金融機関が持つサイバーセキュリティへの不安：トップ4

不安というのは、誰もが持っているものです。生きている限り、恐怖や不安を感じない人はいないでしょう。それが蜘蛛であろうと、人前で話すことであろうと、核戦争であろうと、何かが私たちを夜眠れなくさせるのです。サイバーセキュリティも同じようなもので、病院ネットワークのCISOは製造業や非営利団体のCISOとは異なる脅威や課題にを抱えています。これらの組織は、知的財産や顧客との関係性、そしてビジネスモデルが異なるため、異なる方法で狙われるからです。

金融業は特殊な立場にあります。金融機関のビジネスモデルは、投資した資金の安全性を保証することにかかっています。金融機関がサイバー攻撃を受ける可能性は他の業界の300倍もあるため、ミスは許されません。金融機関は、消費者の金融資産および個人情報が悪意ある者の手に渡らないことを証明していく必要があります。それができなければ、企業の評判に大きな打撃を与え、企業の存続に深刻な影響を与えることになります。

金融機関への攻撃が増え続ける中、これは非常に重要なことです。VMwareの「Global Security Insights Report 2022」によると、金融機関のCISOの89%が、過去1年間でサイバー攻撃が増加したと回答しており、他の業界の回答者よりも13%高い数値を示しています。また、本レポートで調査した金融機関のセキュリティリーダーの67%は重大な侵害を心配しており、これはどの業界と比べても最多でした。

TIAA(米国大学教職員退職年金・保険基金)のCISO（Chief Information Security Officer：最高情報セキュリティ責任者）であり、Snap Financeの元CSO（Chief Security Officer：最高セキュリティ責任者）でもあるUpendra Mardikar氏と、Menlo SecurityのCFO（Chief Financial Officer：最高財務責任者）であるDavid Ecksteinとの議論では、金融機関のセキュリティチームが懸念していることを掘り下げ、適切に防衛するための方法を解説しています。以下は、金融機関がセキュリティに関して持っている懸念事項の上位4つです：

安全でない/脆弱なリモートワーカー

セキュリティチームは10年をかけて企業内端末の周囲に侵入不可能な境界線を構築し、一時期はこの戦略がうまく機能していました。しかしパンデミックが始まり、多くの従業員が自宅で仕事をするようになると、その境界線は一瞬にして消えてしまいました。「10年にわたる業界の変革が一夜にして終わってしまったのです。」とEckstein氏は言います。

パンデミックは終わったかもしれませんが、リモートワークは確実に存続しています。しかし多くの金融機関は、この現実に対処するためのセキュリティのアップグレードを行っていません。このレポートで調査した金融機関のうち、リモートワークの安全性に自信を持っているのはわずか半数で、「非常に自信がある」はわずか18%でした。金融機関では、従業員がどこにいても、どのようなデバイスを使用していても、またネットワーク上のトラフィックがどの程度あっても、従業員を保護できるように設計されたセキュリティソリューションに注力することが非常に重要です。

グローバルな労働力に対する接続性の低さ

金融機関は世界中に分散するさまざまな契約社員やチームと仕事をすることが多く、それがセキュリティとユーザビリティのバランスを取ろうとしているセキュリティチームにとって大きな課題となっています。時代遅れのセキュリティ技術によってこれらの一部が損なわれ、インターネット接続や作業用デバイスの速度低下などの問題が発生することが非常に多く、2021年にはリモートワーカーの約半数がそのような事態を経験しています。

ほとんどの組織では今でも仮想プライベートネットワーク（VPN）を使用していますが、これはリモートアクセスするのが一部の人だけに限られていた時代に作られたものだとMardikar氏は言います。VPNは今や老朽化し、セキュリティやレイテンシーといった重大な問題に悩まされています。VPNは、現在の「どこにでもいる」従業員のニーズを満たすには、十分な拡張性を備えていないのです。

フィッシングサイトの判定における誤検知率の高さ

Vadeによると、金融業界は2022年前半に他のどの業界よりも多くのフィッシングの試みを経験しました。訓練を受けている従業員でもフィッシングの試みを見抜くのは難しいため、多くの金融機関ではフィッシングが疑われるサイトを特定してブロックしています。この解決策は、表面的には理にかなっているように見えます。しかし、これは実際には逆効果で、誤検知の増加につながり、セキュリティチームの貴重なリソースを浪費することになりかねません。

金融機関はインターネットへのアクセスを遮断することはできませんし、従業員が障害なく仕事をこなせるように維持する必要があります。フィッシングの試みをより多く検知したり、すり抜けた試みを従業員が見つけることを期待したりする代わりに、金融機関は、従業員が何をクリックしたかに関係なく安全を確保できるソリューションに移行する必要があります。アイソレーション技術は、ユーザーのエンドポイントからクラウド上の抽象化されたレイヤーに戦場を移すことで、これを可能にするとMardikar氏は述べています。

新しいテクノロジーの導入に時間がかかる

金融機関は非常に機密性の高い顧客データを保有しており、侵害された場合の影響は他の業界よりも深刻です。脅威が急速に進化し、頻度が増しているため、金融機関はできるだけ早く強固なセキュリティに移行する必要があります。Deloitteのレポートによると、残念ながらセキュリティ技術の導入はデジタルトランスフォーメーションへの取り組みに比べて遅れる傾向があり、しかも金融機関はまだクラウド導入の初期段階にあります。

そのため金融機関は、セキュリティチームが導入のために不要な時間と労力を費やすことなく、迅速に拡張できるセキュリティを選択することが重要なのです。拡張性の高いソリューションであれば、チームはツールではなく自らの業務に集中することができ、セキュリティに妥協することなく、簡単かつ迅速に成長させることができます。

これは何を意味するのでしょうか?

つまり、金融機関は急速に進化する脅威から身を守るために、セキュリティ体制を改善する余地がまだあるということです。IBM Securityの「Cost of a Data Breach Report 2022」によると、、金融機関が侵害された場合のコストはすべての業界の中で2番目に高く、そのコストは侵害後数年間発生し続けます。それを考えると、セキュリティに妥協の余地はありません。

金融機関は、分散した従業員に対して高速で信頼性が高く、安全なアプリケーションアクセスを確保する必要がありますが、有効なセキュリティソリューションを展開するための時間的余裕はほとんどありません。また、導入するツールは、ITのオーバーヘッドを削減し、グローバルに拡張でき、ユーザーのネイティブエクスペリエンスを維持できるものでなければなりません。