サイバーセキュリティ:コンプライアンスが押さえるべき5つの重要ポイント

Read the English version published on June 17, 2021.

コンプライアンス・チームは、パンデミックの影響で膨大な量の課題に直面しています。多くの従業員がリモートワークをし、コンプライアンスを考慮していない新たなコミュニケーション・チャネルを使用しているためです。これにより、セキュリティインシデントが発生しやすい環境が作り出されました。

大規模なデータ漏洩がもたらす風評被害は、長期的かつ複雑な問題をもたらすことがあります。さらに、データ損失によるリスクは潜在的なコストと規制当局による罰金に加えて、企業にとって大きな頭痛の種となる可能性があります。

金融機関は、セキュリティインシデントおよびデータ損失を防ぐために、常に監視を続ける必要があります。データ漏洩、ヒューマンエラー、第三者ベンダーの不手際などの原因は、適切なリスク対策とコンプライアンス体制があれば回避することができます。

日本語ブログ記事をメールでお届け ニュースレターご購読はこちらから

1. 人間の行動を見落とさない

サイバーセキュリティの侵害は、必ずしも悪意のある攻撃者が巧妙なハッキングを企てて行うものではありません。損害を与えるデータ漏洩は、意図しない人為的なミスで起こる可能性もあります。

公共のWi-Fiを利用したり、コンピューターやモバイル機器にパスワードを設定しなかったり、悪質なリンクをクリックしてしまったりと、一見何でもない行動でも、サイバー犯罪者が必要とするアクセスを与えてしまうことがあります。誰がどのような環境でアクセスするかを適切に管理できなければ、デジタル上の要塞を構築しても意味がありません。

そのために、データセキュリティの柱となるのは、従業員の教育と、不用意な行動をリアルタイムで警告するセキュリティツールです。積極的な取り組みをする企業は、フィッシング詐欺対応訓練、ソーシャルエンジニアリングテスト、その他のプログラムを日常的に実行して、リスクを評価し、従業員が潜在的な詐欺を認識できるようにします。

2. 職務分離を優先させる

明確に定義された役割と責任が、適切に運営されている組織の基盤であるように、職務分離(SoD)は、データ損失防止とサイバーセキュリティにおけるリスク管理の重要な要素となっています。

まず、明確なSoDを設定することで、詐欺やその他の不正行為に繋がる可能性のある利益相反を避けることができます。複数の事業部を持つ大規模な組織では、これは特に重要です。例えば、企業のバイサイドの投資専門家は、セルサイドの投資専門家と全く同じデータにアクセスすることはできません。

また、SoDは、多数の個人が必ずしも責任を負わないデータにアクセスした場合に発生する管理ミスの防止にも役立ちます。職務(およびデータへのアクセス)を分離することで、コンプライアンス・チームは、より的確に弱点を発見できます。また、チームや個人として、どのデータが自分の権限の範囲なのか、何がアクセスを禁止されているかを正確に理解することができます。

3. 承認と認証を徹底する

継続的に教育やテストを行うことは、適切なセキュリティに関する習慣を教え、再徹底する上で非常に役立ちますが、また、アクセスに関するパラメータを設定することも重要です。SoDは、組織の効率化を図りつつ、詐欺や不正行為を防ぐことを目的としています。ブルームバーグのコンプライアンス・監視ソリューションであるブルームバーグ・ヴォールトのお客さまは、SoDの概要説明を必要条件とした厳格な承認プロセスを経ていただく必要があります。

認証もまた重要です。2段階認証は標準的になりましたが、例えば、モバイル機器に送信されたコードをハッカーが傍受するなど、セキュリティリスクを除去するものではありません。さらにセキュリティを強化するために、ブルームバーグの多要素認証システムは、クライアントの許可された管理者やユーザーがブルームバーグ・ヴォールトに安全にアクセスできるようにしています。

4. データを理解する

クラウド・コンピューティングは、企業がデータを収集、分析、保存する方法に革命をもたらしましたが、それに伴い、リスクに関し考慮すべき事項が増えました。ほぼすべてのベンダーが何らかの形でクラウドを導入していますが、それぞれに弱点や潜在的なリスクがあります。

ベンダーのリスク管理には多くの要素がありますが(以下、ベンダーに質問すべき重要事項を参照)、その中でも特に重要なのは、データがどのようにホストされ、保護されているかを理解することです。例えば、ブルームバーグ・ヴォールトの場合、データはブルームバーグの製品、サービス、運用のみに特化した複数のデータセンターでホストされており、ホット−ホット構成で運用されています。

データセキュリティ・アクセスのもう一つの要素は分離です。通信や取引情報のアーカイブにブルームバーグ・ヴォールトを使用しているブルームバーグのお客さまの場合、データは会社、アカウントレベル、その他の権限に基づいて論理的に分離されています。また、ブルームバーグのお客さまの多くは、ブルームバーグ・ヴォールトのプレミアムサービスを利用して、メッセージや録音を当社の安全なデータセンター内のWORM(Write Once Read Many、改ざん・消去不可)ストレージにアーカイブし、データが改ざんまたは変更できないようにしています。

5. データ保持に対するミニマリスト的アプローチを採る

企業のデータを保護することと同様に重要なのは、データを処分する時期を理解することです。データおよびサイバーセキュリティのフレームワークは、どのようなデータをどのくらいの期間保存すべきかを明確に示したデータ保存ポリシーを網羅する必要があります。

規制当局によって保存要件は異なり、また企業ごとに独自のタイムラインがある可能性もあります。しかし、優れたデータガバナンスには、必要に応じてデータを削除し、アーカイブするためのポリシーが含まれています。データは金融サービス会社の生命線ですが、それが足かせになることもあります。

確かに、コンプライアンス・オフィサーが対処すべきリスクは過去数十年の間に大きく変化しており、今後も進化し続けることは間違いないでしょう。ガバナンス、テクノロジー、ガイダンスに積極的に取り組むことで、サイバーセキュリティの分野で他社よりも一歩先を行くことが可能になります。

ベンダーに質問すべき事項

  • データセンターはどこにあり、どのような基準で管理されているか?
    多くのセンターはオフショアに設置されており、異なる法制度や基準によってセキュリティリスクが生じる可能性があります。
  • データセンターの立ち入り検査は可能か?
    この質問に対する答えは「いいえ」であるべきで、それには正当な理由があります。別の方法として、データセンターは施設の建設と運用の映像を流すビデオを提供することができます。
  • 特定の個人がある個人データにアクセスするための基準は何か?
    社内で権限を持つ者が書面によって許可しない限り、誰も特定の個人データへのアクセスは許可されるべきではない。

本稿は英文で発行された記事を翻訳したものです。英語の原文と翻訳内容に相違がある場合には原文が優先します。