認証基盤を強化する方法としては、アイデンティティ管理
2024年10月4日に金融庁が、金融機関を対象としたサイバーセキュリティに関するガイドラインの総合的な監督指針などを詳しく発表しました。
特に金融機関は、大量の個人情報の所有や、資産管理をしているため、常にサイバー脅威に狙われやすく、その攻撃も増えています。
そのため、金融庁が発表したサイバーセキュリティガイドラインを多角的にカバーすることが重要になります。
このブログでは、金融庁が発表したサイバーセキュリティガイドラインの内容や、どのようにそのガイドラインに取り組むべきなのか、また、ガイドラインをカバーするためのソリューションをご紹介します。
KeeperPAM(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
金融庁サイバーセキュリティガイドラインとは?
2024年10月4日に金融庁が発表した「金融庁サイバーセキュリティガイドライン」は、日本国内で金融庁の監督下にある金融機関を対象としています。
このガイドラインは、サイバーセキュリティの観点から金融機能の安定を維持し、預金者の保護を図ることを目的としています。
これまで金融庁では、金融事業者向けの監督指針を「システムリスク管理態勢」の章内に、情報セキュリティ管理に関する項目として一部設けるだけで、金融業界のサイバーセキュリティガイドラインとして独立した形のガイドラインは一切ありませんでした。
そのため、金融庁が独立したガイドラインを改定して発表したことは、各組織が具体的なサイバーセキュリティ体制を整備するための内容がより詳細になっている点が特徴です。
金融庁のサイバーセキュリティガイドラインにおける重要な項目
金融庁サイバーセキュリティガイドラインの中でも最も重要なメインパートの部分が、「2.サイバーセキュリティ管理態勢」にあたります。
そこで、どのような項目があるのか重要な部分を抜粋してご紹介します。
1. サイバーセキュリティ管理態勢構築
サイバーセキュリティ管理態勢構築とは、組織全体でサイバーセキュリティを確保するための基盤を整備する取り組みを指します。
そのために以下のような部分を見直すことが挙げられています。
- 基本方針・規程の策定
- 業務プロセス整備
- 資源確保・人材育成
- リスク管理部門による態勢監視
- 内部監査
2. サイバーセキュリティリスクの特定
サイバーセキュリティリスクの特定とは、組織が直面する可能性のあるサイバーセキュリティ上のサイバー脅威や脆弱性を明らかにし、それに基づいて適切な対策を講じるためのプロセスを指します。
主に以下のようなプロセスを見直すことが、サイバーセキュリティガイドラインでは取り上げられています。
- 情報資産管理(システム・サービス、ハードウェア・ソフトウェア等)
- リスク管理プロセス(脅威・脆弱性情報の収集・分析、リスク特定や評価等)
- 脆弱性管理・診断
- 改善
- 演習・訓練
3. サイバー攻撃の防御
サイバー攻撃の防御とは、外部や内部からのサイバー攻撃を未然に防ぐために、組織が講じる技術的および運用的な対策を指しています。
ここで挙げられているサイバー攻撃の防御の項目としては以下のようなものが挙げられています。
- サイバー攻撃への多層防御
- 認証・アクセス管理
- 教育・研修
- データ保護
- システムセキュリティ対策(ハードウェア・ソフトウェア管理、ログ管理、セキュリティ・バイ・デザイン、インフラストラクチャ防御、クラウドサービス利用時の対策等)
4. サイバー攻撃の検知
サイバー攻撃の検知とは、組織のネットワークやシステム内で発生する異常な活動や攻撃の兆候をいち早く察知し、迅速な対応を可能にする取り組みを指します。
サイバー攻撃の検知のために以下のような項目を監視することが挙げられています。
- 未承認デバイス・ソフトウェアやネットワーク監視
- 不正又は通常と異なるアクセスの監視
- 外部のサービスプロバイダによるシステムへのアクセス監視
- アラート基準や閾値等の妥当性を定期的に検証
- データセンターなどへの入出・不審な活動管理
5. サイバーインシデント対応および復旧
サイバーインシデント対応および復旧とは、サイバー攻撃やセキュリティ上の問題が発生した際に、迅速かつ効果的に被害を最小限に抑え、業務を正常な状態に戻すための計画や手順を実行することを指します。
この項目では、サイバーインシデント時には以下のような方法で対処することが挙げられています。
- 初動対応(検知・受付、トリアージ)
- 分析
- 顧客対応、組織内外の連携、広報
- 封じ込め、根絶
- 復旧
6. サードパーティーリスク管理
サードパーティーリスク管理とは、外部委託先やパートナー企業(サードパーティ)との取引やサービス利用に伴うサイバーセキュリティリスクを評価し、適切に管理する取り組みを指します。
この項目では、以下のようなサードパーティーのリスクを管理することが挙げられています。
- サプライチェーンリスクの管理
- サードパーティの位置づけ・役割・重要度の明確化
- サードパーティが遵守すべきサイバーセキュリティ要件を明確化
- サードパーティとの取引終了時の管理プロセス
金融庁が発表したサイバーセキュリティガイドラインに取り組む方法
金融庁が発表したサイバーセキュリティガイドラインには、多岐にわたる取り組み内容が記載されています。しかし、すべての項目を一度に網羅するのは難しいため、実現可能な部分から段階的に取り組むことが重要です。
そこで、金融業界の組織がこのガイドラインに基づいて取り組みを進める際のプロセスについてご紹介します。
1. ガイドラインの理解と適用範囲の特定
記入庁のサイバーセキュリティガイドラインの内容を把握し、自社が対応すべき範囲を明確にします。業務内容や規模に応じたリスク評価を行い、重点的に取り組むべき分野を特定します。
2. 組織の体制整備
サイバーセキュリティを推進するための責任者や専任チームを設置し、リソースを確保します。また、基本方針を策定し、全社的な体制を整備します。
3. 必要なソリューションを検討する
サイバー脅威への防御や監視体制を強化するために必要な技術的ソリューションを選定します。多層防御、認証・アクセス管理、監視ツールなど、それぞれの組織で課題に応じたソリューションを検討します。
4. 初期導入と評価
選定したソリューションや方針を段階的に導入し、運用を開始します。その後、実際の運用状況を評価し、必要に応じて調整を行います。
5. 教育と啓発
従業員への教育や研修を実施し、サイバーセキュリティに関する意識向上を図ります。役職や業務に応じた訓練を取り入れることが効果的です。
6. 継続的な監視と改善
導入後も定期的に体制やシステムの見直しを行い、セキュリティの脅威に対応するための継続的な改善を実施します。監査やリスク評価を通じて常に最新の状態を維持します。
KeeperPAMで金融庁が発表したサイバーセキュリティガイドラインをカバーできるポイント
金融庁が発表したサイバーセキュリティガイドラインに対応するための有効な手段の一つとして、特権アクセス管理であるKeeperPAMのようなソリューションがあります。
KeeperPAMは、このサイバーセキュリティガイドラインでも、多くのサイバーセキュリティガイドラインを網羅できるので、その点について詳しくご紹介します。
サイバー攻撃の防御に役に立つ
近年、AIの発展によりサイバー脅威もさらに猛威を奮っています。その中でも、Keeperはあらゆるサイバー脅威から重要な情報を保護するために、世界トップレベルであるAESの256ビット暗号化と、サイバーセキュリティ業界で最も堅牢な暗号化である楕円曲線暗号(ECC)を使用し、ゼロトラストおよびゼロ知識が採用されたプラットフォームです。
パスワード管理、シークレット管理、リモートアクセス管理など、多くの組織が課題を抱える分野において、サイバー攻撃のリスクを減らし、外部からの脅威だけではなく、内部脅威にも役に立ちます。
サイバーセキュリティを向上させるには、組織内の従業員全員がパスワード、認証情報、機密情報、デバイスやシステムへの接続を保護しなければなりません。
そのため、KeeperPAMに投資すると、以下のような部分でサイバー攻撃から企業を守るためにサポートします。
- ランサムウェア:特権アカウントが悪用されると、ランサムウェアによりシステム全体が暗号化されるリスクがあります。PAMは特権アクセスを制限し、被害を未然に防ぎます。
- 内部脅威:悪意のある内部者や従業員の不正アクセスを防ぎます。PAMは特権アカウントの使用状況を監視し、異常な動きを早期に検知します。
- パスワード関連の攻撃(ブルートフォース攻撃や辞書攻撃):特権アカウントのパスワードが盗まれると、重大なデータ侵害が発生します。パスワードマネージャーによって、安全にパスワードを保管し、パスワードポリシーを全従業員に強制させることができます。
- 特権昇格攻撃:攻撃者が一般ユーザーから特権アカウントへ昇格する動きを防ぎます。PAMは特権アカウントへのアクセスを厳しく管理し、不正な昇格を防止します。
- サプライチェーン攻撃:第三者のシステムを介した不正アクセスを防ぎます。PAMは外部委託先の特権アクセスを管理し、サードパーティーリスクを軽減します。
- SSHキーやAPIキーの悪用:SSHキーやAPIキーが攻撃者に悪用されると、システム全体が危険にさらされます。PAMはこれらを一元管理し、不正利用を防ぎます。
サイバー攻撃の検知に役に立つ
サイバーセキュリティガイドラインに記載されている検知に関してもKeeperPAMは、活躍します。
例えば、高度なレポートとアラートモジュール(ARAM)は、メジャーなセキュリティ情報ならびにイベント管理(SIEM)ツールとの統合が可能で、ログイン失敗、管理者変更、記録共有、ボルト移転など、200 以上の異なるイベントタイプを追跡することが可能です。
それに加え、Keeper SSOはIDPと統合することが可能で、より高度な防御を実現するだけでなく、検知にも有効です。1回の認証で複数のシステムにアクセスできるSSOの課題といえば、共有アカウントを使っていれば、そのアカウントにいつ、誰がアクセスしたかわからないことです。セキュリティと機能面において大きなギャップがありますが、統合されているKeeper SSO Connectを使うことによってこの課題を解決することができます。
また、機能に含まれるBreachWatch®は、ダークウェブ上にパスワードが漏洩しているユーザーを検出した際や、リスクの高いパスワードが対処された際に通知が送信されることで、リスクを検知することができます。
同時に、HIPAA、GDPR、ISO、SOCなどのコンプライアンス監査に対応するために必要な、ユーザーおよび管理者のアクティビティデータを提供します。その他にも例えば、クレジットカード情報を受け入れ、処理し、保存し、送信する企業には、PCI DSS(クレジットカード業界データセキュリティ基準)への準拠や、企業全体の情報セキュリティを確保するためのISMS(情報セキュリティマネジメントシステム)の国際規格であるISO 27001への対応に加え、顧客情報を扱う場合は、個人情報保護法の遵守が求められます。
サードパーティリスク管理に役に立つ
ここでは、サプライチェーンリスク管理やサードパーティの位置づけ・役割・重要度の明確化が重要になっているので、そこをKeeperPAMでカバーすることが可能です。
例えば、各従業員がアクセスできるのは、業務に必要なシステムおよびデータだけというロールベースアクセス制御の徹底や最小権限の原則を実施することで、必要以上に権限を与え過ぎてしまうリスクを避けることができます。
IT 管理者がベンダーのアクセス権やパスワードの使い方を完全に可視化し、全社的なセキュリティルールを実施する機能を提供します。
これにより、内部脅威だけでなく、業務で関わるパートナーやベンダーといった境界が曖昧な第三者からのアクセスも適切に管理できます。
また、セキュリティポリシーなどを強制させることができるので、組織内でよく情報漏洩に繋がりやすい原因であるヒューマンエラーを減らすこともできます。それだけでなく、ジャストインタイム(JIT)や自動ローテーション機能を組み合わせることで、特権アクセスの必要な際にのみ一時的に権限を付与し、アクセス権限が不要になった際には自動的に削除することが可能です。このように、アクセス権限を最適化しつつ、セキュリティを高めることで、リスクを最小限に抑えた管理を実現できます。
まとめ:KeeperPAMで組織のサイバーセキュリティを多角的に向上
2024年10月4日に金融庁が発表した、金融機関を対象としたサイバーセキュリティに関するガイドラインについてご紹介してきましたが、金融業界の組織が取れるステップとしては、実現可能な部分から段階的に取り組むということが重要なポイントです。
その中でも1つのソリューションとして、組織のサイバーセキュリティを多角的に向上させるのにKeeperPAMは有効な手段となります。
KeeperPAMは、特権管理だけではなく、パスワード管理、シークレット管理、リモートアクセス管理などが統合され、ゼロトラスト及びゼロ知識が採用されたプラットフォームです。
特権ユーザーおよびすべてのデバイスで完全な可視性、セキュリティ、制御、レポート作成を行うことを可能にしてくれるソリューションです。
KeeperPAM が組織を保護する方法についてさらに詳しくご覧になりたい場合は、今すぐデモをリクエストしてみてはいかがでしょうか。