金融業界におけるコンプライアンスとは、非常に興味深いものです。ほとんどの規制は、何を保護しなければならないか(特定のデータ、リモートシステム、ユーザーなど)を規定しているだけで、組織がこれらの要件を満たすために何をしたら良いか、ということが示されることはほとんどありません。
例えばある法律では、PII(Personally Identifiable Information:個人を特定できる情報)を扱う組織に強力なパスワードを使用するように定めていますが、強力なパスワードとはどのようなものなのかは定義されていない、ということがよくあります。文字数が重要なのでしょうか? 文字、数字、記号の組み合わせが必要なのでしょうか? 多要素認証(MFA)と組み合わせた場合にのみ、パスワードは強固になるのでしょうか? そういったことは法律には書かれていないのです。それを決めるのは、通常セキュリティチームです。セキュリティ専門家は悪意のある活動を特定し阻止する方法について、米国標準技術局(NIST)やMITRE Att&ck Frameworkといった、非常に強固で具体的なガイドラインにアクセスすることができます。
その結果、当然ながら、規制をすべて遵守することと、悪意ある攻撃から組織を保護することとは別の問題になります。組織のセキュリティ体制は、セキュリティチームが要件を満たすために何を選択したかに完全に依存します。しかし金融機関は、コンプライアンス規制が拡大し進化していく中で、コンプライアンスの維持とセキュリティの強化がより緊密に関連していることに気づくかも知れません。
複雑性の増大はセキュリティの敵
従来のようにコンプライアンスとセキュリティを分離するのではなく、CIOのリーダーシップの下に両チームを統合することでより良い成果と規模の経済を達成できると考えている企業は、労働力の確保から、製品、サービス、サプライチェーン全体、パートナーエコシステムを悪意のある活動から確実に保護することまでを可能にします。
大規模な金融機関には多くの部門があり、さまざまなユーザーがいて、それぞれが異なるセキュリティアクセスを必要としているという事実が、事態を難しくしています。銀行の支店の窓口担当者はインターネットに接続する必要がないかもしれませんが、同じ建物の中にいる住宅ローン担当者は、最新の金利情報を得るためにサードパーティの情報限をチェックする必要があるかもしれません。また、それぞれの役割が異なる規制の対象となり、タスクがより複雑になる可能性もあります。従来、このような異なるニーズには、別々のハードウェアとネットワークが必要であり、そのようなアーキテクチャは複雑さを生み出します。しかし、複雑さはセキュリティの敵です。
ゼロトラストアプローチの採用
金融機関にとって、コンプライアンスを維持しながら次々と現れる脅威から身を守ることは、非常に困難な作業です。多くの企業はセキュリティにゼロトラストアプローチを採用していますが、これは従来のサイバーセキュリティに対する検知と修復のアプローチを変えるものです。ゼロトラストとは、既知の脅威以外のすべてを信頼するのではなく、すべてのコンテンツ(およびユーザー)を信頼できないものと見なすという、最もシンプルな方法です。ゼロトラストの真の状態に到達するための重要な要素の1つは、アイソレーション技術を活用することです。
アイソレーション技術は、接続するエンティティ間の信頼性を確保することで、コンテキストを考慮したアプローチを可能にします。アイソレーションを、Webプロキシ、データ漏洩防止(DLP)、マルウェア対策ツールなどの他のセキュリティコントロールと組み合わせることで、すべての人が自分たちの言う通りの人物であり、仕事を遂行するために本当に必要な情報、アプリケーション、システムだけにアクセスしていることを確認し、セキュリティとコンプライアンスを保証できます。
ここでは、セキュリティとコンプライアンスの融合を加速させるために、アイソレーションが金融機関にもたらす3つのメリットを紹介します:
1. 管理対象および非管理対象資産の完全な可視化と制御を実現する
管理対象および非管理対象資産のセキュリティを確保し、コンプライアンスを維持するために必要な可視性と制御を提供します。すべてのWebトラフィックをクラウド上の分離されたレイヤーで実行することにより、インターネットに接続されたデバイスに侵入され、その後より魅力的なターゲットを探してネットワークを通じて拡散されることがないようにします。Webやメールベースの脅威がより巧妙になり、高度な回避技術を活用するようになった今、企業はセキュリティに対する(多くの課題を抱える)検知と対応のアプローチに頼るのをやめ、予防に重点を置く必要があるのです。
2. クラウドネイティブ技術に依存する
クラウドネイティブのアイソレーションソリューションにより、金融機関はユーザーエクスペリエンスに影響を与えることなく、可視性と制御性を大規模に確保することができます。金融機関は、遠隔地の支店、顧客サイト、海の向こうの会議場など、ビジネスの場所を問わず、セキュリティ管理を簡単に立ち上げて拡張することができます。この機能により、国境や規制の管轄区域を越えてセキュリティ管理を行うことが可能になり、コンプライアンス要件とセキュリティ体制を効果的に結びつけることができます。
3. ベンダー、ツール、およびサプライチェーン全体にセキュリティを拡張する
セキュリティとコンプライアンスをうまく結びつけることで、金融機関は、単に組織を安全に維持する以上のことが可能になります。コンプライアンスとセキュリティを同時に確保するための枠組みを持つことで、サプライチェーンやパートナーエコシステムを通じて、提供している製品やサービスにまでセキュリティ戦略を拡張することができるのです。また、Software-as-a-Service(SaaS)プラットフォーム経由でランサムウェアに感染し、ネットワークがダウンするような事態を防ぐことができます。アイソレーションによるゼロトラストアプローチは、接続するエンティティが誰であろうと、資産を所有または管理しているかどうかに関係なく、エンティティ間の信頼を確保します。
しかし、規制要件とセキュリティ目標が融合している今、これまで異質だったチームを組み合わせることで、こうした取り組みを効率化することができます。アイソレーションによるゼロトラストアプローチにより、企業は管理下および非管理下のエンティティを可視化および制御し、国境を越えたセキュリティ制御とコンプライアンスに対応し、パートナーエコシステム全体にセキュリティを拡張することができます。
.png)
