1
会員になると、いいね!でマイページに保存できます。
高度化するサイバー攻撃や、悪意のある内部不正による情報流出リスクが高まる中、これまで主流だったセキュリティ対策では対応できないと指摘されている。そうした中、次世代のセキュリティモデルとして注目されているのが「ゼロトラスト」だ。金融機関は、自社のシステムにゼロトラストをどう取り入れていけばいいのか? 本稿では、金融庁が2021年6月に公表した「ゼロトラストの現状調査と事例分析に関する調査報告書」を踏まえ、金融機関のセキュリティ・アーキテクチャーの見直しや、ゼロトラストの実装を図る上での考え方やポイントを解説する。
金融庁の「ゼロトラスト調査報告書」とは
金融庁は2021年6月、金融機関によるセキュリティ対策の促進やモニタリングの参考などに活用するため、ゼロトラストの現状と事例分析に関する調査「
ゼロトラストの現状調査と事例分析に関する調査報告書」を公表した。
同調査報告書は、金融庁から委託されたPwCあらた有限責任監査法人が2021年1月から3月にかけて実施した調査の結果をまとめたもの。この調査は、国内外の金融機関、国内企業、ゼロトラスト関連ベンダーなどを対象に実施された。文献調査やヒアリングなどによって、国内金融分野におけるネットワークセキュリティの現状、国内外の金融機関・国内企業のゼロトラストへの取り組み状況などを調査している。
同調査報告書では「ゼロトラスト・アーキテクチャの導入や積極採用に向けた取り組みを進めている金融機関はまだ少数である」と報告する。
金融機関では、リモートワークの拡大やITシステムのクラウド化を進めるためにゼロトラストという考え方を踏まえた検討や導入を進めている。その一方で「ゼロトラスト・アーキテクチャについては、調査や検討はしたものの、さまざまな理由から「現時点ではゼロトラスト・アーキテクチャは導入しない」という段階の金融機関も存在するという。
ゼロトラストとは何か?
そもそも、ゼロトラストとはどんなセキュリティモデルなのだろうか。ゼロトラストとは、企業のシステムやデータなどのIT資産の保護に焦点を当てたセキュリティの考え方だ。2000年代からネットワークの境界を防御するセキュリティ対策の限界が指摘され、ネットワークの位置に基づく暗黙の信頼、つまり境界線を除去するという議論が開始された。その後、2010年代から非境界型の考え方を進化させたゼロトラストというコンセプトが提唱された。
セロトラストでは「企業のネットワークやデバイスからのアクセスを“暗黙”に信頼せず、従業員の端末通信や情報資産へのアクセスなどについて、常にアクセスの信頼性を検証する」ことがベースとなる。特定の技術や製品、ソリューションを指す言葉ではない。ゼロトラストのアーキテクチャは、製品やベンダーによって多様な実現方法がある。そのため、用語や概念が統一されていない状況が続いていた。そうした中、米国国立標準技術研究所(NIST)が、用語と概念の共通基盤を形成することを試み、2020年8月に『Zero Trust Architecture(NIST SP800-207)』が発行された。
ゼロトラストの考え方として、NIST SP800-207では7つの項目からなる「ゼロトラストの原則」が示されている。
【ゼロトラストの原則】
※PwCコンサルティングの「NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ」(NIST SP800-207 日本語訳)より抜粋
- すべてのデータソースとコンピューティングサービスをリソースとみなす
- ネットワークの場所に関係なく、すべての通信を保護する
- 企業リソースへのアクセスは、セッション単位で付与する
- リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
- すべての資産の整合性とセキュリティ動作を監視し、測定する
- すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
- 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
日本国内では、金融庁以外にも関連省庁がゼロトラストに関する報告書や導入支援を実施している。たとえば、経済産業省は2021年5月、ゼロトラストの概念を取り入れた「デジタルツール導入実証・調査事業報告書」をGitHub上で公開した。
同報告書は、2018年に経済産業省が設置したデジタル・トランスフォーメーション室が実施した「令和2年度経済産業省デジタルプラットフォーム構築事業」の一環である実証調査を取りまとめたものだ。行政組織において、さまざまなデジタルツールを活用することで「モダンかつセキュアな業務インフラ」を検討するため、ゼロトラスト・アーキテクチャの概念を取り込んだ環境を構築して、その実証と調査が行われた。
また、情報処理推進機構(IPA)は2021年6月に「ゼロトラスト導入指南書」を公表している。この指南書では、「ゼロトラスト」を言葉で捉えるのではなく、文献調査とともに調査で抽出した技術要素の機能調査、機能検証の実施結果がまとめられている。
ゼロトラストの実装については、各省庁が公表する報告書を参考に、自組織の目的、導入シーンなどに応じたデジタルツールの活用などを進めることが望ましいだろう。
ゼロトラストが注目される理由
ここ数年、国内の金融機関や企業がゼロトラストに注目する背景には、大きく2点があると考えられる。1つは「さまざまな企業がデジタル技術の利活用を進め、ITシステムとそのつながりが複雑化・多様化している」こと。もう1つが「デジタル技術の恩恵を受けたサイバー攻撃が高度化・巧妙化している」ことだ。
実際、企業のデジタル化の推進に伴い、クラウドの利用や外部委託先とのデータ連携などが進んでいる。また、テレワークの普及などで社外から重要なデータを保存するシステム環境へアクセスする機会が増えてきた。その結果、情報流出などのセキュリティ侵害リスクが急増しているのだ。
こうした環境変化がある中、業界・業種を問わず多くの企業では、従来のセキュリティの考え方だけでは、そうしたリスクを防ぐことが困難となっている。金融機関もまた、昨今のセキュリティ脅威に対応するための方法として注目しているのだ。
【次ページ】日本国内でゼロトラストが注目される理由
