金融庁は6月30日、金融機関によるセキュリティ対策の促進及びモニタリングの参考等に活用するため「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開した。 本報告書では2021年1月27日から3月31日にかけて、国内金融機関、海外金融機関、国内企業、ゼロトラスト関連ベンダーを対象にPwCあらた有限責任監査法人に委託し、「国内金融分野におけるネットワークセキュリティの現状」「ゼロトラストの概念(NIST SP800-207 の定義等)」「国内・海外金融機関、国内企業におけるゼロトラストに関する取り組み状況(事例、障壁等)」「ゼロトラスト関連サービスを提供しているベンダーの動向や提供されているソリューション」について調査を行った。 本報告書ではゼロトラストの定義について、2020年8月に米国国立標準技術研究所(NIST)が発行した「Zero Trust Architecture(NIST SP800-207)」に示された考え方を踏まえて記載している。 本調査によると、金融機関におけるゼロトラストの検討状況や導入状況を文献調査やヒアリング調査で行ったところ、ゼロトラスト・アーキテクチャの導入あるいは積極採用に向けた取り組みを進めている金融機関はまだ少数であった。その理由として、金融分野はサービスの安定供給や顧客情報保護を重視しながら、早くから IT の利活用が進んだ業界であるため、既存のITシステムや境界型セキュリティの考え方が既に浸透・定着していることを挙げている。 しかし一部の金融機関では、主にリモートワーク推進やクラウドサービスの活用を目的にゼロトラスト・アーキテクチャの検討や導入を進めている。 また一方で、メリット、デメリットを検討した結果、ゼロトラスト・アーキテクチャを当面導入しないと判断した金融機関もあり、その理由として、現状実現したいことは既存IT環境で対応可能であること、ゼロトラストに関するソリューションが発展途上であること、導入コストが高いことなどを挙げている。
