この記事は2024年5月31日に「The Finance」で公開された「デジタル時代の必須!ゼロトラストとは?金融業界での活用事例」を一部編集し、転載したものです。


デジタル化が進む現代社会で、ネットワークセキュリティはますます重要な課題となっています。特に、金融業界では機密性の高い情報を取り扱うため、セキュリティ対策が不可欠です。ここで注目されるのが「ゼロトラスト」の概念です。本記事では、そのゼロトラストとは何か、なぜ必要なのか、その基本的なポイントや実現に向けたセキュリティソリューション、そしてそのメリット・デメリットについて詳しく解説します。さらに、ゼロトラストがどのように金融業界で活用されているのか、具体的な活用事例を交えてご紹介します。

目次

  1. ゼロトラストとは?
    1. (1)なぜゼロトラストが必要なのか
    2. (2)ゼロトラストの基本的なポイント
  2. ゼロトラストの実現に向けたセキュリティソリューション
    1. (1)ゼロトラストのための製品選び
    2. (2)OTとゼロトラストの関連性
  3. ゼロトラストのメリット・デメリットとは?
    1. (1)ゼロトラストのメリット
    2. (2)ゼロトラストのデメリット
  4. ゼロトラストの7つの要件:NISTによるガイドライン
  5. ゼロトラストの活用事例:金融業界
    1. (1)ゼロトラスト導入のすすめ
    2. (2)ゼロトラストモデルがもたらす金融業界への影響
    3. (3)金融機関の活用事例
  6. まとめ

ゼロトラストとは?

デジタル時代の必須!ゼロトラストとは?金融業界での活用事例
(画像=greenbutterfly/stock.adobe.com)

ゼロトラストは、信頼されたネットワーク内部であっても、すべてのユーザーやデバイスを最初から信頼しないというセキュリティの考え方です。
「信頼しない、確認する」を原則に、インターネットに接続された全てのデバイスやユーザーが潜在的な脅威であると考えると共に、常に検証と認証を求めることを重視します。この理念は、内部からの脅威や侵入者に対しても強固な防御を提供します。

(1)なぜゼロトラストが必要なのか

デジタル化が急速に進展する一方で、それに伴いセキュリティリスクも増大しています。従来のセキュリティ対策は「信頼された内部」から「信頼されない外部」を保護するのが主目的でしたが、クラウド化やリモートワークの増加などにより、この境界が曖昧になってきました。また、サイバー攻撃は技術的に洗練され、内部からの脅威も増えてきています。こうした変化に対応するために必要なのが「ゼロトラスト」の考え方です。「信頼しない、確認する」を基本原則とし、ネットワーク内部にいる全てのユーザーやデバイスを、最初から信頼しないという姿勢を取ります。これにより、内部からの脅威を防ぎ、データ漏えいを未然に防ぐことが可能となります。また、個々の認証とアクセス制御を行うことで、最小限の権限(Least Privilege)で作業を行うことが可能となり、セキュリティリスクを大幅に軽減できます。

(2)ゼロトラストの基本的なポイント

先述したとおり、”信頼しない、確認する”という主旨がゼロトラストの核心です。組織内のネットワークにおけるアクセスの許可は、信頼を前提とせず、それぞれのリクエストが検証された上で行われます。
そのため、ゼロトラストの実装には、認証、承認、暗号化などのセキュリティ手段が必要となります。
さらに、ゼロトラストは、ユーザーのアイデンティティやデバイス、アプリケーション、データの保護に至るまで、セキュリティの全範囲をカバーしています。
その結果、組織のネットワークは、内部からも外部からも、常に監視と保護が行われる状態となります。
これが、ゼロトラストの基本的なポイントです。

ゼロトラストの実現に向けたセキュリティソリューション

(1)ゼロトラストのための製品選び

ゼロトラストセキュリティモデルを確実に実現するためには、適切なセキュリティ製品の選択が欠かせません。製品選びにおける主な視点は、以下2点です。

①製品がゼロトラストの基本的な原則を支える機能を持っているか
②自社のIT環境に適応できるか

具体的には、製品がユーザー認証、デバイス認証、ネットワークセグメンテーション、エンドポイントセキュリティ、セキュアアクセス、ネットワーク監視といったゼロトラストの要素をどの程度実現できるかを評価します。また、製品がクラウドネイティブなアプリケーションやデータ、API、ネットワークトラフィックを統合的に管理できるかも重要な選定基準となります。これにより、企業はセキュリティポリシーを一元的かつ効率的に管理し、セキュリティインシデントが発生した際の対応を迅速化することが可能になります。選択する製品は、企業のビジネスニーズとIT環境に合わせてカスタマイズ可能であることが理想的です。

(2)OTとゼロトラストの関連性

オペレーショナル・テクノロジー(OT)とゼロトラストの関連性を探ると、その本質は組織のセキュリティ体制を強化するという共通の目的にあります。OTは、物理的な装置やプロセスを制御するシステムを指し、産業制御システム(ICS)やスーパーバイザリーコントロールとデータ収集(SCADA)システムなどが含まれます。これらのシステムは、企業ネットワークと直接または間接的に接続され、サイバー攻撃の対象になり得ます。
ここでゼロトラストの考え方が重要になります。ゼロトラストは「信頼しない、確認する」を原則とするセキュリティモデルで、ネットワーク内部にいるすべてのユーザーとデバイスが信頼できるものとは限らないとの考えから生まれました。したがって、OT環境におけるゼロトラストの実現は、OTシステム内部にいるすべてのデバイスとユーザーが信頼できるものとは限らないという認識を持つことを意味します。
これは、OTシステムが組織の業務にとって重要な役割を果たし、かつ、その脆弱性がサイバー攻撃者にとって魅力的な目標となるため、特に重要です。ゼロトラストの導入は、OTシステムを保護し、組織全体のセキュリティを強化するための重要な手段となります。

ゼロトラストのメリット・デメリットとは?

(1)ゼロトラストのメリット

ゼロトラストは、その名の通り信頼をゼロにするセキュリティモデルで、これにより企業はネットワーク内部の脅威に対する防御力を高めることができます。
具体的には、ユーザーやデバイスがネットワークにアクセスする際には、その都度認証を行い、必要な情報のみにアクセスできるように制限します。これにより、内部からの不正アクセスやデータ漏洩のリスクを軽減できます。また、ゼロトラストは、組織内の情報をセグメンテーション(分割)することで、万が一攻撃があった場合でも、その影響を最小限に抑えることが可能となります。
さらに、ゼロトラストモデルは、リモートワークの増加に伴うセキュリティリスクにも対応可能で、どこからでも安全にネットワークにアクセスすることが可能です。これらのメリットにより、企業はビジネスの効率化とセキュリティの強化を同時に実現できます。

(2)ゼロトラストのデメリット

ゼロトラストは、その厳格なセキュリティポリシーにより多くのメリットを提供しますが、その一方でデメリットも無視できません。
ゼロトラストの一番のデメリットは、その導入と維持が高コストであることです。特に、初期の設定と維持には時間とリソースが必要で、これが組織の負担となることがあります。
また、全てのユーザーとデバイスの信頼性を確認する必要があるため、ネットワークのパフォーマンスに影響を及ぼす可能性があります。さらに、ゼロトラストは厳格なアクセス制御を伴うため、使い勝手に影響を与える可能性があります。例えば、ユーザーが必要な情報にアクセスするためには、毎回認証を行う必要があります。これは、ユーザーの生産性を低下させる可能性があります。
最後に、ゼロトラストの導入は、組織全体の文化変革を必要とします。従業員全員がセキュリティを意識する必要があり、これは容易なことではありません。しかし、これらのデメリットを克服することで、ゼロトラストは組織のセキュリティを大きく強化することができます。導入の際は、これらのデメリットを十分に理解し、適切な対策を講じることが重要となります。

ゼロトラストの7つの要件:NISTによるガイドライン

ゼロトラストセキュリティの実装を成功させるためには、それをどのように設計し、実現するかを理解することが重要です。そのための一つのガイドラインとして、アメリカ国立標準技術研究所(NIST)が定めた7つの要件があります。これらの要件は、企業がセキュリティ戦略を計画し、実行する際のフレームワークを提供し、ゼロトラストの原則に基づいた効果的なセキュリティ対策を導入するための道しるべとなります。具体的には、ネットワークの設計、アクセス制御、アイデンティティ管理、データ保護、セキュリティポリシーの評価と改善など、ゼロトラストを実現するための具体的なステップを示しています。それぞれの要件について詳しく見ていきましょう。

すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークの場所に関係なく、全てのデータソース及びコンピューティングサービスをリソースとして扱う。
ネットワークの場所に関係なく、すべての通信を保護する ネットワークの場所に関係なく、全ての通信が保護される。
企業リソースへのアクセスをセッション単位で付与する アクセスはセッション単位で管理し、セキュリティを確保する。
リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシーにより決定する クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態などを考慮した動的ポリシーによってアクセスが決定される。
すべての資産の整合性とセキュリティ動作を監視し、測定する 資産の整合性とセキュリティ状態を継続的に監視し、適切な措置を講じる。
すべてのリソースの認証と認可を⾏い、アクセスが許可される前に厳格に実施する リソースへのアクセス前に、認証と認可を厳格に行うことでセキュリティを保つ。
資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する 資産やネットワークの状態についての情報を収集し、セキュリティの向上に活用する。

参照:独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター中核⼈材育成プログラム 5期⽣ゼロトラストプロジェクト 「ゼロトラスト移⾏のすゝめ」

ゼロトラストの活用事例:金融業界

(1)ゼロトラスト導入のすすめ

金融業界におけるゼロトラストの活用事例を検討する前に、まずはその導入のすすめから具体的に見ていきましょう。ゼロトラストとは、その名の通り「信用しない、確認する」を原則としたセキュリティ戦略のことであり、ネットワーク内部であっても外部からの攻撃者と同じように、全てのユーザーやデバイスを信用せず、常に認証と認可のプロセスを必要とします。
金融業界のような高度なセキュリティが求められる分野では、ゼロトラストの導入が極めて有効となります。顧客情報や取引情報など、扱う情報の重要度と機密性が非常に高いため、内部からの脅威に対しても強固なセキュリティ対策が必要不可欠です。
また、金融業界では、従来のネットワークベースのセキュリティだけでなく、クラウド化やデジタル化が進む現代において、端末レベルでのセキュリティ対策も求められます。ゼロトラストの導入により、各端末の認証やアクセス制御を徹底的に行うことで、これらの新たな需要にも対応することが可能となります。
さらに、ゼロトラスト導入は、セキュリティ対策を強化するだけでなく、業務の効率化やコスト削減にも寄与します。認証やアクセス制御を自動化することで、人間が行うセキュリティ作業を減らし、それによるミスや手間を削減することができます。

これらの理由から、金融業界におけるゼロトラストの導入は、現代のセキュリティ環境において非常に有益な戦略といえるでしょう。

(2)ゼロトラストモデルがもたらす金融業界への影響

金融業界では、顧客の個人情報や取引情報など、高度に機密性が要求されるデータが日々取り扱われています。ゼロトラストモデルの導入は、そのようなデータのセキュリティを強化し、ニーズの高まるデータ保護要件に対応する有力な手段となりつつあります。ゼロトラストモデルの導入による金融業界への主な影響は、データの保護強化、業務効率の向上、顧客信頼の増大の3つが挙げられます。

①データ保護の強化
ゼロトラストにより不正アクセスやデータ漏洩のリスクを大幅に減らすことが可能となります。特に金融業界では、サイバー攻撃のターゲットとなりやすいため、ゼロトラストの導入はセキュリティの強化に直結します。

②業務効率の向上
ゼロトラストモデルでは、ユーザーやデバイスがネットワークのどこからでも安全にアクセスできるような環境が提供されます。これにより、リモートワークや外出先からの業務も安全に行うことが可能となり、業務の柔軟性を向上させることができます。

③顧客の信頼の増大
金融機関がゼロトラストモデルを採用し、顧客の個人情報や取引情報を守る姿勢を鮮明にすることで、顧客の信頼を獲得しやすくなります。

(3)金融機関の活用事例

金融業界は、個々の顧客データの保護とリスク管理が極めて重要な分野であり、ゼロトラストモデルの採用により、これらの課題に対する解決策を見つけることができます。
一つの具体的な事例として、大手銀行がゼロトラストアーキテクチャを採用して、顧客情報の保護と内部セキュリティの強化を図ったケースがあります。それにより、従業員が必要な情報にのみアクセスできるように制限を設け、機密性の高い情報の流出を防止しました。また、各トランザクションごとのアクセスログをリアルタイムで監視することで、不正アクセスを迅速に検出し、防御策を講じることができました。
別の例として、信用組合が、ゼロトラストモデルを用いて遠隔地からのアクセスを可能にし、安全なデジタル環境を提供したケースも存在します。これにより、信用組合のメンバーは、自宅や外出先からでも安全に口座情報にアクセスし、取引を行うことができました。これらの事例は、金融機関がゼロトラストを活用してビジネスを強化し、同時に顧客の信頼を維持するための策を講じている良い例と言えるでしょう。

まとめ

ゼロトラストは金融業界にとって避けて通れない重要なセキュリティ戦略となりつつあります。顧客の機密データを適切に保護し、内部からの脅威にも対応するためにはゼロトラストの考え方が重要で、確実なアクセス制御と監視が可能になります。
金融機関はゼロトラストを導入することで、データ漏えいリスクを最小限に抑え、セキュリティを強化できます。また、リモートアクセスの安全性も高まり、業務の効率化やコスト削減にもつながります。さらに、顧客データ保護に対する姿勢は信頼の獲得にも役立ち、競争力の向上が期待できます。
しかし、導入には適切な理解と計画が必要であり、そのためにはまずゼロトラストの基本的な概念とその利点、欠点を理解することが重要であり、NISTによるゼロトラストの7つの要件を踏まえ、導入を検討する必要があります。適切な製品選定と運用体制の構築が鍵となり、その実装は今後の課題となるでしょう。


[寄稿]TheFinance編集部
株式会社セミナーインフォ