ゼロトラストセキュリティとは？従来のアプローチとの違いや導入メリット、金融機関が備えるべきリスク

近年、働き方改革や新型コロナウイルスの流行によるリモートワークの増加やクラウド需要の拡大により、セキュリティに対する不安や対策についての議論が高まっています。その中でも注目のトレンドがゼロトラストセキュリティです。金融業界においても、複雑化するサイバー攻撃に耐えうるセキュリティ対策は重要な課題となっています。今回はゼロトラストセキュリティと従来のセキュリティとの違いや導入のメリット、金融業界が備えるべきリスクや導入事例を見ていきます。

「Now in vogue」は、ちょっと気になる世の中のトレンドや、話題の流行語などについて、少しライトな内容でお届けする企画です。

ゼロトラストセキュリティとは

ゼロトラストセキュリティは、近年増え続けている個人情報漏洩を防止する方法として注目を集めています。従来のセキュリティ対策との違いを比較しながら、どのような性質のセキュリティ対策なのか調べてみました。

「信頼できるものはない」が前提のセキュリティシステム

ゼロトラストセキュリティとは企業外部からの侵入だけでなく、内部端末やアプリケーション、および従業員も含めて脅威とする性悪説に基づいています。情報漏洩が起こりうるすべてのリスクを想定し、セキュリティを強化します。

完全に脅威を制御することは難しいですが、被害にあっても最小限に抑えられるよう、不審なアクセスや動向などの前兆を素早く検知し対応できるシステムです。

従来のセキュリティ対策との違い

従来のセキュリティ対策は、外部からの不正アクセスに対応したものが代表的です。企業内部と外部の境目であるセキュリティの脆弱性を補うための「境界線セキュリティ」が主流でした。

しかし、これは「内部のものはすべて安全」という考えに基づいています。テクノロジーが多様化する現代では、外部からの脅威への対策だけでは不十分という考え方が浸透しつつあり、ゼロトラストセキュリティへの注目が集まっています。

ゼロトラストセキュリティの仕組みと成果

ゼロトラストセキュリティの仕組みや導入コストに対する効果はどのようなものなのか見ていきましょう。

すべてにおいて安全性をチェックする仕組み

ゼロトラストセキュリティは内部の犯行による脅威まで想定し、早期対応できる仕組みです。そのため、ユーザーには最低限の権限しか与えられません。たとえ一部のユーザーからハッキングがあったとしても、被害を極力抑えられます。

サーバーや情報資産など広範囲のネットワークにおいても、アクセスや通信が安全なものなのかを確認します。アクセスのたびに認証をおこなうので、リアルタイムでセキュリティ管理ができます。

ゼロトラストセキュリティ導入に対する成果

一般的に、ゼロトラストセキュリティを導入するためには、コストと時間がかかると言われています。しかし、セキュリティ被害を被ってしまった場合、その損害コストの方が大きくなる可能性もあります。顧客の信頼まで失ってしまうことを考えると、その被害額は計り知れません。

ゼロトラストセキュリティ導入後は、データの保護やアクセス制限・IDの確立により企業のコンプライアンスにも対応が可能です。

ゼロトラストセキュリティの導入メリット

ゼロトラストセキュリティを導入するメリットは以下の6つです。
・重要データの漏洩リスクの軽減
・漏洩時の検出時間が短縮
・IT人財やコストの負担の軽減
・パスワードの利便性の向上
・システムの簡素化
・通信の安定性

重要データの漏洩リスクの軽減

企業にとって、最も脅威となるのが情報漏洩です。情報が漏れてデータが不正利用されれば、膨大な被害が出るでしょう。サイバー攻撃の手口も年々進化しているので、それに合わせてセキュリティも強化していく必要があります。ゼロトラストセキュリティを導入することで、正当なユーザーやデバイスのみアクセスが許可されるようになります。

漏洩時の検出時間が短縮

ゼロトラストセキュリティにより、完全に情報漏洩を防げるわけではありません。近年では、マルウェアの攻撃が増加傾向にあります。

ゼロトラストセキュリティは個々のデバイスのユーザーがアプリケーションへのアクセスを求めるたびに、信頼性を評価します。リアルタイムのアクセス履歴がサイバー攻撃を特定することにより、迅速な対応ができます。

IT人財やコストの負担の軽減

新たにゼロトラストセキュリティを導入すると、システム機能が複雑になると捉える人もいるでしょう。しかし従来のように複数のソフトウェアが必要になるセキュリティシステムではなく、クラウド上に構築することで、システムの複雑さを軽減することも可能です。

海外進出しようと考えている企業にとっても、ゼロトラストセキュリティにすることでシステムがシンプルになり、参入しやすくなる可能性があります。クラウド上でセキュリティを管理することにより、自社で安全に管理できるため、IT人材やコストを削減できます。

パスワードの利便性の向上

従来の場合、アクセスするシステムによりパスワードを変え、セキュリティ強化のために複雑な文字列を設定しなければなりませんでした。さらに、パスワードを管理することはユーザーにとっても大きな負担です。

ゼロトラストセキュリティをクラウド上で実現することで、パスワードが1つで済むシングルサインオン機能や知識情報、所持情報、生態情報を組み合わせる多要素認証機能などにも対応できるようになります。ユーザーの利便性を向上させるとともに、パスワードを管理する手間やコストを軽減できる可能性があります。

システムの簡素化

ゼロトラストセキュリティ導入により、今利用しているネットワークシステムに左右されず、クラウドサービス内でセキュリティシステムを整備することもできます。ユーザーや端末ごとに必要なアクセス権をスピーディーに与えられるので、業務もスムーズに遂行できます。セキュリティ担当者はモニタリングやアップグレードなどの業務負担を軽減できるので、他の業務に専念できるでしょう。

通信の安定性

社外からのアクセスに安全に対応するために、最も利用されているのがVPNゲートウェイです。VPNゲートウェイとは、国内外の情報を安心で安全に閲覧・発信することを主な目的として開発されたサービス。テレワークの急増によりVPNゲートウェイが混雑し、通信が繋がりにくくなる・サイバー攻撃されやすくなるといった弊害も生じていると言います。

ゼロトラストセキュリティはVPNゲートウェイとは異なる方法を採用することで、社内やデータセンターを経由しないため、通信が安定するといった効用もあるそうです。

金融機関におけるサイバー攻撃リスクと対策

金融機関でも、デジタル化の進展に伴って外部や内部からの脅威に備えることの重要度が増しており、ゼロトラストセキュリティへの注目度も高まっています。金融業界におけるサイバー攻撃のリスクとその解決策を見ていきましょう。

キャッシュレス決済の不正利用

キャッシュレス決済の不正利用を防ぐためにも、口座振替をするための決済サービスに脆弱な部分がないかどうかの確認や、決済時の認証プロセスの強化が求められます。そうすることにより、もしもサイバー攻撃された場合でも、第3者にまで被害が及ぶことを事前に防げる可能性があります。

外部取引の増加

今後、金融機関はクラウド事業者やAPIなど提携業務型アウトソースが加速することが考えられます。グループやグローバルベースの高度なリスク管理とセキュリティモデルの転換が必要とされるでしょう。ゼロトラストセキュリティを導入し、外部だけでなく内部からの不正な侵入を防ぐことが求められます。

リモートワークを狙った攻撃

コロナ禍の緊急事態宣言に伴い、リモートワークが増えました。社内よりもセキュリティが脆弱になるケースも多いため、リモートワークを狙ったサイバー攻撃が急増しています。ビジネスメール詐欺やオライン会議での情報の搾取など、今までにはなかった攻撃が増えているようです。リモートワーク環境を考慮したセキュリティシステム強化の必要性が高まってきています。

ゼロトラストセキュリティを導入する方法

ゼロトラストセキュリティモデルを実現するためには、さまざまなソリューションがあります。いくつかのセキュリティを組み合わせることで、より堅固なセキュリティ対策の実現が可能です。

EPP

EPP（エンポイント保護プラットフォーム）とは、組織内に侵入したマルウェアの感染を防止することに特化したものです。マルウェアを検知するため、デバイスへの脅威にも対応できます。種類にもよりますが、未知のマルウェアにも対応できる仕様もあります。

EDR

EDR（エンドポイントでの検出と対応）とは、マルウェアの感染後の対応を手助けするものです。ゼロトラストセキュリティを導入したとはいえ、100%脅威から守れるわけではありませんが、被害を最小限に抑えられる効果が期待できます。EDRを導入することで、より強固なセキュリティ対策ができます。

ゼロトラストセキュリティ導入事例

実際にゼロトラストセキュリティを導入している企業の事例を見ていきます。

Google

社員全員がBeyondcorpを活用して業務を行っています。Beyondcorpは外部からの不正アクセスやマルウェアだけでなく、アクセス元を隠す機能も強化しており、不正アクセスの侵入を大幅に防ぐことができると言われています。

auカブコム証券

オンライン証券会社であり、さまざまな企業や個人の口座情報を保有しています。社員がいつでもどこからでも安心で安全に仕事ができるよう、ゼロトラストセキュリティを推奨。多くのツールを導入し、高度なゼロトラストセキュリティを実現している国内では珍しい企業で、革新的な事例として注目を集めています。

NTTデータ

ゼロトラストネットワーク環境を整え、テレワークでもセキュリティ面で安心して業務を遂行できるように取り組んでいます。データの流れを把握することで、サービスごとのセキュリティレベルを把握。ゼロトラストセキュリティの導入により、安全なクラウドサービスでスムーズな業務環境を実現できています。

金融領域でも重要性を増すゼロトラストセキュリティ

急速に進むリモートワークや金融サービスの拡大に伴い、従来の境界線セキュリティでは対応しきれない事例も増えてきています。内部からの脅威にも迅速に対応できるよう、ゼロトラストセキュリティのアプローチを取り入れていくことも今後より重要になってくるかもしれません。

※本記事の内容には「Octo Knot」独自の見解が含まれており、執筆者および協力いただいた方が所属する会社・団体の意見を代表するものではありません。