クラウドの世界観に対応できない 旧来の「境界型セキュリティ」
「85.1%」。この数字が何を意味しているのかご存知だろうか。これはIPA(独立行政法人情報処理推進機構)が公表した、「会社全体の戦略にもとづいて」DXを推進している金融機関の割合だ。その内訳は、全社的にDXを推進している企業が61.7%、まだ一部の部門のみでDXに取り組んでいる企業が23.4%となっている。その一方で、会社全体の戦略ではないが、特定の部署でDXを始めている企業も12.1%存在する。つまり97.2%はすでに何らかの形でDXを始めているのだ。他の業種では50~60%が一般的なので、金融業界のDXはかなり先行していることがわかる。
その具体的な内容としては、IoTを活用した投資基準の最適化(車にセンサーを設置して運転傾向から保険料率を算定するなど)、新規事業やイノベーションの創出、暗号資産のビジネス活用、AIとRPAによる定型業務の効率化、オープンAPIを活用した利便性向上などが挙げられる。そしてもう1つ注目したいのが、クラウド導入による業務刷新やコスト削減も、急速に進んでいることだ。
あらゆるDXにおいて、クラウド活用はその第一歩だと言える。コアビジネスの強化や生産性の向上、経営基盤の強化などを実現する上で、クラウドは強力な武器になり得るからだ。その一方で、これまでの長年にわたる情報化の経緯から、多くの金融機関は現在も数多くのレガシーシステムを抱えている。そのためセキュリティもレガシーなものになっており、そのままではDXとして実現できないことも数多く存在している。
この問題を解決するには、セキュリティもクラウドの世界観に合った、新しい形へとシフトしていかなければならない。下に示すのは、旧来型のネットワーク・セキュリティ対策と、クラウドの世界観に合った「ゼロトラスト・アーキテクチャ」にもとづくセキュリティ対策を比較したものだ。
旧来型のネットワークは、データセンターを中核とした「ハブ&スポーク」型の構成になっており、内部ネットワークと外部ネットワーク(インターネット)が、明確に分かれていた。そのためセキュリティ機能をデータセンターのインターネット接続部分に設置する、「境界型セキュリティ」で対応できた。
これをそのままクラウドの世界に持ち込んでしまうと、社外からクラウドを利用する際にもデータセンターを経由する必要があり、通信経路が長くなることで通信が逼迫し、生産性が低下する。またモバイルとクラウドの組み合わせはネットワークの内部/外部の境界を曖昧にするため、インターネットから狙える「アタックサーフェス(サイバー攻撃の対象となり得るIT資産や攻撃点・攻撃経路)」も広がってしまう。さらに、レガシーなネットワークの上にクラウドの世界観を載せてしまうことで、全体が複雑になってしまうという問題もある。
これらの問題を根本から解決できるのが、先程の図の右側に示したゼロトラスト・アーキテクチャなのである。
DX推進に不可欠な「ゼロトラスト」への移行 そのために実現すべき「5つの主要領域」
一般にサイバー攻撃者は、大きく4つのフェーズで攻撃を仕掛けてくる。(1)まず攻撃対象となるアタックサーフェスを見つけ出す。ここで狙われやすいのが、外部に公開されたファイアウォールやVPNだ。(2)次に脆弱性のあるところから侵入。(3)いったん侵入に成功したら、価値の高い資産を見つけるために「ラテラルムーブメント(水平移動:ネットワーク内部を水平方向に移動しながら侵害範囲を拡大していくこと)」を行い、(4)最後にデータの窃取や暗号化、破壊を実行する。
ゼロトラスト・アーキテクチャでは、どのネットワークからでもIT資産に接続可能であることを前提に、個々のアクセスを全面的に信用することなく、誰が何にアクセスしていいのかを「ビジネス要件」に従って決定する。そのため、ネットワークに境界を設ける必要がなく、インターネット全体を企業ネットワークとして安全に扱うことが可能になる。つまり旧来の「境界型セキュリティ」とは正反対の考え方にもとづくことで、場所に依存しないセキュリティを実現できるのだ。
すでに数多くのセキュリティベンダーが、「ゼロトラスト・セキュリティ」を標榜した様々なソリューションを提供している。ここで注意したいのが、これら全てがクラウドの世界観に合致しているわけではないということだ。例えばファイアウォールやVPNの利用を前提としたゼロトラスト・セキュリティは、防御を強化するためにファイアウォールやVPNの数を増やす傾向があり、結果的にアタックサーフェスが増えてしまう上、内部のラテラルムーブメントを防ぐことも難しい。また管理対象が多くなるため、高額で複雑なソリューションになりやすいという問題もある。Zscalerとしてはこのようなものを、「ゼロトラスト・セキュリティ」と呼ぶべきではないと考える。
ではゼロトラスト・セキュリティは、どう実現されるべきなのか。金融機関のDXを推進していくには、以下の5つの主要分野をカバーすることが求められる。
- Cyber Threat Protection:システム侵害とラテラルムーブメントを防止。
- Data Protection:侵入された後のデータ流出を防止。
- Business Insight:日々発生するテレメトリ情報やデータ資産をビジネスに活用。
- Zero Trust Connectivity:どこからどこに対しても、Any to Anyで安全に接続。
- BCP/DR対応:サイバー攻撃だけではなく災害対策も行うことで、ビジネスの停止を防止。
そしてこれらの実現に向けて、Zscalerの統合プラットフォームでは、以下の「5つの保護機能」を提供している。
あらゆる企業のDX推進を 強力に支援するサポートも無償提供
「通信のセキュア化」は、「Cyber Threat Protection」と「Zero Trust Connectivity」を実現するためのものであり、ランサムウェア感染やフィッシングなどを防止する。「アプリケーションのセキュア化」は、脆弱性を持つアタックサーフェスを最小化することで、「Cyber Threat Protection」に貢献。「データのセキュア化」は「Cyber Threat Protection」と「Data Protection」に対応し、ラテラルムーブメントと情報流出を防止する。
「ゼロトラスト・ネットワークの拡張」は、ゼロトラストの考え方を既存のWANにも広げていくものだ。例えば金融業界では、支店に設置された監視カメラの保護や、オンプレミスアプリケーションの保護などで活用されている。そして「インサイトの有効活用」は「Business Insight」に対応しており、通信を可視化しながら障害ポイントの迅速な検出を可能にすると共に、情報資産の利用状況も可視化する。
例えば佐賀銀行様ではZscalerのソリューションを活用することで、社内外を問わず、インターネットや行内システムへの安全な接続を実現。閉域網の通信料金を1/3にまで削減している。
ただし、5つの主要分野全てをZscalerだけで完結できるとは考えていない。Zscalerは「Best of Breed(様々なベンダー製品の中から各分野で最も優れたものを選択し組み合わせること)」の考え方にもとづき、多様なベンダー製品との連携も積極的に推進、幅広いパートナーとのエコシステムも構築している。
このようなソリューション提供に加えて、以下のようなサポートも提案活動の一環として、無償で提供している。
DX推進のためにセキュリティの見直しを検討したくても、人やリソースが制約されているため「自分たちだけで着手するのは難しい」というケースは、決して少なくない。このような場合には、まず「Architecture Workshop」で「目指すべき姿」を明確化し、「Technical Deep Dive」で「課題解決の方法」を探し出していくことをお勧めする。また「Business Value Assessment」を活用すれば、ゼロトラスト・セキュリティ導入の投資効果やセキュリティ効果を定量化することも可能になる。
Zscalerは「常にシームレスで安全に情報をやり取りできる」世界を目指すパイオニアであり、GartnerのMagic Quadrantでも13年連続リーダーのポジションにある。また全世界に150ものセキュリティ・クラウドを展開し、1日あたり3,200億以上のリクエストに対応、金融業界でも数多くのお客様にご採用いただいている。そしてNPSも80以上となっており、ユーザー企業様からのご評価も極めて高い。
金融の未来を切り拓くDXをさらに加速したいとお考えであれば、ぜひともZscalerにお声がけしていただきたい。
※ 本記事は2024年7月11日講演当時のものです。
【こちらから当講演の資料全ページをダウンロードいただけます(PDF/4.26MB)】
- 【本記事に関するお問い合わせ先】
- ゼットスケーラー株式会社
https://www.zscaler.jp/
E-mail: comm-jp@zscaler.com