概要
サイバー攻撃の脅威が増大する中、銀行業務におけるサイバーセキュリティは金融機関の課題であり、それにかかるコストは増加しています。これは、攻撃者に対してより多くの脆弱性をさらす複雑なシステム、攻撃が成功した場合の被害額の増加、全体的な攻撃数の急増など、さまざまな要因によるものです。
これらの要因が相まって、攻撃に対する保険をかけている機関では保険料が増大し、脅威に対応できるよう保護を強化していない機関では脆弱性が増大しています。
この記事では、銀行業界におけるサイバーセキュリティに対する 3 種類の脅威、脅威の緊急性を高めた変化、各種の脅威に対抗するために必要な機能について説明します。
金融機関に対するソフトウェア・サプライチェーンの脅威
ソフトウェア・サプライチェーン攻撃は、ソフトウェア開発者のシステムや製品を侵害し、信頼されるソフトウェアパイプライン、アップデート、または依存関係に悪意のあるコードを挿入します。このアプローチは従来のセキュリティを回避し、公式アップデートに対するユーザーの信頼を悪用してマルウェアを配信したり、不正アクセスを実行したりするため、アプリケーション開発にとって脅威となります。
金融機関に対するソフトウェア・サプライチェーンの脅威が差し迫っている理由
ソフトウェア・サプライチェーン攻撃は、経済的損害と風評被害の両方を引き起こす可能性がありますが、その頻度は増しています。
- 過去 3 年間で、ソフトウェア・サプライチェーン攻撃の年間平均件数は 742% 増加している。
- 2025 年までに組織の 45% がサプライチェーン攻撃を受けると予想されている。
- ソフトウェア・サプライチェーンの侵害は、他のタイプの侵害に比べてコストが 8.3% 高く、特定と封じ込めにかかる時間が 8.9% 長い。
- 攻撃に対する身代金の支払いは、前年比で 71% 増加している。
ソフトウェア・サプライチェーンの脅威に対抗するために必要なもの
セキュリティ上の脅威に対して 100% 安全なシステムというものはありませんが、保護対策を取ることで、ソフトウェア・サプライチェーン攻撃にプロアクティブに対処できます。組織には次のことを行うためのツールが必要です。
- 脆弱性とリスクを軽減するための修正を提供する前に、アプリケーションとコードベースを分析して重大な問題を特定する。
- ビルドパイプラインをカスタマイズおよび自動化するとともに、イメージの脆弱性をスキャンし、疑わしいビルドによるパイプライン実行の妨害を防ぐ状態にデプロイする。
- 信頼性の高い脅威分析を提供し、セキュリティの問題をピンポイントで特定して優先順位を付けることで、インシデント対応を迅速化するとともに、ソフトウェア提供におけるセキュリティポスチャを改善する。
金融機関に対するクラウドセキュリティの脅威
クラウドサービスは、多くの金融機関がシステムをモダナイズするために使用する重要なツールです。しかし、クラウドサービスの導入には、数多くの新たな課題と脅威が伴います。「クラウド」とは、ソフトウェアを介してユーザーに提供されるホストされたリソースを指します。これらのリソースと、そこで処理されるすべてのデータは、動的で、スケーラブルで、ポータブルです。
銀行業界におけるクラウドセキュリティの脅威の緊急性を高めた変化
現在、クラウドセキュリティの脅威が緊急性を増しているのは、金融セクターの全体的なテクノロジー資産の多くがクラウドに格納されるようになったからです。組織がコストを削減し、機敏性を高めようとする中、これを実践する組織は増えています。この新たな攻撃ベクトルは風評リスクを生み出す可能性があり、また、リスク管理に不備がある場合には規制当局から制裁を受けることにもなりかねません。
クラウドセキュリティの脅威に対抗するために必要なもの
クラウドセキュリティについては金融機関とクラウドサービスプロバイダーがその責任を共有しますが、両者が以下の機能について理解している必要があります。
- 脅威検出、インテリジェンス、および対応
- 構成およびポリシー管理
- キー管理と暗号化
- 監視と可観測性
- ソフトウェア・サプライチェーンのセキュリティ
金融機関に対するデータセキュリティの脅威
データセキュリティの脅威とは、特権データが不正な者の手に渡ってしまう恐れのある攻撃です。これには、保存時にアクセスされるデータ (権限のないユーザーがアクセスすべきでない場所にログインする) と移動中に取得されるデータ (認証済みの 2 つのソース間で転送中のデータを権限のないユーザーが取得する) の両方に対する脅威が含まれます。
銀行業界におけるデータセキュリティの脅威の緊急性を高めた変化
データセキュリティの脅威の主なターゲットは依然としてユーザーとユーザーエラーですが、攻撃ベクトルはより高度化し、数が増え、コストも高くなっています。これに加えて、モバイル・プラットフォームやリモートワークにより、データへの高速かつユビキタスなアクセスの必要性が高まり、オンデマンドデータに対するニーズも高まっています。より具体的には、データに対する脅威は次のような理由で緊急性を増しています。
- 2020 年、世界の平均的な人が作成したデータは 1 秒あたり 1.7 MB であった。これにより、攻撃者が悪用できる機会が増えた。
- 人工知能 (AI) と機械学習 (ML) の進歩によって、より高度な攻撃が可能になっている。
- マリオットの顧客 520 万人の財務データを漏洩させた SUNBURST 攻撃など、最近の攻撃の多くで、拡張されたデータアクセスが悪用されている。
データセキュリティの脅威に対抗するために必要なもの
データセキュリティの脅威に対抗するために必要な重要な機能の 1 つは、セキュリティに対してゼロトラストアプローチを採用することです。これは、あらゆる通信は信頼できない状況で開始されるという前提に基づいてセキュリティ・アーキテクチャを設計するアプローチです。この場合、信頼境界は可能な限り小さくしておかなければならず、トランザクションを完了するために必要な範囲を超えたアクセスは許可されるべきではありません。
米国では、バイデン大統領の国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) により、連邦民間機関はゼロトラスト・アーキテクチャ導入の推進計画を策定することが義務付けられています。
ゼロトラストは 2 つの重要な基盤に基づいています。
- 境界解除:境界をなくすことで、場所に基づく信頼が得られない状況に対処できます。ユーザーがどこからでも組織のデータにアクセスできる必要があり、クラウドへの移行によってデータがどこにでも存在できる世界では、もはや企業が地理的境界によって定義されることはありません。
- 最小特権:名前または場所に基づいて信頼を継承できない場合、すべての通信は疑わしいものとして扱われます。最小特権とは、絶対に必要なリソースのみにアクセスを制限することを指します。すなわち、 あるアクティビティに必要な「最小の」特権です。
ゼロトラストモデルを実装するためには、以下の重要なコンポーネントを導入する必要があります。
- ユーザーおよび非個人エンティティ (NPE) を識別する単一の強力な ID ソース
- ユーザーおよびマシン認証
- ポリシーへの準拠やデバイスの状態などの追加のコンテキスト
- アプリケーションまたはリソースにアクセスするための認可ポリシー
- アプリケーション内のアクセス制御ポリシー
これらのコンポーネントは主に、ID ベースのアクセスポリシーをデフォルトで「すべて拒否」および「例外による許可」に設定できるようにすることに焦点を当てています。
銀行業界がサイバーセキュリティの脅威に対抗できるよう Red Hat が提供するサポート
Red Hat のコア・ソリューションは企業においてテスト済みであり、セキュリティを重視する環境ですぐに使用することができます。
金融サービス業界のサイバーセキュリティを支援するために Red Hat が提供する主なソリューションの一部をご紹介します。
Red Hat Trusted Software Supply Chain
Red Hat® Trusted Software Supply Chain は、Red Hat® OpenShift® を活用した一連のクラウドサービスであり、ソフトウェア・サプライチェーンの脆弱性に対する回復力を強化します。このソリューションの一環として、Red Hat Trusted Application Pipeline と Red Hat Trusted Content という 2 つの新しいクラウドサービスが、Quay や Advanced Cluster Security (ACS) などの既存の Red Hat ソフトウェアとクラウドサービスに加わります。
Red Hat Advanced Cluster Security for Kubernetes
Red Hat Advanced Cluster Security (ACS) for Kubernetes は、先駆的な Kubernetes ネイティブのセキュリティ・プラットフォームです。このプラットフォームにより、組織はクラウドネイティブ・アプリケーションをより安全に構築、デプロイ、実行できるようになります。このソリューションは、Red Hat OpenShift、Amazon Elastic Kubernetes Service (EKS)、Microsoft Azure Kubernetes Service (AKS)、Google Kubernetes Engine (GKE) など、すべての主要なクラウドとハイブリッド・プラットフォームでコンテナ化された Kubernetes ワークロードを保護するのに役立ちます。
Red Hat Ansible Automation Platform によるセキュリティ自動化
Red Hat® Ansible® Automation Platform は、Playbook、ローカルのディレクトリサービス、統合ログ、および外部アプリケーションを使用して IT セキュリティチームを統合し、セキュリティ・ソリューションを自動化するので、協調的かつ統一的な方法で脅威の調査と対処ができるようになります。
Red Hat OpenShift Service Mesh
Red Hat OpenShift Service Mesh は、マイクロサービスベースのアプリケーションを接続、管理、監視する方法を統一することができます。サービスメッシュ内でネットワーク化されたマイクロサービスの動作を分析および制御することができます。透過的な mTLS 暗号化と、ゼロトラストネットワークを促進するきめ細かなポリシーを備えた、アプリケーション・ネットワーク・セキュリティを利用できます。
