セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 金融機関のゼロトラストへの取り組み まだ少数

金融機関のゼロトラストへの取り組み まだ少数

目次
  • 今回の解説ニュース
  • ゼロトラスト・アーキテクチャの定義
  • ゼロトラストのメリット・デメリット

こちらのnoteは、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字起こししご紹介しています。

今回の解説ニュース

金融機関のゼロトラストへの取り組み まだ少数

金融庁は6月30日、金融機関によるセキュリティ対策の促進及びモニタリングの参考等に活用するため「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ゼロトラストへの取り組み状況について調査報告書が公開されています。ゼロトラストの内容や、導入するメリットとデメリットについて説明します。

ゼロトラストとは、すべてのアクセスを信頼しない前提で考えられたセキュリティの概念です。特定の製品やサービスの名称ではなく、常にアクセスの信頼性を検証することで、セキュリティを担保します。在宅勤務で信頼できないアクセスが現実となり、ゼロトラストに注目が集まっています。

本調査によると、ゼロトラストの導入や検討を進めている金融機関は少数であったと報告されています。その理由として、金融業界は安定性を優先するため、従来の境界型セキュリティがすでに定着していることが挙げられています。

境界型セキュリティとは、ネットワークを大きく内部と外部に分けて、その境界線にセキュリティ製品を設置することで、内部ネットワークを保護する方法です。内部は安全なネットワークとして信頼されているため、運用がシンプルな反面、一度侵入を許してしまうと被害が甚大になる可能性があります。

しかし、一部の金融機関ではゼロトラストの取り組みが進められており、背景にはリモートワークの推進とクラウドサービスの活用がセットで検討されているようです。つまり、新しい働き方にはゼロトラストの概念が必要とされることが考えられます。

ゼロトラスト・アーキテクチャの定義

NIST SP800-207におけるゼロトラスト・アーキテクチャの定義について説明します。

NISTとは、National Institute of Standards and Technologyの略で、米国国立標準技術研究所と訳されます。SP800シリーズはNISTが発行するコンピュータセキュリティ関係のレポートで、様々な組織にとって有益な文章が公開されています。

まず、NIST SP800-207におけるゼロトラストの定義は「ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセスを判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと」とされています。また、ゼロトラスト・アーキテクチャの定義は「ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシー等を含むサイバーセキュリティ計画のこと」とされています。

少し難しいので要約すると、NIST SP800-207では「すべてのアクセスを信頼しないというゼロトラストの概念に基づき、セキュリティ対策を計画すること」をゼロトラスト・アーキテクチャとして定義していると言っても語弊はないかもしれません。

ゼロトラストのメリット・デメリット

ゼロトラストのメリットは多様な働き方に対する柔軟性、デメリットは導入と運用にかかるコストです。メリットとデメリットのそれぞれについて説明します。

現在のコロナ禍や今後の多様な働き方において、従来の境界型セキュリティではユーザの利便性が損なわれたり、十分なセキュリティの確保が困難になる可能性があります。具体的には、VPNルータにアクセスが集中してネットワークが遅くなったり、クラウドサービスの利用において境界型セキュリティの内部に情報資産を集約できなかったりします。ゼロトラストのメリットとして、エンドポイントでセキュリティを担保しますので、ネットワークの接続状況に依存せず、リモートワークの環境のいても一定のセキュリティを確保することが可能です。

ただし、ゼロトラストと境界型セキュリティでは、初期導入にかかるコストはもちろん、運用にかかる工数も大きく異なります。具体的には、ゼロトラストではID管理がセキュリティのインフラとなりますので、今までパソコンをワークグループのみで管理していた小規模な組織にとっては、運用コストが増加する可能性があります。ゼロトラストのデメリットとして、少なからず境界型セキュリティからは運用を見直す必要がありますので、導入を検討する場合は運用とセットで考えることが求められます。

記事でも触れられている通り、ゼロトラストはまだ発展途上ですので、これらのメリットとデメリットを比較した上で、導入を検討していただければ幸いです。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ