ゼロトラストを金融に適用する── アイデンティティ中心のセキュリティ設計

金融機関のセキュリティモデルは長らく「境界防御」が主流でした。ファイアウォールとVPNで社内ネットワークを囲い、内部は信頼するというアプローチです。しかしクラウド移行とリモートワークの普及により、この「境界」自体が曖昧になりました。ゼロトラストは「何も信頼しない」を前提に、すべてのアクセスを検証し続けるモデルです。

金融特有の課題は、レガシーシステムとの共存です。メインフレーム上の勘定系システムは、最新のIDプロバイダーとの連携が容易ではありません。当研究所が設計支援したあるメガバンクでは、APIゲートウェイ層にゼロトラスト認証を集約し、バックエンドのレガシーシステムには最小限の改修で済む「段階的導入アーキテクチャ」を採用しました。

ゼロトラストの中核となるのが「継続的な認証と認可」です。ログイン時の一度きりの認証ではなく、セッション中も行動パターンやデバイス状態を監視し、異常を検知した場合は即座に再認証を要求します。金融取引では、取引金額や送金先に応じた動的なリスク評価と組み合わせることで、セキュリティとユーザー体験のバランスを取ります。

マイクロセグメンテーションも重要な構成要素です。ネットワークを細かく分割し、万が一侵入されても横展開（ラテラルムーブメント）を防ぎます。Kubernetesのネットワークポリシーとサービスメッシュを組み合わせることで、Pod単位のトラフィック制御を実現しました。

導入の成果として、不正アクセスの検知から対応までの平均時間（MTTR）を従来の48時間から4時間に短縮。SOCチームの負荷軽減と、規制当局への報告品質向上を同時に達成しています。