金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表
こんにちは、丸山満彦です。
金融庁が、「ゼロトラストの現状調査と事例分析に関する調査報告書」を公表していますね。。。
金融機関に向けたゼロトラストの調査や事例分析はあまりないので、なかなか興味深いですね。
PwCあらた監査法人に委託していますね。。。
● 金融庁
・2021.06.30 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
・[PDF]
目次
1. 調査の概要
1.1. 調査の背景と目的
1.2. 調査期間
1.3. 調査の対象
1.4. 調査項目
1.5. 調査手法
1.6. 調査の前提条件と免責事項
2. ゼロトラストとは
2.1. ゼロトラストの誕生と定義
2.1.1. ゼロトラストの誕生
2.1.2. NIST SP800-207 におけるゼロトラストに関する定義
2.2. ゼロトラストが注目を集める背景
2.2.1. デジタル技術の進展による IT 環境の多様化とサイバーリスクの高まり
2.2.2. ゼロトラストへの注目度の高まり
2.3. ゼロトラストの概要
2.4. 境界型セキュリティとゼロトラストの違い
2.4.1. 境界型セキュリティの概要
2.4.2. 境界型セキュリティの課題
2.4.3. 境界型セキュリティとゼロトラストの違い
2.5. ゼロトラスト・アーキテクチャの実装イメージ
2.5.1. ゼロトラスト・アーキテクチャを構成するソリューションの分類
2.5.2. ゼロトラスト・アーキテクチャを実装するためのソリューション
2.5.3. ゼロトラスト・アーキテクチャの主な実装イメージ
3. NIST SP800-207 の概要と解説
3.1. ゼロトラスト・アーキテクチャの概要
3.1.1. ゼロトラストの原則
3.1.2. ゼロトラスト・アーキテクチャの論理コンポーネント
3.1.3. ゼロトラスト・アーキテクチャの 3 つのアプローチ
3.1.4. ポリシーエンジンのトラストアルゴリズム
3.1.5. ゼロトラスト・アーキテクチャに関する脅威
3.2. ゼロトラスト・アーキテクチャの導入
3.2.1. ゼロトラスト・アーキテクチャ導入前の準備
3.2.2. ゼロトラスト・アーキテクチャの導入ステップ
4. 金融機関のゼロトラストに関する取り組み状況
4.1. 国内金融機関の取り組み状況
4.1.1. 金融業界におけるビジネス環境の変化
4.1.2. IT 環境の変化とサイバーセキュリティリスクの高まり
4.1.3. 金融機関におけるゼロトラストに関する検討状況
4.1.4. 金融機関におけるゼロトラスト・アーキテクチャ導入状況
4.1.5. 国内金融機関のゼロトラスト・アーキテクチャの導入例
4.2. 海外金融機関の取り組み状況
5. ゼロトラスト・アーキテクチャ検討・導入時の主なポイント
5.1. 検討段階
5.1.1. ゼロトラストに対する経営陣の理解と方向付けが不可欠
5.1.2. 情報システム部門だけでなく組織横断での全社的な検討が必要
5.1.3. 前提として情報資産・IT 資産の特定と評価が必要
5.1.4. 「ありたい姿」から実現可能なロードマップを描く
5.2. 計画段階
5.2.1. リスクや既存 IT 環境との連携を考慮したソリューション・製品の選定
5.2.2. ビジネス目標の達成を目指せる推進体制の整備
5.2.3. 自社の既存セキュリティ関連ルールの見直しも合わせて行う
5.3. 導入・運用段階
5.3.1. トラストアルゴリズムの設計と継続的な改善
5.3.2. ユーザーの理解と協力が不可欠
5.3.3. 運用体制の整備と効率化と自動化による運用負荷の低減
5.3.4. ゼロトラスト・アーキテクチャに対応したセキュリティ評価・監査指標の検討
5.3.5. 次の段階へ移行するための基準の設定とモニタリング
6. 金融業界における今後のセキュリティの考え方
6.1. 基本的なセキュリティ対策を徹底する
6.2. 潮流を見極めながら自社に適したゼロトラストの検討を続ける
6.3. 新たなビジネスを支えるセキュリティの考え方として捉える
■ 参考 Zero Trust関係
● PwC Japan
調査報告書でも引用されている調査
・国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021
ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ
NIST SP 800-207の翻訳
・2020-12.10 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
Comments