(4)高度なインターネットバンキングサービスの確保

スマートフォンの普及により、急速に利用が拡大しているインターネットバンキング(オンラインバンキング)ですが、セキュリティ面の危険性も高まっています。銀行のアプリケーションが、進化・成長するにつれ、より多くのAPIを公開し、攻撃対象も拡大しているのです。

サイバー犯罪者はこの現象に乗じて、SQLインジェクションや、クロスサイトスクリプティング、“ボット”と呼ばれる自動スクリプトの展開など、高度な手法でウェブアプリケーションやAPIを攻撃しています。このような攻撃は被害が大きく、顧客のセキュリティを脅かすだけでなく、銀行のイメージダウンに直結します。そして回復にコストもかかるため、アプリケーションの安全性を事前に確保しておくことがかつてないほど重要になっています。

しかし、こうした攻撃を検知・防止することは難易度が高いのが現状です。銀行はモバイルアプリに初期段階からセキュリティを組み込むなど、アプリに特化したセキュリティ防御の実施や、またWebアプリとAPIの保護をAIを活用による自動化するような環境構築がおすすめです。

(5)セキュアなリモートワークの実現

リモートユーザーが企業のアプリケーションに接続する機会が増え、組織の攻撃対象はかつてないほど広がっています。銀行がリモートで働く従業員を保護するためには、下記の点を意識して包括的なセキュリティ対策を取り入れる必要があります。

  • デバイス:タブレット端末、モバイル端末、BYOD、組織が管理可能なデバイスを含むすべてのデバイスの保護
  • ユーザー:インターネット閲覧やメール、コラボレーションアプリを利用するユーザー
  • サードパーティ:デバイスおよびアプリケーションにアクセスする請負業者、コンサルタント、パートナーを含む第三者

この3点のセキュリティを保ちつつ、データの保護および場所を問わずに企業のアプリケーションにアクセスできるゼロトラストな環境を確保しなければなりません。

(6)支店のセキュアなSD-WAN接続

支店を直接クラウドに接続すると、悪意のあるファイル、マルウェア、ゼロデイ攻撃、ボット、ウイルス、APTなどによる攻撃リスクが大幅に高まります。このリスクを軽減するためには、セキュリティが確保された SD-WANを介してインターネットやクラウドに接続することにより、銀行の遠隔地の支店をあらゆる脅威から保護する環境が必要となります。

(7)銀行のIoTネットワークとデバイスを攻撃から保護する

ネットワークカメラ(IPカメラ)やスマートエレベーター、アクセス機器やプリンタなど、IoTネットワーク機器は近年、さまざまな企業環境に急速に取り入れられ、銀行も同様なデバイスが動作しています。

新しいテクノロジーの導入が新たなサイバー攻撃の入り口となるリスクを軽減するために、まずは、ネットワーク上のすべてのIoTデバイスを高度な検出エンジンにより特定し可視化した上で、自律的なゼロトラストセグメンテーションと自動化されたIoTポリシーの適用が可能な管理が重要となります。ネットワークだけでなく、全てのIoT資産も守っていく必要があります。

(8)セキュリティ人材の不足

銀行を含め、ほぼすべての組織が、サイバーセキュリティの専門家が不足しているという課題に直面しています。そのような状況下で、常に更新される規制に対応し、コンプライアンス態勢を維持することは非常に困難です。

また、24時間365日体制のセキュリティ運用は、サイロ化したツールのオーケストレーション、適切な人員配置、既存・新規スタッフへの適切なトレーニング、アラート疲労の抑制、誤検知の低減なども、人的リソースにおいて非常に厳しいものがあります。

この課題を克服する鍵は、業界をリードするサイバーセキュリティの専門家チームのサポートにより、セキュリティの設計、展開、運用、最適化を補強することです。

新たな脅威には新しいテクノロジーを

銀行はコンプライアンスが厳しいことや、大量の取引を低遅延で提供する必要があることなどから、包括的なセキュリティサポートを必要としています。それに加え、守られていないIoT機器の導入や、リモートワークへの切り替え、セキュリティ人材の不足など、一般的な企業も現在抱えているセキュリティ課題にも直面しています。

また、ウクライナ情勢の影響で国内でもサイバー攻撃が激化しており、銀行のように社会に大きな影響を与える存在は、サイバー攻撃において格好の餌食となりやすいのも事実です。それだけに、適切なセキュリティ対策を導入していなければ、サイバー攻撃を受けた場合の被害は一層大きくなると言えるでしょう。日々激化するサイバー脅威に立ち向かうためには、各ベンダーからの情報発信など信頼できる調査を参考に、効率性を考慮し、進化したテクノロジーを取り入れ続けることこそが重要です。

著者プロフィール


卯城大士(うしろ・だいじ)チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 サイバー セキュリティ オフィサー

通信機器の開発企業、ネットワーク/セキュリティ輸入販売代理店を経て1997年チェック・ポイント・ソフトウェア・テクノロジーズに日本法人設立メンバーとして参画。イスラエルでのトレーニングを経て、セキュリティ・エバンジェリストとして講演や啓蒙活動を務める。 感銘を受けた言葉は「通信は人をハッピーにする」