
【金融機関向け】「ゼロトラストの現状調査と事例分析に関する調査報告書」(金融庁サイト)
金融庁における金融分野のサイバーセキュリティ強化の官民一体の取り組み中で、ゼロトラストの現状と事例分析に関する調査について、PwCあらた有限責任監査法人が受託し、報告書を取りまとめています。
前回までに記載した通り、ゼロトラスト・アーキテクチャは概念であり、特定のソリューションを指すものではありません。とはいえ、それを実現する立場であるクライアントからは、「結局、何を使ってどう実現すればよいのか」といった旨のお問い合わせをいただくことがあります。
実際には、各ベンダーがそれぞれのシーズでゼロトラストを解釈していることから、製品/ベンダーによって多様な実現方法があるのが実態です。そのため、一概にソリューションへ紐づけることが困難な側面があるのですが、ここでは「ゼロトラスト・アーキテクチャの実現に求められる機能」を考え、それを実現するための一般的なソリューション例を紹介していきます。
第1回で述べた通り、ゼロトラスト・アーキテクチャでは、ユーザーやデバイスおよびコンテキストに基づき正当性・信頼性を検証し、その結果に基づきシステムやデータなどへのアクセス可否を判断するという考え方を採用します。そのためには、例えば以下のような機能を具備している必要があります。
ここまでに記載した内容を簡単にまとめると、以下のようになります(図表1)。こうして一覧化してみると、ゼロトラスト・アーキテクチャは、概念としては新しいものの、その実現に用いるソリューション群自体は目新しいものばかりではないことが分かるのではないでしょうか。
ゼロトラスト・アーキテクチャでは、特定のネットワーク(企業のLANなど)に参加していることを条件としたアクセス許可を行いません。つまり、自宅やカフェからでも、オフィスからでも、等しくデータやシステムにアクセスできる環境が必要となります。一方、アクセス先のデータやシステムは未だにオンプレミス環境内に存在する場合もあり、インターネット越しにアクセスさせることのリスクがあります。
その場合は、SDN/SD-WAN(Software-Defined Network/WAN)を用いて、アクセス先のシステムに応じて経路を変更するなどの方法が採られる場合もあります。ただし、リバースプロキシなどを用いて、インターネットから安全にアクセスする方法も存在します。
これまでの内容に基づき、ゼロトラスト・アーキテクチャを実現した場合のセキュリティアーキテクチャについて、一例を図示します(図表2)。ただし、冒頭に記載した通り、解釈によって多様な実現方法があることから、これが決して唯一の解ではないことにご留意ください。
いずれにしても、各ソリューションの機能・コスト優位性、既存ソリューションとの互換性・親和性、もしくはグループ会社や海外本社・支社との兼ね合いを踏まえて、各企業で適切なソリューションを検討・選定していくことになります。
ただし、第1回・第2回でも記載している通り、「どのソリューションを用いるか」に先立ち検討すべきことが多くありますので、まずはそれらをクリアした上でソリューションの検討・選定を行うべきであると考えます。
神野 光祐
ディレクター, PwCコンサルティング合同会社
金融庁における金融分野のサイバーセキュリティ強化の官民一体の取り組み中で、ゼロトラストの現状と事例分析に関する調査について、PwCあらた有限責任監査法人が受託し、報告書を取りまとめています。
米国国立標準技術研究所が公開した「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」の日本語訳を紹介します。
ゼロトラスト・アーキテクチャを構築するにはどのような手法を用いて、どう対応すればよいのか――。実現のための一般的なソリューションの例を紹介します。
「なぜ自社にゼロトラスト・アーキテクチャが必要なのか」を明確にしないと、必要性やコスト、人的負荷といったステークホルダーからの疑問に答えることができません。企業がゼロトラスト化を推し進める際の要諦について解説します。
金融分野におけるサイバーセキュリティの課題に対応できるガイドラインとして、CRI Profileの有用性とグローバルトレンドなどについて活用事例を挙げて解説します。
米国法規制の重要な指標であり、プライバシーやサイバーセキュリティ、AIといった分野で先進的な取り組みを続けるカリフォルニア州とニューヨーク州の法整備の現状を取り上げ、具体的な制度内容とその背景を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層には、これをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第2回となる本稿では、主要国・地域における営業秘密の定義や保護制度を比較し、日本企業が注目すべきポイントを解説します。
米欧中の最新の地政学的変化に伴う欧州法規制動向についてコロンビア大学教授・PwC Japanグループ顧問 Anu Bradfordに話を聞きました。