、１社の製品やサービスだけでは成立することが難しく、国際的な枠組みの中で共通的なセキュリティレベルとして育まれるべき性質をもっています。

「厳格な個人認証」とセキュリティクリアランス

米国では重要インフラおよびサプライチェーンリスクの低減のために、ICAM（Identity, Credential and Access Management）による厳格な個人識別・認証・アクセス管理が定義されました。米国内のみならず同盟国にも波及する国際的準拠条件になりつつあります。
ICAM は、ゼロトラストアーキテクチャの中核をなす構成要素であり、情報にアクセスするヒトに対する確実な身元確認による ID 発行、ID に基づく資格情報の発行とこれらを用いたアクセス管理が必要とされます。さらに技術的・運用的ガイドラインを規定して、NIST SP 800-63 が制定されました。
AI 技術や IoT 機器の普及により、「モノ」（センサー、デバイス、アプリケーションなど）にも固有の ID を付与することが不可欠という考え方が求められ、機器や通信においても、厳格な認証・認可を適用していく取組みが広がりつつあります。

日本のセキュリティクリアランス制度

セキュリティに対する技術的なアプローチが国際安全基準に進化してきた過程において、日本においても、あらゆるエンティティ（人・機器・プロセス）を統合的、かつ、動的に管理するゼロトラスト型アクセスフレームワークが効果的であるという認識が高まっています。集積される情報には利用者のプライバシー保護に関する懸念を払しょくする必要があり、情報管理を徹底しなければなりません。
これらプライバシー保護に関する状況に呼応するように、米国を中心に重要情報保全のためのセキュリティクリアランス制度の導入が加速しました。日本においても 2024 年以降、政府 / 企業 / 研究機関を対象とするセキュリティクリアランス制度（機密情報保全法制）の導入議論が本格化してきており、2025 年 5 月 16 日に施行された「重要経済安全情報保護活用法」にて日本版セキュリティクリアランスの内容が定義されています。
前述の ICAM は、単なる認証技術ではなく、ゼロトラストアーキテクチャを前提に「適切な主体（ヒト・モノ・AI プロセス）が」、「適切な理由で」、「適切な情報に」、「適切なタイミング」でアクセスしていることを国家安全保障レベルで統合管理する枠組みです。
NIST SP 800-207 およびその実装ガイド（SP1800-35）を背景に、ICAM は従来の静的な認証管理から、動的なリスクベースのアクセス制御モデルへと発展してきています。
また国際的なセキュリティ規格や法令（NIST SP 800 シリーズ、欧州 CRA など）でも必須項目として ICAM の考え方が採用され、セキュリティバイデザインの基本的アーキテクチャとなっています。

地政学的リスクとセキュリティクリアランス

米国において、セキュリティクリアランスに関する法整備が急がれたことには理由が存在します。公開されている情報によると、工作員と考えられる他国籍の人間が、政府の機密情報にアクセス可能な個人への接触を試みる行為など、不正に機密を取得しようとする活動が活発化しています。さらに、機密情報の漏えいが発生してしまった場合の評価（リスクアセスメント）では、国家安全保障上の損害を十分に回復できない事態が生じることが判明しました。法令に基づく制度を整えることで、機密情報にアクセスする職に就く被用者などへの、事実上の公平性を担保することができます。こうして、国民に対する説明責任を一定程度保ちながら、セキュリティクリアランス制度の運用に対して民主的統制を実行していきながら地政学的リスクに対する体制を整備したといえます。

PKI を活用した厳格な個人認証

セキュリティクリアランス制度でプライバシー保護に関する考え方が示されたことに並行して、ICAM では、対象者の身元の厳格な確認を求め、ID は資格情報（IC カードなど）に関連付けることとしています。さらに認証技術に対するセキュリティ強度を高めるために、PIN などの 2 番目の要素がその資格情報に追加される工夫も必要としています。このような多要素認証には、「あなたが知っているもの（PIN など）」、「あなたが持っているもの（IC カード、機器、トークンなど）」、「あなた自身であるもの（指紋、静脈、顔など）」が含まれるため、PKI（公開鍵基盤）を活用することが現実的な解となります。
PKI はパスポートやマイナンバーカードなど、公的な身分証明書としても広く使われていて、電子証明書が格納された IC カードなどのトークンは一定レベルの安全性が確保されています。ICAM も同様に、新たに ID を発行する場合には、その「ヒト」や「モノ」が本人あるいは本物（偽造されたモノではない）を徹底して確認しなければなりません。まさにこの信頼の起点となる原初のタイミングで、法規やルールに則った運用が求められ、「厳格な個人認証」を実現するために不可欠な要素となります。

「認証情報の保護」と PKI 技術の優位性

ICAM で求められる二つ目の要素に「認証情報の保護（Credential management）」があります。IC カードに格納された電子証明書や、指紋認証で使われる指紋情報など、認証技術で活用される情報を確実に守るために実装される対策を指しています。これまでに FIDO や FIPS140 といった安全基準が整備されてきたことにより、これら認証情報を的確に保護する仕組みが多く存在します。さらに、広がりをみせる AI や IoT 機器などの小型機器へも展開可能な技術であることからも、PKI をベースに、より軽量で分散的な信頼モデルを構築し、オンライン上での相互認証・ハードウェア署名・セキュアブート検証を自律的に実施可能にすることができます。

サイバー攻撃の標的となる認証情報

攻撃者にとって、認証情報を搾取することがサイバー攻撃の第一歩となります。近年になり世界的に猛威を振るっているランサムウェアや、金融機関を狙ったサイバー攻撃は、個人やシステム管理者の認証情報を不正に取得することで成立します。すなわち、認証情報を徹底して管理・保護していくことが多くのサイバー攻撃に対する防御と成りえます。高度なセキュリティ技術を実装したハードウェアトークンにおいても、システムやネットワーク上のセキュリティホールを放置するなどして生じる事故は後を絶ちません。守るべき情報資産に対するリスクアセスメントや脆弱性診断などを駆使して、認証情報が漏えいしない徹底した対策を実施する必要があります。

認証と認可を司る「アクセス管理」

ICAM の三つ目の要素は「アクセス管理（Access management）」です。厳格に個人が識別され、認証情報が管理された環境において、これらを活用するシーンで求められるセキュリティ機能を指しています。
TLS や IPsec といった暗号通信技術では、すでに PKI を用いた多要素認証を実装することができます。一部の金融機関では、厳格な事前審査で発行された IC カードに PIN や顔認証といった生体情報をともに提示する仕組みを採用しています。これにより、ICAM が求める 2 つの要素を同時に実行することができます。当然ながら IC カードに格納された本人の電子証明書が認証に使用され、複雑な認証工程を体感的に簡略化して利便性を低減させません。

ゼロトラストアーキテクチャに欠かせないアクセス管理

NIST SP 800-207 は、ネットワーク境界を問わずにセキュリティを確保する方法を示しています。特に派生の特別刊行物としてリリースされた NICT SP1800-35 では、ゼロトラストアーキテクチャを実装した製品ベンダーから、調達することが可能な製品の組み合わせにより自社システムへ実装し、構築する方法をまとめることを目的としています。
具体的な実装シーンを想定したシナリオとスコープが明記さてれいることからも、IT 実環境を設計・見直し・評価する際に活用することができます。下記の５つの項目が代表的なアクセス管理に関する実施項目となります。いずれも、PKI による制御が効果的であることが実証されています。

権限の異なる、正規従業員と、契約業者、ゲストといった権限をコントロールできる
社内ネットワーク、テレワーク＆インターネットといった、ハイブリッド環境からのリソースアクセス（本人認証と機器認証）
リソースはクラウドサービスも含まれる（TLS や IPsec+IKE の実装）
端末は、社給デバイスと、BYOD 利用を識別できること（機器認証）
可視化機能に基づいた動的なゼロトラストエンジンとして機能（権限管理）

攻撃者に悪用されないための技術

しかしながら、認証情報の提示を求めてくる Web サイトやシステムは「本当に正しいもの」でしょうか。フィッシング詐欺に代表されるサイバー攻撃では、本物のサイトに見せかけたニセモノのサイトに利用者を誘い込む手口が後を絶ちません。フィッシングサイトの多くは、正規のサイトで利用される利用者アカウントやパスワードを入力させて、本人になりすまして金銭を奪ったり不必要な売買を成立させたりする攻撃を実行します。このフィッシング詐欺には、利用者自身の認証情報を不用意にネットワークに流通させない仕組みが効果的です。ようするに、盗まれやすいパスワードといった認証要素などは使わずに、本人だけが使うことができる IC カードや生体情報によってなりすましを防ぎながら、サイト運営側も適切なアクセス管理を実施することで、この手のサイバー攻撃を無効化することができます。