写真=Red Hat Koreaのソン・ヒギョン氏

Red Hat Koreaは5月28日、金融機関のセキュリティ運用を巡り、ゼロトラストとゼロCVEを中核に据えた「ゼロOps」戦略を提示した。規制見直しやAIの進化によって運用負荷が高まる中、反復的な手作業だけでは継続的な対応が難しく、ポリシーベースの自動化が現実的な選択肢になるという。

同日、蚕室のロッテワールドタワーで開いた「Red Hat Ansible Automate 2026」で、Red Hat Koreaのソン・ヒギョン氏が講演した。

ソン氏は、変化するセキュリティ環境の背景として、3月に政府が金融機関に対し、キーボードセキュリティなどのインストール型ソフトウェアの廃止を求めた点を挙げた。これにより、金融機関のセキュリティの考え方そのものが大きく変わりつつあると説明した。

同氏は「単に一部のプログラムがなくなるという話ではない。セキュリティ責任の所在が利用者端末から金融機関のサーバ側に移ったことを意味する」と強調した。従来は利用者端末にセキュリティモジュールを導入し、責任が分散していたが、現在はリスクベースのセキュリティへと規制の方向性が切り替わっているという。

今後は、金融機関のサーバ上で脆弱性を継続的に検証し、自動化を前提としたインテリジェントなサーバ管理体制を構築できるかが焦点になるとの見方を示した。金融機関にとっては、サーバをいかに安全に運用するかが中核課題になるとしている。

ソン氏は、新たなセキュリティ体系の柱としてゼロトラストとゼロCVEを挙げた。ゼロトラストについては、「従来型モデルでは、ネットワーク境界の内側を信頼領域とみなしてきたが、権限を得た侵入者によるラテラルムーブメントには脆弱だった。ゼロトラストの核心は『決して信頼せず、常に検証する』ことにある」と説明した。

ゼロトラストの原則としては、(1)すべてのアクセスをいったん拒否したうえで検証する、(2)ネットワーク上の位置に依存せずにセキュリティを適用する、(3)リソースアクセスをマイクロセグメント単位で厳格に統制する、(4)ユーザー単位でリアルタイムにセキュリティポリシーを適用する――の4点を示した。

一方のゼロCVEについては、脆弱性が公開されてから悪用されるまでの時間が短縮する中、脆弱性への露出期間を極小化するための運用戦略と位置付けた。

同氏は、5月上旬に公開されたLinuxカーネルの脆弱性事例に触れ、「以前は脆弱性の公開から実際の攻撃まで数カ月かかることもあったが、AIベースのツールの普及によって、今では数日、場合によっては数時間まで短縮されている」と指摘した。ゼロトラストでアクセスを統制していても、カーネルレベルの脆弱性があればOSレベルで権限を奪われる可能性があり、継続的な脆弱性対応の仕組みが別途必要になるという。

こうしたゼロトラストとゼロCVEを実際のセキュリティ戦略として機能させるうえで、ソン氏は「ゼロOps」が最も現実的な運用アプローチだと位置付けた。

同氏は「ゼロトラストもゼロCVEも、継続的に運用できなければ意味がない。反復的な手作業だけでは維持が難しくなっており、ポリシーベースのセキュリティ自動化が必要だ」と述べた。そのうえで、「ゼロOpsは人を排除する考え方ではない。運用担当者の役割を、繰り返し作業から、ポリシー設計や検証、例外判断といった高付加価値業務へ移すことが核心だ」と説明した。

事例として挙げたのがJPモルガンだ。ソン氏によると、JPモルガンは2014年の大規模なセキュリティ事故を受け、ゼロトラストベースのアーキテクチャへの転換を打ち出した。多要素認証の強化やアクセス権限の細分化、AIベースのリアルタイム検知、セキュリティ運用自動化の拡大を進めたほか、Red HatのAAPを活用して38万件超の運用自動化を標準化し、監査・コンプライアンス対応も強化したという。

同氏は、こうした事例について「実運用で継続性を確保するには、ポリシーと対応を自動化できるエンタープライズ向け自動化プラットフォームが必要であることを示している」と語った。

Red Hatが示すAAPベースのゼロOps運用モデルは、「観測」「AIによる判断」「統制された実行」の3段階で構成される。観測段階では、顧客インフラや各種セキュリティシステムからログ、イベント、アラートをリアルタイムで収集する。

判断段階では、AIがリスクの度合いや対応の優先順位を分析し、対応計画とAnsibleプレイブックを自動生成する。

この点についてソン氏は、「金融機関ではセキュリティポリシー上、ネットワーク分離を採用しているため、パブリックなAIサービスを使いにくい」と説明。そのうえで、「最近は、社内向けの大規模言語モデル(LLM)やクローズド型AIプラットフォームを構築し、運用環境と組み合わせて活用する検討が広がっている」と述べた。

実行段階では、AAPベースのロールベースアクセス制御(RBAC)に加え、認証情報の統制、承認プロセス、実行履歴の監査証跡を含む統制下で措置を実施する。

ソン氏は、ゼロOpsの導入は段階的に進めるべきだと提言した。初期段階では、CVEの点検や結果報告、イベントベースのアラート連携といった反復業務の自動化によって規制対応を標準化する。その後、AAPの適用範囲を広げ、AIを活用した運用自動化を強化していく流れを想定する。

長期的には、継続的な脅威検知と検証を反復するゼロOps運用体制へ発展させる進め方が現実的だとした。ソン氏は「重要なのは、どこまで自動化したかではなく、どこまで信頼でき、統制可能な運用体制を築けるかだ。ゼロOpsは到達して終わるものではなく、継続的に進化させる運用のあり方だ」と強調した。

キーワード

#ゼロトラスト #ゼロCVE #ゼロOps #AAP #Ansible #金融機関 #RBAC #LLM
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.