本文の内容は、2024年1月16日に ERIC CARTER が投稿したブログ(https://sysdig.com/blog/financial-services-organizations-secure-compliance/)を元に日本語に翻訳・再構成した内容となっております。
金融サービス企業にとってのリスクが今まで以上に高くなっています。技術的な要件や政府の規制を遵守しながら、顧客の資金とプライバシーを保護しなければなりません。セキュリティ・チームは、少ないリソースでより多くのことをこなさなければならないというプレッシャーにさらされており、これらの要件をすべて満たすことは、大きな課題となっています。
サイバー犯罪は増加の一途をたどっており、あらゆる業界が一度は被害に遭っています。驚くことではありませんが、金融機関は魅力的な標的となっています。ランサムウェア攻撃だけで、2021年から2022年にかけて世界の金融機関の74%が影響を受け、この分野におけるデータ侵害の平均コストは572万ドルに達しました。
例えば、クレジットカード番号は1つ30ドルで簡単に売ることができます。
Sysdigの最新調査によると、クラウド攻撃の65%が金融サービス企業や通信事業者を標的にしています。クラウドスタックの奥深くに潜む脆弱な設定がハッカーに悪用され、大惨事になる可能性があります。
同時に、金融サービス企業は、絶えず変化するサイバーセキュリティ基準や政府規制に準拠し続けなければなりません。この分野でクラウドへの移行が進むにつれ、セキュリティを担当するリーダーたちは、両立の難しさに直面しています。成長をもたらす製品開発を遅らせずに、複雑なクラウドセキュリティとコンプライアンスの課題に対処するにはどうすればよいのでしょうか。
進化する規制への対応
金融サービス企業にとって、コンプライアンスの管理はますます難しくなっています。これまで以上に多くの基準や規制を把握する必要があり、その中には任意であるもの、強制であるもの、地域によって異なるもの、重複するものなどがあります。NISTやISOのような技術標準、PCI-DSSのようなデータ・セキュリティ標準、GDPR、SOC、GLBAのような政府規制…
これらの基準や規制を満たすために、金融サービス組織は適切な管理、テスト、報告能力を持つ必要があります。もしそうでなければ、評判の失墜や多額の罰金に直面することになります。世界の金融サービス規制当局は、2022年に70億ドル以上の罰金を科しました。
もちろん、金融サービス企業もセキュリティ要件を考慮しなければなりません。世界で最も規制の厳しい業界の1つである銀行は、クラウドネイティブ環境向けに構築されたセキュリティを採用し、進化する脅威から守り、リスクを軽減する必要があります。銀行がクラウドのメリットを最大限に享受するには、脆弱性の優先順位付け、脅威のリアルタイム検出、設定ミスの特定、アクティビティの監査、規制へのコンプライアンスの測定が不可欠です。
コンプライアンスの課題への対応
クラウドが提供する俊敏性とスピードを十分に活用するためには、金融サービス機関には、堅牢なクラウド中心のセキュリティ・アーキテクチャーと、可視性とコントロール性を向上させるツールが必要です。アップタイムと迅速な市場投入を両立させるためには、開発者は、コンプライアンスに合わせてカスタマイズできるようにオープンスタンダードに基づいて構築された、連携するツールとセキュリティプラットフォームが必要です。アラートによる疲労の負担を軽減することで、開発者は脆弱性の修正に費やす時間を減らし、セキュアな製品の開発に多くの時間を費やすことができます。
苦労して統合する必要がある一連のポイント・ソリューションでは、このような規制の厳しい業界のコンプライアンスとセキュリティの要件を処理することはできません。重要なアラートを見逃す機会や、侵害の可能性が多すぎるからです。
その答えは、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)です。CNAPPを導入することで、クラウドネイティブなアプリケーションスタック全体の可視性とコントロール性が飛躍的に向上します。CNAPPは、クラウドネイティブアプリケーションのライフサイクルをエンドツーエンドでカバーするフィードバックループを提供します。
CNAPP を使用すると、セキュリティとコンプライアンスの目的を包括的にカバーできます。 CNAPP ソリューションは、さまざまなセキュリティの観点からの洞察とユースケース間の相互関係を明らかにし、DevSecOps、DevOps、およびクラウド セキュリティ運用チーム間のコラボレーションを促進します。 これは、クラウド環境に関するリアルタイムの情報を提供し、共通のワークフロー、データの相関関係、意味のある洞察、修復を組み込む際のツールとなります。
CNAPPを導入することで、クラウドインフラストラクチャーとクラウドネイティブアプリケーションスタックの主要な側面すべてにわたって、より高いレベルのセキュリティを実現できます。また、開発プロセスの初期段階から本番環境に至るまでCNAPPのセキュリティを組み込むことで、最高レベルのセキュリティとコンプライアンスの完全性を確実に維持することができます。
Sysdigがお手伝いできること
Sysdigは、金融サービス企業のクラウドにおけるイノベーションのセキュリティ確保と加速を支援します。Sysdigは、クラウドとコンテナのセキュリティを提供することで、金融サービス企業がリスクを一元的に把握できるようにし、リスクの優先順位付けと問題の根本的な解決を行い、コンプライアンスとセキュリティの両方を確保できるようにします。Sysdigを利用することで、銀行はサイバー脅威にさらされるリスクを逓減させ、クラウドサービスを活用して競争力を維持することができます。
Sysdigはクラウドとコンテナのセキュリティを提供するため、クラウドに移行する金融サービス機関や、すでにクラウドで運用されている金融サービス機関は、セキュリティ体制を効果的に管理し、無駄な時間をかけることなく攻撃を阻止することができます。
- クラウド脅威検知と対応: Falco ベースのポリシーと機械学習(ML)を組み合わせた多層的な脅威検知により、金融サービス企業はワークロード、クラウドサービス、アイデンティティを標的とする脅威に対して、より簡単かつ自信を持って対応することができます。
- コンプライアンスとポスチャー管理: Sysdigを利用することで、金融サービス企業は、セキュリティ・ポスチャーを評価するための組み込みのコンプライアンス・ツールを手に入れることができます。各チームは、設定ミスを簡単に特定して修正し、ベストプラクティスに確実に従うことができます。
- 脆弱性管理: 金融サービス企業は、使用中のリスク・エクスポージャーに基づいて脆弱性を特定し、優先順位を付けるために必要なすべてを手に入れることができます。実際のリスクに対処することで、セキュリティとコンプライアンスを達成するまでの時間を短縮できます。
- エンタイトルメント管理: Sysdigは、金融サービス企業がクラウドIDを可視化し、過剰な権限を排除して最小限の権限を強制するための権限管理を支援します。
クラウドは、最新のアプリケーション、ITインフラ、関連プロセスの構造や性質を根本的に変えました。金融サービス企業は、クラウドを活用して新たなレベルの俊敏性を実現することに成功しています。この成功の鍵は、企業がコンプライアンスとセキュリティの要件を満たし、リスクを最小限に抑えながらイノベーションを実現できるようにすることです。Sysdigのプラットフォームは、クラウドやクラウドネイティブなアプリケーションに投資する銀行が、コンプライアンスを確保し、クラウドの脅威を防止、検出、阻止するために必要な保護を提供できるよう支援します。
組織のコンプライアンスのために次のステップを踏み出す準備はできていますか?Sysdigがどのようにお客様のお役に立てるかをご覧ください。