コラム

コラム 2018/05/25

金融機関のネットワーク分離
現場の影響を最小限にするには

システムセキュリティーを高めるため、金融機関内のネットワーク分離が推奨されています。ただし単純に端末を増やすと管理工数への影響が懸念されます。分離を行う際には、予想されるリスクにも目を向けておく必要がありそうです。

ネットワーク分離が注目される理由

金融庁の発行するガイドライン「金融分野におけるサイバーセキュリティ強化に向けた取組方針について」では、金融機関のコンピュータシステムは、ネットワークを介した外部のサイバー攻撃に対し堅牢性を確保しなければならないと言及しており、その対策として、業界の各企業が「ネットワークとLANの分離」をすすめています。

銀行には預金・融資・為替などの主要業務を担う勘定系システムや、外部の全銀センター等と情報を連携する対外系のシステム、各店舗ごとの営業システムなど、多くのシステムが存在します。行内には個人や口座の情報など、プライバシーに関わる情報も多数保有されており、いずれも高いセキュリティー性、信頼性を保つ必要があります。
これらを守るため、従来より強固な情報セキュリティーシステムが導入されているものの、昨今の巧妙なサイバー攻撃は非常に大きな脅威です。そこで、シンプルかつ効果的なリスク対策である「ネットワーク分離」があらためて注目されています。

ネットワーク分離で見落とされがちなリスク

ネットワーク分離のもっとも簡単な方法は、それぞれのシステムにアクセスする端末を用意することです。しかし、端末を増やすことで、逆に以下のようなリスクを高めてしまうという懸念もあり、それぞれ配慮が必要です。

リスク1　USBなど、ウイルスの「抜け穴」も増えてしまう

コンピューター端末などが増えると、それぞれに複数存在するインターフェースの管理が必要になります。外付けのUSBメモリやHDD経由で簡単にコンピューターウイルスを持ち込まれることのないよう、インターフェースブロックや各端末のウイルス対策を強化するなど、ネットワーク分離以外のセキュリティー対策も万全にしておくことが重要です。

リスク2　端末の導入台数が増えるため、維持コストと管理工数も増える

金融庁「中小・地域金融機関向けの総合的な監督指針」では、情報セキュリティーにおいて、管理者による統括管理がなされているかを重要なチェックポイントとして挙げています。しかし、ネットワーク分離で端末が増えると、管理も煩雑になり、逆にセキュリティ性の維持が難しくなるのではないでしょうか。また、これまでよりも管理工数や維持コストもかかってしまうという点も、頭を悩ませるところだと思います。

一方で、経費や管理工数の観点から、端末を複数用意することができないというケースもあるのではないでしょうか。

その場合の対策としては、1台のコンピューター端末に仮想環境をつくり、2つのネットワークを利用するという方法もあるようですが、仮想環境用の仕組みを構築するコストもかかるため、物理的に分けるよりも複雑で手間がかかるという課題もあります。
「ネットワーク分離」を運用する場合には、自社の許容できる物理的なリソース追加の範囲、かかるコスト、セキュリティー管理工数など、複数の要件を満たせるよう、バランスのとれた計画を検討されることが大切だと考えられます。

対策例については、こちらのページでご紹介しています。