SASEとゼロトラストを活用した銀行の<br />デジタルトランスフォーメーション

伝統ある金融機関とフィンテック時代に参入した新しい金融機関との競争が進む中で、金融業界は、デジタル化という厳しい試練に直面しています。これは、確立されたITインフラストラクチャと革新的なビジネスモデルの融合です。SASEフレームワークとその基盤となるゼロトラストセキュリティアーキテクチャは、デジタルトランスフォーメーションの多くの課題の実用的なソリューションとなります。

お客様のニーズの変化、オンラインへの過剰な期待、ダイレクトバンキングなど、デジタルトランスフォーメーションは金融機関にとって悩みの原因となっています。特に打撃を受けるのは従来のスタイルの銀行です。既存のインフラともども、伝統と革新の狭間に置かれているからです。一般的に銀行のITプロセスは、メインフレームを中心としたオンプレミス型のネットワーク上で運用されており、従来の金融プロセスのスムーズな機能と、法規制の順守を保証しています。しかし、クラウドは、金融サービス事業者の日常業務に新たなITの世界をもたらしています。それは、クラウドに関連する他のすべてのコンプライアンス要件を満たしながら、新たな働き方（モバイル／リモートワーク）や、顧客の要求に対する迅速な対応という特徴を持っています。

問題の核心であるネットワーク

ネットワーク管理とセキュリティを同時に最新化することで、金融業界のさまざまな要件を調和させることができます。これは、メインフレームやクライアント、サーバーではなく、 新たに設計されたITアーキテクチャ に焦点を当てたものです。このアーキテクチャは、クラウドへの拡張をサポートし、デジタルトランスフォーメーションを促進します。それによりビジネスモデルのシンプルな導入が可能になり、将来的には「新しい働き方」構想が実現できます。この点を考えると、既存のアーキテクチャには、銀行にとって重要なセキュリティ対策をサポートするという点で複数の課題があります。さらに、革新的なビジネスモデルを提供すると同時に、ユーザエクスペリエンスに関する高い期待に応えなければならないという課題もあります。ここでの目的は、銀行のメインフレームを置き換えることではなく、最新の要件を満たし、このニーズを既存のレガシーインフラと調和させるハイブリッドインフラを構築することです。

しかし、ここで典型的な問題が発生します。リモート勤務の従業員と銀行のネットワークインフラとの接続は、一般的に仮想プライベートネットワーク（VPN）などのリモートアクセスソリューションに基づいて行われます。もともとVPNは、現場にいる少数の社員が会社のデータにアクセスするためのものでした。セキュリティ要件を満たすために、トラフィックがロードバランサー、ファイアウォール、DDoSチェックなどの多数のアプライアンスを経由してから、必要なアプリケーションへのアクセスを許可する必要があります。その結果、待ち時間が長くなり、行員の生産性が低下します。また、VPN技術のセキュリティギャップは、感染のリスクを高めます。このリスクは、新しい働き方がもたらす課題によってさらに高まります。例えば、Microsoft Teams、Zoom、Slackなどの高機能コラボレーションツールでは、接続性の低下を余儀なくされています。デジタルトランスフォーメーションの時代には、従来のアクセスポリシーでは、リモート/モバイルワークの世界の変化に対応できません。金融業界で頻繁に使用されている仮想デスクトップ（VDI）についても同様の状況です。セキュリティ上の問題から、実際のアプリケーションのイメージのみがデスクトップ上に作成されます。しかし、仮想化技術には遅延の問題があり、管理が難しいだけでなく、比較的安全性が低くコストも高いという問題がありました。革新的なクラウドソリューションを妨げ、使い勝手が悪いため、新しい働き方に対応できません。

デジタル化のための触媒としてのMicrosoft 365

これまでのアクセス方法では、デジタルの世界で要求される高度な技術に対応するために必要な性能を手に入れることは困難です。実際的には、Microsoft 365 は、既存の IT アーキテクチャを見直すきっかけとなることが多くなっています。一連のクラウドパッケージでは、ユーザの満足度を保証するために、比較的高い通信路容量（帯域幅）と低レイテンシが求められます。SASE（Secure Access Service Edge）は、これらの問題に対するソリューションを提供するもので、ネットワーク、接続性、セキュリティの各機能をサービスとして統合したガートナーのクラウドアーキテクチャモデルです。簡単にまとめると、SASEは、金融機関全体、ネットワーク、セキュリティ戦略を総合的に改革することができるのです。このセキュリティフレームワークは、アプリケーション、デバイス、ユーザを従来のネットワーク境界の外に置くことによる、接続性とセキュリティ両方の要件に対応すべく特別に開発されました。

SASEは、セキュリティ機能とネットワーク機能を、あらゆる作業環境を含む統一フレームワークで組み合わせ、クラウド技術によってSD-WAN（Software-Defined Wide Area Network）をセキュリティ機能と連携させることを推奨しています。SASEのフレームワークには、クラウドベースのファイアウォール（FWaaS）の他に、セキュアWebゲートウェイ（SWG ）、クラウドアクセスセキュリティブローカー（CASB ）、そして最も重要なものとして、 ゼロトラスト ネットワークアクセス（ZTNA）などの機能があります。クラウド中心のセキュリティプラットフォームは、サイト、サーバーセンター、マルチクラウド環境、オフィスを問わず、一度定義されるだけのガイドラインに基づいた統一セキュリティを提供することで、金融・銀行セクターにおけるセキュリティ要件を満たします。

ゼロトラスト：クラウドからのセキュリティ

クラウドベースのセキュリティの中心は、ZTNA（ゼロトラストネットワークアクセス）です。これは、企業ネットワークの内外を問わず、いかなるデバイス、ユーザ、サービスも信用しないというセキュリティモデルです。最小特権アクセスモデルに基づくこの種のアーキテクチャでは、設置されたセキュリティポリシーによってユーザがチェックされ、検証されるまで、いかなるユーザも信用しません。クラウドセキュリティサービスは、仲介者（ブローカ）として機能し、認証されたユーザとそのデバイスをアプリケーションに接続します。ZTNAは、ユーザやサービスを認証し、ネットワークトラフィックを監視する広範な手順で構成されています。ユーザをネットワーク上に配置するVPNのアプローチとは異なり、ZTNAではアプリケーションレベルでのマイクロセグメンテーションが可能です。マイクロセグメンテーションを実現するために、ZTNAは許可されたユーザがネットワークを使わずに必要なアプリケーションにアクセスするための安全なトンネルを作ります。

銀行部門でゼロトラストのアプローチを導入すると、ネットワークやアプリケーションが公開されるリスクが軽減され、ユーザエクスペリエンスを損なうことなく、外部からの脅威と内部リスクの可能性の両方を排除することができます。トンネルの原理は、アプリケーションが攻撃者から見えないことを意味しており、銀行は攻撃対象領域、さらに言えば脆弱性を減らすことができます。これにより、ユーザはネットワーク上のユーザとなる必要なしに、銀行環境の外から簡単にアプリケーションにアクセスすることが可能になります。さらに、ZTNAを利用することで、VDIアプリケーションのパフォーマンス不足の問題を回避することが可能になるというメリットもあります。ネットワークトラフィックは、データセンターを経由してインターネットに送られるのではなく、クラウドプラットフォームに直接送られるため、レイテンシが軽減されます。さらに、ゼロトラストアーキテクチャとVDI技術を組み合わせることで、管理者が集中的に監視することができ、ユーザがネットワーク上でアクセスできるものとできないものをコントロールすることができます。

最後になりますが、ゼロトラストのコンセプトは、セキュリティを損なうことなしにIT管理費用を抑える効果もあります。この場合、ハイブリッドモデルのデジタルトランスフォーメーションを進めることになり、従来のプロセスや典型的な銀行アプリケーションは、コンプライアンスなどの法的要件を満たすために、信頼できるオンプレミスのアーキテクチャ上で継続して実行することができます。お客様や従業員がデジタル化の一環として緊急に必要としている新しい革新的なプロセスは、クラウドを介して安全かつ便利に提供され、迂回することなく直接アクセスが許可されます。結論として、これには、あらゆるコラボレーションツールを備えたMicrosoft 365の高い性能の活用、従業員の高い満足度、金融環境で重要なすべてに対するコスト効率の高いセキュリティ対策が含まれます。これは、クラウドがデジタルイノベーションのための安全な銀行になることを意味します。