銀行がサイバーセキュリティに対するモダンなアプローチを採用している理由 — ゼロ トラスト モデル

多くの銀行は今日でも、”城と堀” アプローチ (別名 “境界セキュリティ”) でデータを悪意ある攻撃から守ろうとしています。石垣、堀、門で守られた中世の城のように、境界セキュリティを採用する銀行はネットワーク境界の強化に多額の投資を行い、ファイアウォール、プロキシ サーバー、ハニーポット、その他の侵入防止ツールで要塞化しています。境界セキュリティでは、ネットワークへの入り口と出口を防御するために、組織のネットワークに出入りするデータ パケットとユーザーのアイデンティティを検証しますが、この検証後は、防御を強化した境界の内側で行われるアクティビティは比較的安全であるとみなします。

しかし、有能な金融機関は今、このパラダイムの先を行き、サイバーセキュリティへのモダンなアプローチを採用しています。それが、ゼロ トラスト モデルです。ゼロ トラスト モデルの中心的な教義は、既定では誰も信頼しない (内部か外部かを問わず) というものであり、アクセスを許可する前にすべての人とデバイスを厳密に検証するというものです。

城の境界は引き続き重要ですが、石垣をもっと頑丈に、堀の幅をもっと広くするための投資を増やす代わりに、ゼロ トラスト モデルではよりきめ細やかなアプローチでこの仮想の城内でのアイデンティティ、データ、デバイスへのアクセスを管理します。したがって、内部の人物が悪意を持って、あるいは不注意で行動を取ったときも、正体不明の攻撃者が城壁を突破してきたときも、データへのアクセスが自動的に許可されることはありません。

“城と堀” アプローチの限界

現代の企業のデジタル資産を保護することに関して、城と堀のアプローチには致命的な限界があります。それは、サイバー脅威の出現によって防御と保護の意味が変わったためです。銀行のような大組織では、データとアプリケーションのネットワークが分散しており、従業員、顧客、パートナーが行内から、またはオンラインでアクセスします。このことが、城の境界保護をさらに難しくしています。そして、堀が効果を発揮して敵の侵入を防いだとしても、ユーザーの身元情報を盗まれた場合や、城壁の内側に潜むその他の内部的な脅威にはあまり役に立ちません。

次のようなことはどれも、露出の原因を作るものですが、セキュリティに関して城と堀アプローチに頼っている銀行ではよく行われていることです。

  • アプリケーションへのスタッフのアクセス権のレビューが年 1 回だけである。
  • アクセス権ポリシーがあいまいで矛盾があり、マネージャーの裁量に任されていて、スタッフが異動したときのガバナンスも不十分である。
  • 管理者特権アカウントを IT 部門が過剰に使用している。
  • 顧客データが複数のファイル共有に保存されており、誰がアクセスしているかがほとんどわからない。
  • ユーザー認証に関してパスワードへの依存度が高すぎる。
  • データ分類と報告の機能が欠落しているため、どのデータがどこにあるかを理解できない。
  • 機密性の高いデータが含まれるファイルを移動するときに USB フラッシュ ドライブが頻繁に使われている。

ゼロ トラスト モデルはどのように銀行と顧客の力になるか

ゼロ トラスト アプローチの利点は明確に文書化されており、巧妙化したサイバー攻撃をこのアプローチで防ぐこともできた実世界の例も増えています。しかし、今日でも多くの銀行は、ゼロ トラストの原則からかけ離れたやり方に従っています。

ゼロ トラスト モデルの採用は、銀行のセキュリティ態勢強化に役立ち、従業員と顧客により高い柔軟性を与えるようなイニシアティブを安心してサポートできるようになります。たとえば、顧客と接する従業員 (リレーションシップ マネージャーやファイナンシャル アドバイザーなど) が自席だけでなく、銀行の外でも顧客と会えるようにしたいと銀行が考えているとします。現在では多くの金融機関が、このような地理的な俊敏性を可能にする手法としてアナログ ツールに頼っており、たとえば助言内容を紙に印刷したものを持参しています。しかし、銀行員も顧客も、リアルタイム データを使用した、より動的なエクスペリエンスを期待するようになっています。

セキュリティについて城と堀アプローチに頼る銀行は、データを物理ネットワークの外に分散させることに消極的です。そのため、実証済みで規範に従った投資戦略の動的なモデルを銀行員やファイナンシャル アドバイザーが活用できるのは、顧客との面談を行内で行う場合に限られます

これまで、銀行員やファイナンシャル アドバイザーが訪問先でリアルタイムにモデルを更新して見せたり、他の行員やトレーダーと積極的にコラボレーションしたりするのは簡単ではなく、少なくとも VPN がなければ不可能でした。しかし、この俊敏性こそが、健全な投資判断と顧客満足の重要な牽引役となります。ゼロ トラスト モデルの下では、リレーションシップ マネージャーやアナリストが市場データ提供者からのインサイトを活用して、自分が作ったモデルと合成することができ、時と場所に応じてさまざまな顧客シナリオに動的に対応できるようになります。

朗報は、インテリジェント セキュリティの新時代が到来していることです。クラウドとゼロ トラスト アーキテクチャが支えるこのセキュリティによって、銀行のセキュリティとコンプライアンスを合理化し、モダン化することができます。

Microsoft 365 は銀行のセキュリティの変革に役立ちます

Microsoft 365 ならば、銀行はゼロ トラスト セキュリティに向けてただちに踏み出すことができます。その鍵となる戦略は次の 3 つです。

  • アイデンティティと認証: まず、最も重要な点として、銀行は各ユーザーが自称しているとおりの人物であることを確認し、その役割に応じてアクセス権を与える必要があります。Azure Active Directory (Azure AD) を使用すると、シングル サインオン (SSO) が可能になり、認証済みユーザーがどこからでもアプリに接続できるようになります。外回りを担当する従業員も、生産性を落とさずにリソースに安全にアクセスすることができます。

また、2 要素認証や、パスワードなしの多要素認証 (MFA) などの強力な認証方法を展開するこもでき、侵害のリスクを 99.9% 減らすことができます。Microsoft Authenticator は、Azure AD に接続されたアプリに対して、プッシュ通知、ワンタイム パスコード、生体認証をサポートします。

銀行の従業員用の Windows デバイスについては、Windows Hello を使用すると、安全で便利な顔認証でデバイスにサインインできます。最後に、Azure AD Conditional Access を使用すると、適切なアクセス ポリシーを適用することによって、銀行のリソースを疑わしいリクエストから保護することができます。Microsoft Intune と Azure AD を組み合わせると、管理対象で規則に準拠しているデバイスだけが Office 365 のサービス (これにはメールやオンプレミス アプリも含まれます) にアクセスできるようにするのに役立ちます。Intune を通じて、デバイスのコンプライアンス状況を評価することもできます。条件付きアクセス ポリシーは、ユーザーがデータへのアクセスを試行した時点におけるデバイスのコンプライアンス状態に従って適用されます。

条件付きアクセスの概要を示すインフォグラフィック。シグナル (ユーザーの場所、デバイス、リアルタイム リスク、アプリケーション)、すべてのアクセス試行の検証 (アクセスを許可、MFA を要求、アクセスをブロック)、アプリとデータ。

条件付きアクセスの図。

  • 脅威対策: Microsoft 365 では、攻撃に対する防御、検出、対応の能力を強化することもできます。そのための Microsoft Threat Protection は、セキュリティを統合して自動化します。Microsoft インテリジェント セキュリティ グラフから得られる世界最大級の脅威シグナルと、人工知能 (AI) を利用した高度な自動化を活用して、インシデントの特定と対応が強化されるので、セキュリティ チームが脅威の解決を正確に、効率的に、迅速に実行できるようになります。Microsoft 365 セキュリティ センターは、Microsoft 365 のインテリジェントなセキュリティ ソリューションを一元管理してフルに活用するためのハブであり、この専用のワークスペースからアイデンティティとアクセスの管理、脅威対策、情報保護、セキュリティ管理を行うことができます。

Microsoft 365 セキュリティ センター ダッシュボードのスクリーンショット。

Microsoft 365 セキュリティ センター。

  • 情報保護: サイバー攻撃で脆弱性が狙われるのは主にアイデンティティとデバイスですが、サイバー犯罪者が最終的に求めているのはデータです。Microsoft Information Protection を利用すると、銀行の機密情報がどこに保管されているときでも、あるいは伝送中でも保護を強化することができます。Microsoft 365 ならば、1) 機密データを特定して分類し、2) 柔軟な保護ポリシーを適用し、3) リスクにさらされている機密データを監視して修復できます。

Microsoft Azure Information Protection が機密扱いのメールに理由を求めているところのスクリーンショット。

分類と保護のシナリオの例。

ゼロ トラストでセキュリティ管理をシンプルに

Microsoft 365 は、モダンなゼロ トラスト アーキテクチャでセキュリティ管理をシンプルにするのに役立ち、サイバー犯罪と戦うのに必要な可視性、規模、インテリジェンスを活用できます。

現代の “城” をどのように保護するかを考えるにあたって、ゼロ トラスト環境は現代のサイバーセキュリティ上の脅威に対処するのに最適です。ゼロ トラスト環境を実現するには、誰が何に、いつ、どこからアクセスしているか、そしてその人物にアクセス権を与えるべきかについて、リアルタイムでの監視が必要です。

Microsoft 365 のセキュリティとコンプライアンスの機能は、組織がユーザーまたはデバイスを信頼する前の検証に役立ちます。さらに、Microsoft 365 はチームワークと生産性の向上に必要なものをすべてそろえたソリューションでもあります。これらすべてによって、Microsoft 365 は銀行が顧客とイノベーションに焦点を当てるのに役立つ、包括的なソリューションとなります。

本ブログの投稿で説明している機能の内容は、国/地域によって異なる場合があります。お住まいの国/地域で提供されている特定の製品の詳細情報については、Microsoft 365Office 365Windows 10Enterprise Mobility + Security をご覧ください。
本ブログの投稿からリンクしているコンテンツは、日本語訳が存在しない場合があります。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。