本文の内容は、2024年4月22日に RAYNA STAMBOLIYSKA が投稿したブログ(https://sysdig.com/blog/cloud-security-regulations-in-financial-services/)を元に日本語に翻訳・再構成した内容となっております。
金融セクターがクラウド テクノロジーの導入を続ける中、最新のNIS2 指令やデジタル オペレーショナル レジリエンス法 (DORA)などの規制枠組みがサイバーセキュリティの状況を形成しています。このような複雑な環境では一秒一秒が勝負です。攻撃者はクラウド内で素早く移動できるため、防御者はそれに追いつくために戦略とツールを変更する必要があります。金融セクターは常にサイバー攻撃の主な標的であり、平均侵害の被害額はほぼ 600 万ドルに達します。これにより、金融サービスにおけるクラウド セキュリティ規制がこれまで以上に重要になっています。
サイバーセキュリティは FSI 幹部にとって重大な懸念事項であり、68% がサイバーセキュリティが新しいテクノロジーの導入に対する障壁であると認識しています。欧州連合では NIS2 指令と DORA 規制が導入され、米国では SEC 開示ガイドラインが導入されたことにより、最近は、特に規制の圧力が高まっています。コンプライアンス要件を満たすために、FSI プロバイダーは合理的な期間内にインシデントを検出するよう努める必要があります。
Sysdig が主催した最近のパネル ディスカッションでは、金融サービスにおけるクラウド セキュリティ規制からの圧力が増大する中でのクラウドへの移行について議論するために、業界および規制の専門家が集まりました。それを逃しましたか?心配する必要はありません。重要なポイントは以下のとおりです。
クラウドの利用: バランス感覚が重要
金融分野におけるクラウドの導入は、さまざまな要因によって推進されています。レガシー システムの最新化の必要性から、運用効率の向上とイノベーションの要望に至るまで、金融機関は競争力を維持するためにクラウド テクノロジーにますます注目しています。 UBS とSantander からの参加者は、クラウド サービスへの移行により、コスト効率、柔軟性、拡張性、可視性の向上など、金融機関に多くのメリットがもたらされることを強調しました。
「スケーラビリティとモニタリングは腕を伸ばせる距離にあります。今では、API にアクセスして必要なデータを取得し、それを任意の方法でスライスして細分化することができます。」
MATT ADAMS, ENTERPRISE SECURITY ARCHITECT, SANTANDER
ただし、この移行には課題もあります。クラウド導入に関する主な懸念事項の 1 つは、突き詰めるとイノベーション、そしてより広範にはクラウド ネイティブ環境で技術チームが異なる方法で何ができるかということになりますが、「クラウド文化」を形成することです。この変化により、チームの役割と責任を再定義するためのスキルアップ、再スキル化、社内交渉が必要になります。この変革には、すべてのチームメンバーが新しいセキュリティ標準を順守し、進化する組織の役割を受け入れることの重要性を確実に理解できるように、明確なコミュニケーションと効果的な変更管理が必要です。したがって、FinOps などの役割が登場するにつれて、計画、ロードマップ、分業が最も重要になります。
クラウド セキュリティへの適切なアプローチは、もう 1 つの課題です。「クラウドの本当の意味は、クラウドとクラウドリソースの構成です。多くの人は、クラウド サービス プロバイダーが提供するリソースの多くはそのまま使用しても安全だと考えていますが、やるべきことはあります」と参加者の1人は強調しました。脆弱性管理と脅威の検出は、クラウドネイティブ環境では従来のオンプレミスのアーキテクチャーやプラクティスとは異なる方法で行われます。
クラウドベースのインフラストラクチャーへの移行とそれに伴うデータの流入により、組織は監視とアクションの優先順位付け戦略の再評価を余儀なくされています。Cloud Traul アラートや予算アラームから生成されるデータの量はすぐに膨大になる可能性があるため、バランスをとることが重要です。その結果、組織は、重要なアラートを特定し、それに応じてアクションに優先順位を付ける、リスクベースのアプローチを採用することが増えています。そのため、どのアラームが高リスクの状況を示しているかを判断し、即時対応を要求し、特定の環境に対して交渉の余地のないセキュリティ構成を確立するために、チーム間の協調した取り組みが必要です。
「事後対応をしたい、重要なことに集中したいという願望は常にありましたが、おそらく緊急性はありませんでした。今、緊急性があるのは、データがそこにあるからです」
ANNA BELAK, DIRECTOR, OFFICE OF CYBERSECURITY STRATEGY, SYSDIG
規制フレームワークをナビゲート: NIS2 と DORA の登場
サイバー脅威と脆弱性の増大を受けて、規制当局は金融セクターのサイバーセキュリティを強化するための厳格な枠組みを導入しています。 NIS2指令とデジタル オペレーショナル レジリエンス法 (DORA) は、そのようなフレームワークの 2 つです。
NIS2 指令は、欧州連合全体の重要なインフラストラクチャーのサイバーセキュリティと回復力を強化することを目的としています。これは金融機関に対し、強力なサイバーセキュリティ対策を実施し、セキュリティインシデントを報告し、管轄当局やその他の関係者と協力する義務を課します。
DORA は、金融機関の業務回復力とサイバーセキュリティ、特にシステム上重要と考えられるものの確保に重点を置いています。これは企業に対し、サイバー脅威から生じるリスクを含む運用リスクを特定して軽減し、混乱時に重要なビジネス サービスを維持することを義務付けています。
どちらのフレームワークも共通の目的を共有していますが、範囲と要件が異なります。 NIS2 は主に EU 内の必須サービス (エネルギー、交通、デジタル インフラストラクチャーなど) の事業者を対象としていますが、DORA は特に金融機関に適用されます。さらに、DORA は、サイバーセキュリティ、より広範な事業継続性、リスク管理の側面を含む運用の回復力を重視しています。
規制の厳しい金融セクターの組織は、コンプライアンス ルールを運用チーム向けの実行可能なガイドラインに効果的に変換するという課題に直面することがよくあります。 NIS2 と DORA を正常に実装するには、コンプライアンス、リスク管理、IT/セキュリティ運用の間のコミュニケーション ギャップを埋めることが重要です。従来のアプローチは、特にコンプライアンス専門家がこれらの要件を共感できる方法で伝えるためにより技術的な専門知識を必要とする場合、運用チームの共感を得ることができない場合があります。この断絶により、従わなければならないルールと組織の日常業務との間に障壁が生じ、金融サービスにおけるクラウド セキュリティ規制に目を向けると、課題はさらに増大します。
ある参加者は次のように強調しました。「私たちにとっての課題の 1 つは、ポリシーの観点から考え方を変えることでした。つまり、ファイルが常にユーザーとインターネットの間に存在する必要があるオンプレミスの時代に明確に書かれていたポリシー標準から考え方を変えることでした。しかし、例えばS3バケットの場合、そのアプローチは実際にはうまく機能しません。したがって、これらの課題に取り組むことで、私たちは一定のコントロールを維持すると同時に、チームがイノベーションを行い、開発を進め、クラウドサービスを活用できるようにします。」
規制上の課題は、一般に業界全体のハードルとみなされていますが、企業にとっては差別化の機会でもあります。これらの規制を遵守することは難しい場合がありますが、これらの規制を不可欠なガードレールとみなすことは、組織が積極的なアプローチを採用するのに役立ちます。規制要件を標準プロセスに組み込み、革新的な考え方を採用することで、企業はコンプライアンスを確保し、競争上の優位性を生み出すことができます。戦略的に取り組めば、規制遵守はビジネスの成功を促進します。
金融サービスにおけるクラウドセキュリティ規制
革新を推進し、クラウド環境の適切な運用から得られる商業上の利点を最大限に活用するという動きは、金融サービスにおけるクラウドセキュリティ規制からの圧力としばしば衝突します。多くの組織が主要なプラットフォームに依存しているため、市場の安定性と回復力に関する懸念が高まり、リスクの集中化との戦いに直面しています。新しい参入者の登場にもかかわらず、この問題は依然として存在し、業界関係者と規制当局との継続的な対話が必要です。
市場運営における金融セクターのインフラストラクチャーの重要な役割を考慮すると、これらの課題に対処することは、金融システムの長期的な健全性と安定性を確保するために不可欠です。それは特にFSIの能力において思い浮かぶことだと思います」と参加者の一人は強調した。
ある参加者は、2 つの大きな問題点を主張しました。「1 つ目は、サードパーティ コンポーネントのセキュリティに関するものです。サードパーティのコンテナの脆弱性は常に問題となっています。過去 20 年間、私は「提供されているソフトウェアは安全ではない」という話をしてきました。そして、もう 1 つの問題点は、バニラ クラウド上で開発されたソフトウェアです。そして、チームがそれを移植するにつれて、銀行が使用する大部分のクラウド サービス プロバイダーのポリシーや設定の多くが非常に厳格であることを忘れてしまいます。つまり、文字通りログ ファイルを調べて、どのポリシーによってログ ファイルが機能しなくなったのかを調べることになります。」
将来に向けて: 将来の傾向と考慮事項
金融サービスにおけるクラウドセキュリティ規制は、今後もますます強化されるでしょう。課題をチャンスに変えるには、コンプライアンスとチーム間の効果的なコミュニケーションを確保するために、より協調的で相互理解的なアプローチが必要です。そうすることで、最終的には新しい規制基準を遵守するための理解と責任を共有する文化が醸成されるでしょう。
そこで、パネリストの皆さんに、クラウドのセキュリティとコンプライアンスをより簡単にするために、どのような変化を望むか尋ねてみました。
ある参加者は、クラウド サービスプロバイダーがセキュリティ機能を犠牲にして迅速なリリースに屈することを控える必要性を強調しました。別の担当者は、「当面の課題は、さまざまな環境で動作できるようにし、GCP や Azure でも AWS と同じように動作できるようにすることです。」と付け加えました。3 番目のパネリストは、ポリシーとコンプライアンスに対するコードとしてのアプローチを主流化することを主張しました。これらはすでに存在しますが、まだほとんど採用されていません。
Rayna Stamboliyska は、サイバーセキュリティ、戦略的自律性、データ保護に関連する問題を含む、EU のサイバー外交と回復力に焦点を当てた戦略と先見の明を実践する専門家です。熟練した研究者でありコミュニケーターであるレイナは、明日がどうなるかを予想する際に、RS Strategy が適切なアドバイスを提供できるように、パートナーと専門家の強固なネットワークを構築しました。