左から)Google Cloud情報安全専門家・鄭家明氏、Elasticsearch地域セールスディレクター・Fernand Cheng氏、セキュアベクターズPCI DSS QSA・黄廷弘氏、CloudMileソリューション設計チーム管理者・梁文典氏
先日、金融監督管理委員会は「金融機関の業務の外部委託に係る内部管理体制及び手続に関する規則」を修正し、早ければ2023年9月から金融業界のクラウド移行関連の申請を緩和すると発表しました。この措置は、金融業界のDXの加速とサービスの効率化を後押しするものです。しかし、関連する企業は今後、顧客の権利と利益を確保するために、どうやってコンプライアンスと情報セキュリティのバランスをとるべきなのでしょうか?
多くの金融業者の担当者の疑問や悩みを解決するため、セキュアベクターズ、Google Cloud、CloudMile、Elasticsearchは、2023年6月、合同で「金融情報セキュリティ×準拠管理×クラウドの強化型拡張」セミナーを開催しました。セミナーでは、ベテランのコンサルタントたちが金融・決済のクラウド移行に関する法律、基準への準拠、セキュリティ保護の各テーマに深く切り込みました。
VISA台湾地区リスク管理責任者・沈玫芳氏
年々巧妙さを増す金融犯罪に対抗 5年で100億米ドル以上を投資したVISA
VISA台湾地区リスク管理責任者の沈玫芳氏は、「コロナ禍は金融イノベーションを加速させ、デジタル化へのニーズがさらに増し、技術支援やリスク管理もより重要になっています」と話しました。最新のVISA消費者決済意識調査によると、台湾の消費者の6割以上がオンラインショッピングでの支払いに電子ウォレットを利用しており、実店舗では消費者の8割近くが毎週電子ウォレットを利用しています。また、3割以上の消費者が割引を得るために自分の支払い行為のデータをシェアしてもよいと答えています。
一方、景気の後退を背景に、詐欺が一種のビジネスとして横行し、金融犯罪の件数は過去最高を記録しています。ネット決済での不正利用、合成アイデンティティ詐欺、なりすまし、アカウントの乗っ取り、ディープフェイク、生体認証の不正利用、AIを使ったサイバー攻撃など、金融犯罪の手口は年々巧妙さを増しています。
詐欺グループが執拗に、テクノロジーを利用してより多くの財宝(金融詐欺の利得)を狙っている今、財宝の守り手である金融関連の事業者は、どうやって詐欺に対抗したらよいのでしょうか?経営の悪化から情報セキュリティへの投資を減らし、攻撃に無自覚となったせいで、大きな代償を支払う羽目になった企業もあります。これは、ここ数年で企業の情報流出事件が相次いでいる根本原因でもあります。
便利になるほどリスクも増えます。VISAは常に責任あるイノベーションを旨として、情報セキュリティリスク管理への投資を続けています。この5年間に、ペイメントエコシステムを守るためのテクノロジーとイノベーションに100億米ドル以上を投資しています。これには、リスクに対応するための業界基準の策定およびセキュリティ技術、リアルタイムの対策、持続的な攻撃に対抗するための情報収集と準拠要件、状況の変化に応じた製品やプロセスの開発や改善、ユーザーへの教育、ユーザーのリスク管理のニーズに応じたカスタマイズ等が含まれます。VISAでは、このような取り組みにより、詐欺の横行を防ぎ、加盟店と消費者を詐欺の被害から守っています。
Secure Vectors
セキュアベクターズPCI DSS QSA・黄廷弘氏
ISO 37301に対する国際的な準拠へ向け、可視化システムで準拠状態をしっかり監視
金融業者の組織内には一般にCCO(最高コンプライアンス責任者)、CSO(最高セキュリティ責任者)、CIO(最高情報責任者)といった役職が設けられていますが、どんな肩書きであれ、企業のコンプライアンス義務を果たすことが求められることには変わりはありません。まず、法令、規定、業界情報、業界ルール、社内ガイドラインなど、コンプライアンスに関わる情報の棚卸しを行い、それからリスク評価を実施して、罰金の影響を軽減し、人手や予算を効果的に配分・管理しなければなりません。
最近、多くの金融機関や決済事業者がクラウドサービスの導入を検討していますが、その際、「クラウドサービスはPCI DSS v4.0とISO27001のどちらのセキュリティ基準に準拠しているのですか?」という疑問をよく投げかけられます。セキュアベクターズPCI DSS QSAの黄廷弘氏は、「金融業界のクラウド移行の準拠は両方の更新のいずれにも関わっており、いずれの基準にも準拠しなければなりませんが、ISO 37301はすべての準拠管理を包括する大きな標準です」と説明しました。
しっかり準拠を管理するということは、情報セキュリティをしっかり守るということです。法令や要件にしっかり対応しないということは、情報セキュリティに潜在的な問題が存在するということであり、多額の罰金を科されるおそれもあります。たとえば「個人情報保護法」は今年5月に修正され、罰金の最高額が新台湾ドル20万元から新台湾ドル1,500万元に引き上げられました。
エンジニアに分厚い手順書を手渡すだけという従来の方法では、往々にして「管理者はわからない、現場はできない」という状態に陥りがちです。金融業者が準拠を達成しようと思えば、必然的に監視を導入することになります。そのためには、準拠管理システムのような便利なツールが必要となります。準拠監視機能を使えば、時間を節約しつつセキュリティ状態を把握できます。現在どの要求事項が満たされていないのか、クラウドの監視プロバイダが教えてくれるからです。さらに、「自動データ収集」「準拠データベースの照合」「後続の準拠作業の発動」などの機能によって、準拠状態が可視化されて管理しやすくなり、「現場でできる、管理者はわかる」という準拠管理を真に実現できます。
たとえば、サーバはオンプレミスでもクラウドでも必要ですが、現場のエンジニアが勝手に海外のクラウドサーバサービスを導入した場合、従来の方法では請求書を受け取るまで気づかず、巨額の罰金を科されることにもなりかねません。しかし、準拠管理システムを導入すれば、1時間足らずで問題が発見され、即座に対応できます。
問題を事前に防ぐ情報セキュリティ保護システムでBank 4.0クラウド移行にしっかり対応
Google Cloud情報セキュリティ専門家・鄭家明氏
Google Cloud情報セキュリティ専門家の鄭家明氏は「金融機関のクラウド移行について、最も関心の高い3つのテーマは、情報セキュリティ、個人情報保護、コンプライアンスです」と強調しました。世界の情報セキュリティインシデントのうち、外部者または被害を受けたユーザーから通報があったものは63%にも上ります。また、ハッキングの手法もますます効率化・自動化されてきており、それらを未然に防ぐ情報セキュリティシステムを構築し、リアルタイム監視と自動応答によってハッキングに対処することは、多くの企業にとって急務となっています。
CloudMileソリューションフレームワークチーム責任者・梁文典氏
CloudMileソリューションフレームワークチーム責任者の梁文典氏は、「銀行サービスはBank 4.0への転換と同時にIT技術の転換も不可欠です」とし、踏み込んだ分析を行いました。クラウド移行は今後の金融業界の発展に不可欠です。金融業界におけるクラウド移行は、一般にバックアップ、システム移行、データ分析などのプロセスで行われます。金融企業がより正確かつ効率的にクラウド移行したいと考える場合、ソリューションと豊富な成功経験を持つCloudMileは、金融企業のスムーズなクラウド移行を支援することができ、金融企業はシステムのレジリエンスを強化し、地政学的リスクを適切に管理できるようになります。さらに、クラウドのビッグデータに対する分析能力を強化し、企業経営のパフォーマンスと収益力を向上できます。
Elasticsearchエリアセールスディレクター・Fernand Cheng氏
ElasticsearchエリアセールスディレクターのFernand Cheng氏は、多くの事業者がクラウド移行する際の問題点について、「市場には多くの情報セキュリティプラットフォームがありますが、どれもユーザーの環境の一部を分析できるだけで、分析に死角や誤認が生じてしまいます」と指摘します。どうやって各所に散らばった膨大なデータを統合し、企業の死角や問題を見つけ出したらよいのでしょうか?これは多くの事業者にとって最大の疑問の一つです。
Cheng氏は、Elasticsearchがこの問題点に対するソリューションであると言います。Elasticsearchは様々なログ(logs)、メトリック(metrics)、トレース(traces)の収集、導入、読取を支援するデータ分析プラットフォームであり、企業の現在のオンプレミス、エンドポイント、マルチクラウド環境において、各方面の情報とデータを統合し、一つの統一されたデータ分析プラットフォームによって、調査、分析、トラブルシューティング、トラブルの防止を支援し、企業が持つ様々な情報セキュリティ関連のシステムや技術の土台を強化します。
最後に黄廷弘氏は、「ISO 37301取得は業界のトレンドであり、そのフレームワークにおいて、PCIは管理制度、管理システムの方向へ進んでいます。各基準にはそれぞれ長所があり、企業は強みを活かしてPCIをより完全にし、情報セキュリティ基準のフレームワークと具体化>ポリシー>手順>実行>記録の管理手順を構築してはじめて、真に自社における金融情報セキュリティ×準拠管理×クラウドという力強い体制を確立できます」と述べました。
転載元:『商業周刊』
