金融業導入零信任架構 金管會建議高風險場域先行

進入網路世代，資安為重，金管會出手訂定「金融業導入零信任架構參考指引」，建議金融機構選擇遠距辦公等高風險場域先行導入零信任架構。金管會表示，指引屬行政指導，不具強制力，待時機成熟，將請金融業公會評估納入自律規範。

所謂零信任架構，主要精神即「永不信任、持續驗證」，透過持續及多種類驗證手段，持續強化對系統或資料存取控制的安全性，以確保資訊安全。

金管會2022年12月發布「金融資安行動方案2.0」，將「鼓勵零信任網路部署，強化連線驗證與授權管控」納為精進重點，金管會經過研議後，如今正式訂定「金融業導入零信任架構參考指引」，鼓勵金融業以零信任思維深化資安防護。

金管會資訊服務處長林裕泰今天說明，現行金融機構在資安防護均已有一定量能，如雙因子身分驗證、設備健康檢查及網段隔離等，為鼓勵金融機構在既有基礎上，以零信任思維續深化資安防護，金管會因此訂定指引供金融機構參考運用。

金管會建議金融機構採風險為導向，選擇高風險場域為優先導入零信任架構標的，並例舉6大高風險場域，首先是遠距辦公，因使用者及設備均位於傳統資安防護邊境外；其次是雲端存取，因雲端資源同樣位於傳統資安防護邊境外；第3是系統維運管理，包含重要主機設備及系統軟體（作業系統、資料庫等）特權帳號管理等。

第4是應用系統管理，即重要應用系統管理者（如帳號管理員）或高權限使用者帳號（如可接觸大量個資或機敏資料使用者）；第5為服務供應商，如委外廠商的遠端維運管理；最後是跨機構協作，如重要應用系統的外部使用者等。

林裕泰指出，6項例舉特質包括非屬傳統資安防護邊界範圍內、具特權或高權限者，或因應供應鏈攻擊趨勢，建議金融機構對委外廠商或跨機構協作存取進行管理等，但所謂高風險場域不以6項例舉為限，金融業可依風險基礎方法評估，擇定導入零信任架構的優先順序及範圍。

在零信任架構導入策略上，金管會區分4階段分級指標，第1至第4級依序為靜態指標、融入動態指標、即時指標及最佳化整合指標，建議金融機構盤點高風險場域完整存取路徑，即身分、設備、網路、應用程式及資料，由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面。

林裕泰表示，參考指引屬行政指導性質，金融業在導入零信任架構時，可考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素進行調適，或另外進行適切規劃，不以金管會參考指引為限。

他也提到，未來金管會將透過持續調查了解金融業普遍實施情況，若金融機構執行指引訂定的資安防護原則上無窒礙，將請各金融業公會評估將參考指引納入自律規範。