本記事をご覧いただきありがとうございます。株式会社NTTデータ九州 ビジネス共創部 デジタルビジネス推進室の窪園です。
前回の記事では、OA高度化( Microsoft 365 等を利用した業務基盤の高度化)に向けたゼロトラストセキュリティの必要性についてご紹介しました。
OA高度化に向けたゼロトラストの必要性 #Security - Qiita
今回は、対象を金融機関に絞り、金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえながら、金融機関におけるゼロトラスト導入の考え方について整理します。
特に本記事では、某金融機関におけるゼロトラストPoCの取り組みを例に、ガイドラインで示される考え方を、現場でどのように具体化していくかという観点から考察します。
1. はじめに
2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。
金融機関を取り巻く環境は大きく変化しています。
- クラウドサービスの利用拡大
- リモートワークやモバイル端末の活用
- 外部委託先や取引先との接続増加
- サイバー攻撃の高度化・巧妙化
- システム障害やインシデント発生時の社会的影響の拡大
こうした変化により、従来の「社内ネットワークは安全である」という前提に基づく境界防御だけでは、十分な管理が難しい場面も増えています。
本記事では、金融庁ガイドラインの要点を踏まえた上で、当社が考える重点対応ポイントを整理し、某金融機関におけるゼロトラストPoCの取り組みを例に、以下の観点を考察します。
- 金融庁ガイドライン対応において、どのような観点が重要になるのか
- ゼロトラストPoCを通じて、どのように技術面・運用面の成立性を確認できるのか
- 金融機関が段階的にセキュリティ態勢を高度化する上で、どのような進め方が現実的なのか
2. 金融庁ガイドライン改訂のポイント(実務視点)
金融庁が2024年10月に公表した新ガイドラインは、従来の業態別監督指針を補足し、金融機関におけるサイバーセキュリティ管理態勢の高度化を促すものです。
ガイドラインでは、主に以下のような観点が示されています。
- サイバーセキュリティ管理態勢の構築
- サイバーセキュリティリスクの特定
- サイバー攻撃の防御
- サイバー攻撃の検知
- サイバーインシデント対応および復旧
- サードパーティリスク管理
なお、「基本的な対応事項」と「対応が望ましい事項」に分割して記載されている点は特徴的ですが、「対応が望ましい事項」は一律実施しない、といった考え方は金融庁の期待値に満たないと想定します。
ガイドライン(1.1. サイバーセキュリティに係る基本的考え方)
金融機関等の規模・特性は様々であることから、「基本的な対応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの 許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずること(いわゆる「リスクベース・アプローチ」を採ること)が求められる
したがって、本ガイドラインは金融機関に対して、形式的な対策の有無だけでなく実効性あるサイバーセキュリティ管理態勢の構築を促すものといえます。
特に重要になるのは、単にルールや文書を整備するだけでなく、実際に機能する管理態勢を構築することです。
特に、これらの観点は、自組織のリスクを踏まえた対応(リスクベース・アプローチ)が実際に機能しているかを確認する観点ともいえます。
- 経営層がサイバーセキュリティを重要な経営課題として認識しているか
- 自組織の業務特性やリスクを踏まえて対策の優先順位を定めているか
- インシデント発生時に、実際に対応・復旧できる体制や手順が整備されているか
- 委託先やクラウドサービスを含めた外部依存関係を管理できているか
- セキュリティ対策が現場の運用に落とし込まれているか
つまり、金融庁ガイドラインへの対応は、単なるチェックリスト対応ではなく、金融機関が自組織のリスクと向き合い、実効性あるセキュリティ態勢を継続的に整備していく取り組みといえます。
3. 当社が考える重点対応ポイント
金融庁ガイドラインでは、金融機関に対して多岐にわたる対応が求められています。
一方で、すべての対策を一度に完了させるのではなく、各金融機関の業務特性やリスク状況を踏まえ、優先順位を付けて段階的に取り組むことが重要です。
当社では、金融庁ガイドライン対応を検討する上で、特に以下のような観点が重要になると考えています。
1. サイバーセキュリティ管理態勢の構築
まず重要になるのは、経営層を含めた組織横断的なサイバーセキュリティ管理態勢の構築です。
サイバーセキュリティは、情報システム部門だけで完結するテーマではありません。
経営層、リスク管理部門、業務部門、システム部門、委託先管理部門などが連携し、自組織としてどのようなリスクを許容し、どのリスクに優先的に対応するのかを整理する必要があります。
特に金融機関では、システム障害やサイバーインシデントが顧客サービスや社会的信頼に与える影響が大きいため、経営課題としての位置づけが重要です。
2. サードパーティリスク管理
次に重要になるのが、サードパーティリスク管理です。
近年の金融機関では、外部委託先、クラウドベンダー、システム開発会社、運用保守ベンダー、各種SaaSサービスなど、多くの外部関係者と連携しながら業務を行っています。
そのため、自社の内部システムだけでなく、外部委託先やクラウドサービスを含めた業務プロセス全体でリスクを把握することが求められます。
ゼロトラストの観点でも、サードパーティとの接続やクラウドサービス利用を前提に、利用者、端末、アクセス経路、データの状態を継続的に確認する考え方が重要になります。
3. BCP対応・復旧計画
サイバーインシデントが発生した場合に、どのように業務を継続し、どのように復旧するかという観点も重要です。
サイバー攻撃を完全に防ぐことは困難であるため、侵害や障害が発生することを前提に、被害を最小限に抑え、早期に復旧するための準備が求められます。
具体的には、以下のような観点が考えられます。
- インシデント発生時の対応手順
- 関係者への連絡体制
- 業務継続に必要なシステムやデータの優先順位
- バックアップや復旧手順の実効性
- 演習・訓練を通じた対応力の確認
BCP対応や復旧計画は、単に文書として整備するだけでなく、実際に機能するかを定期的に確認することが重要です。
4. 技術的対策の導入
最後に、技術的対策の導入です。
金融庁ガイドライン対応を実効性あるものにするためには、組織的な管理態勢やルール整備に加えて、実際の業務環境に即した技術的対策が必要です。
たとえば、以下のような領域が該当します。
- 認証・アクセス管理
- 端末管理
- クラウドサービス利用時の制御
- インターネットアクセスの可視化
- ログ監視・検知
- 脆弱性管理
- インシデント対応を支えるセキュリティ運用
なお、上記4点はいずれも金融庁ガイドライン対応において重要な観点ですが、本記事ではこのうち、特に「技術的対策の導入」に関連する領域として、OA高度化に伴う認証・端末管理・アクセス経路の制御に焦点を当てます。
これらの領域は、ゼロトラストの考え方と親和性が高く、クラウドサービス利用やリモートワーク、外部接続が広がる金融機関において、実務上の検討優先度が高まりやすい領域です。
そこで次章では、金融機関においてゼロトラストが求められる背景を整理します。
4. 金融機関のOA高度化とゼロトラスト
金融機関におけるOA高度化では、Microsoft 365 などのクラウドサービスを活用し、場所や端末に依存しない柔軟な業務環境を整備することが重要になります。
一方で、OA環境がクラウド化・分散化するほど、従来の社内ネットワークを前提とした境界防御だけでは、利用者や端末、アクセス経路を十分に管理しづらくなります。
ゼロトラストは、
「社内ネットワークは安全である」という前提を置かない
という思想に基づくセキュリティモデルです。
金融機関においては、以下の変化がこの前提を崩しています。
- クラウドサービス(SaaS)の本格利用
- リモートワーク・モバイル端末の増加
- 外部委託先・ベンダー接続の増大
金融庁ガイドラインでも、
- 認証・アクセス管理
- デバイス状態の把握
- サードパーティリスク管理
が繰り返し強調されており、
「境界防御だけでは十分でない」 可能性があることが示唆されています。
5. 金融機関ゼロトラストPoCの位置づけ
金融庁ガイドライン対応では、方針や規程を整備するだけでなく、実際の業務環境で対策が機能するかを確認することが重要です。
そのため、当社ではガイドライン対応を机上の整理だけで終わらせず、PoCを通じて技術面・運用面の成立性を確認するアプローチを重視しています。
某金融機関で実施したPoCでは、
本番導入前に「最低限の業務利用が成立するか」を実機で確認することを目的としました。
本PoCでは、主に以下の領域を検証対象としています。
- Microsoft 365 を中心としたクラウドOA環境
- Microsoft Entra ID による認証・条件付きアクセス
- Microsoft Intune による端末管理
- SASE製品(例:Netskope) によるインターネット/SaaSアクセス制御
ここで重要なのは、いきなり高度なセキュリティ設定を作り込むことではありません。
まずは、標準機能や基本的な制御を用いて、以下を確認することに重点を置いています。
- 業務利用に支障がないか
- 利用者や端末の状態に応じたアクセス制御が可能か
- クラウド利用や外部通信経路をどこまで可視化・制御できるか
- 運用部門が継続的に管理できるか
- 例外対応や既存業務との整合性に課題がないか
このようにPoCでは、製品機能の有無を確認するだけでなく、業務利用・運用負荷・既存環境との整合性を含めて、導入に向けた現実的な課題を把握することを重視しました。
次章では、このPoCで検証した内容を、金融庁ガイドラインの観点と対応づけて整理します。
6. ガイドライン × PoC の対応関係(例)
今回のPoCは、金融庁ガイドラインの各項目を網羅的に検証するものではありません。
一方で、金融機関がゼロトラストを段階的に導入する上で重要となる領域について、実際の利用シーンに近い形で確認する取り組みといえます。
● 認証・アクセス管理
- ガイドライン:
ユーザー認証・アクセス制御の適切な実装、最小権限の考え方 - PoCでの検証:
Entra ID による SSO、条件付きアクセスの成立性確認
● デバイス管理
- ガイドライン:
管理対象端末の把握、リスクに応じた制御 - PoCでの検証:
Intune 登録端末/未登録端末によるアクセス可否の差異確認
● クラウド利用と外部接続
- ガイドライン:
サードパーティリスク、クラウド利用時の管理責任 - PoCでの検証:
SASE を用いた SaaS アクセス制御、外部通信経路の可視化
PoCは、金融庁ガイドライン対応の「チェックリスト」を埋めるためだけの活動ではありません。
むしろ、ガイドラインが求める管理態勢や対策を、自組織の業務に照らして具体化するための検証プロセスと捉えることが重要です。
7. PoCから見えてきた示唆
今回のPoCを通じて見えてきた一例としては、
- ゼロトラストは一気に完成させるのではなく、業務影響や運用負荷を確認しながら段階的に進めることが、現実的なアプローチになり得る
- まずは 認証・端末・アクセス経路 といった領域から着手することが、一つの現実的な進め方と考えられる
- PoCは「技術検証」だけでなく、
運用・組織・ルールの課題を洗い出す工程でもある
という点です。
これは、金融庁ガイドラインが強調する
「形式ではなく、実効性」 という考え方と共通する要素があると捉えられます。
8. 金融庁ガイドライン対応を支援するNTTデータグループの取り組み
金融庁ガイドラインへの対応は、単一の製品導入だけで完結するものではありません。
現状把握、リスク評価、対応計画の策定、技術的対策の導入、運用定着、人材育成まで、複数の領域を組み合わせて進める必要があります。
NTTデータグループでは、金融庁ガイドライン対応に向けた提案活動を支援するため、以下のような観点で関連アセットやサービスを整備しています。
- ガイドラインの背景や要点を整理する勉強会コンテンツ
- ガイドライン対応に向けた戦略整理・ロードマップ策定支援
- 組織的対策・技術的対策を含むセキュリティ対策支援
- ガイドライン要件と各種ソリューションの対応関係の整理
- 金融機関を取り巻くサイバーセキュリティ動向の整理
特に、金融庁ガイドライン対応では、まず自組織の現状を把握し、優先的に取り組むべき領域を整理した上で、対応計画やロードマップに落とし込むことが重要になります。
また、技術的対策だけでなく、セキュリティ方針や規程類、リスク評価プロセス、CSIRTやSOCを含む対応体制、インシデント対応計画、教育・訓練など、組織的対策とあわせて検討する必要があります。
今回紹介したゼロトラストPoCは、こうした取り組みの中でも、技術的対策を実際の業務環境に照らして検証する取り組み と位置づけられます。
PoCで得られた気づきを、対応計画や運用定着につなげることで、金融庁ガイドライン対応をより実効性ある取り組みにしていくことができます。
9. おわりに
金融庁ガイドライン改訂は、単なる規制強化として捉えるのではなく、金融機関が自組織のリスクを見直し、実効性あるサイバーセキュリティ管理態勢を整備するための契機と捉えることが重要です。
ゼロトラストも同様に、一度に完成形を目指すものではありません。
まずは、認証・端末管理・アクセス経路の制御といった基礎的な領域から着手し、PoCを通じて業務影響や運用課題を確認しながら、段階的に高度化していくことが現実的な進め方の一つです。
今回紹介した某金融機関でのPoCも、金融庁ガイドライン対応を直接的に完了させるものではなく、ガイドラインが求める実効性ある対策を、現場の業務に即して具体化するための取り組みと位置づけられます。
金融機関におけるOA高度化・ゼロトラスト導入では、技術的な実装だけでなく、組織体制、運用ルール、インシデント対応、サードパーティ管理、人材育成を含めた総合的な取り組みが求められます。
今後も、金融機関におけるOA高度化やゼロトラスト導入に向けて、技術面だけでなく、運用・組織・ルール面も含めた現実的なアプローチを発信していきたいと思います。
執筆日:2026年5月1日
免責事項:本記事は執筆時点の情報に基づいており、内容は将来変更される可能性があります。


