PAM (特権アクセス管理) 
非人間アイデンティティ (NHI) とAIエージェン
ランサムウェアと盗まれた認証情報は、金融機関を標的とする攻撃において、最も一般的で有害な攻撃手段です。 銀行システムには貴重な金融資産と顧客の機密データが保存されているため、組織がSOX、PCI DSS、GLBAなどのフレームワークの下で規制準拠や監査対応を行うには、特権アクセスを厳格に管理し、監視する必要があります。
現代の相互接続された銀行インフラにおいて、特権アカウントは取引プラットフォーム、決済システム、銀行アプリケーションにまたがって使用されています。 特権セッションをリアルタイムで把握することができない場合、取引が操作されたり、ログが改ざんされたり、データが盗難されたりした後になって初めて、銀行が不正使用に気付く可能性があります。 銀行が特権アクティビティを完全に把握するには、リアルタイムで特権セッションを監視することが必要です。それにより、不正を防止し、認証情報に基づく攻撃の影響を最小限に抑え、金融機関に課せられた規制基準を満たすことができます。
銀行における特権アクセスのセキュリティリスク
特権アクセスは、現代の銀行が置かれる環境において、重大なセキュリティリスクをもたらします。 金融機関は、取引、決済処理、ローン管理、顧客データストレージをサポートする相互接続されたシステムの上に成り立っているため、これらのシステムを維持管理する特権アカウントには、多くの場合、広範なアクセス権が付与されています。 銀行業務における特権アクセスに関連する主なセキュリティリスクは、以下のとおりです。
- 特権アカウントの侵害: 管理者の認証情報が盗まれた場合、サイバー犯罪者は取引や財務記録を変更したり、ログを改ざんしたり、銀行システム内を水平移動したりすることが可能になります。こうした行為は信頼されたアカウントから行われるため、悪意のあるアクティビティが手遅れになるまで発見されない可能性があります。
- 内部関係者による特権アクセスの不正利用: 悪意によるものであれ過失によるものであれ、内部脅威とは、権限を持つユーザーが自身の特権を悪用することを指します。特権アカウントにはすでに広範なアクセス権限が付与されているため、不正なアクティビティを特定するには、従来の境界ベースのセキュリティモデルでは不十分です。
- 外部ベンダーによるアクセス: 銀行は通常、取引プラットフォーム、インフラ、決済システムの保守を行うため、ベンダーに特権アクセスを付与しています。ベンダーの認証情報が漏洩した場合、サイバー犯罪者は外部のセキュリティ対策を回避して内部へのアクセス権を取得することができます。
- 特権クリープ: 従業員のロールが変わったり、プロジェクトの重点が移行したりすると、正当なユーザーが必要以上に多くの権限を保有することになります。継続的な監視を行わなければ、古くなった不要な権限が有効なまま残り、侵害されたアカウントが重要なシステムへのアクセスに悪用されるリスクが高まります。
現代のサイバー攻撃に対し、従来の監査では不十分な理由
多くの銀行は、四半期ごとのアクセスレビューやセキュリティ情報とイベント管理 (SIEM) アラートを用いて特権アクティビティを監視していますが、こうした対策は後追いの対応です。 監査はセキュリティインシデント発生後の状況を検証するものであり、アラートは通常、事前に定義されたしきい値を超えた場合にトリガーされます。 その結果、正当な特権アクセスが巧妙に悪用された場合、長期間にわたって検出されないまま放置される可能性があります。
例えば、侵害された管理者アカウントが不正な送金を開始したり、悪意あるアクティビティを隠蔽するために取引ログの改ざんを試みたりするために使用される可能性があります。 こうした操作は正当なアカウントから行われているように見えるため、一部のアラートはトリガーされず、後日のレビューや調査が行われるまで不正行為が発見されない場合があります。 特権セッションをリアルタイムで可視化できない場合、銀行は、疑わしいアクティビティが発生した時点でそれを阻止するのではなく、経済的損害が発生し評判が失墜した後に、セキュリティインシデントの調査を行わなければならない状況に追い込まれます。
コンプライアンス対応のためのリアルタイム特権セッション監視
銀行業務において、規制コンプライアンスは特権アクセス管理 (PAM) と密接に関連しています。 リアルタイムの特権セッション監視を行うことにより、銀行は、特権アクセスに対する継続的な管理体制を実証することができます。 SOX、PCI DSS、GLBAなどのすべてのフレームワークにおいて、機密性の高いシステムやデータに対する強力なアクセス制御、監査対応、保護措置が求められています。
- SOX: 金融機関は、財務報告に影響を与えるシステムに対する有効な内部統制があることを証明しなければなりません。 リアルタイムの監視は、誰が重要なシステムにアクセスしたか、どのような変更が加えられたか、特定の行動が承認されたロールと一致しているかどうかの証拠を提供します。
- PCI DSS: 組織は、システムコンポーネントおよびカード保有者データ環境へのアクセスを追跡し、監視する必要があります。 特権セッション監視は、カード保有者データ環境内のアクティビティを追跡する詳細な監査証跡を作成し、すべての操作をユーザーにさかのぼって追跡できるようにします。
- GLBA: 銀行は顧客の財務情報を保護する必要があり、特権セッションを監視することで、機密情報へのアクセスを追跡して記録し、不審なアクティビティが発生した場合は調査することが義務付けられています。 監査証跡とリスクの高い行動をリアルタイムで終了させる機能により、セキュリティチームは不正なデータ漏洩の可能性を減らし、ひいてはコンプライアンス違反を防ぐことができます。
Keeper®によるリアルタイムの特権セッション監視
Keeperを導入することで、銀行は、規制の厳しい環境において特権アクセスを監視し、管理できるようになります。 Keeperの主な機能は以下のとおりです。
- クラウドネイティブ、ゼロ知識アーキテクチャ: Keeperによって認証情報や機密情報がエンドツーエンドで暗号化されると、Keeperですら保存されたデータにアクセスできなくなり、セキュリティチームは特権アクティビティを完全に把握できるようになります。
- 暗号化トンネル: ユーザーは、Keeperボルトからエンドツーエンドの暗号化トンネルを介して特権セッションを開始し、インバウンドのファイアウォールルールや従来のVPNを使用することなく、リモートリソースに安全にアクセスできます。
- KeeperAIによる脅威検出: KeeperAIがユーザーの行動や特権アクセスのパターンを分析し、不審なアクティビティや潜在的な脅威をリアルタイムで検出して、リスクの高いセッションを自動的に終了させます。これにより、セキュリティチームは異常をより迅速に特定し、状況に応じてリスクに優先順位を付け、被害が発生する前に先手を打って脅威に対応することができます。
- リアルタイムのセッション監視と記録: Keeperを使用することで、セキュリティチームは、実行されたコマンド、アクセスされたシステム、セッション時間などを含む特権アクティビティをリアルタイムで監視できます。詳細な監査ログと記録により、セキュリティチームには規制レビューのためのコンプライアンス証明とフォレンジック調査のための証拠が提供されます。
- ジャストインタイム (JIT) アクセス: Keeperを使用すると、特権アクセスは必要な時にだけ付与され、セッションが終了すると自動的に取り消されます。これにより、相互接続された銀行システム間での常時アクセスを排除し、特権アクセスが悪用されるリスクを低減します。
- 多要素認証 (MFA) の適用: システムが強力な認証方法をネイティブでサポートしていない場合でも、Keeperによってインフラへのアクセス全体でMFAが適用され、機密情報が保護されます。
- SIEM統合: 特権セッションのアクティビティおよび特権アクセスイベントをSIEMプラットフォームに直接ストリーミングすることで、セキュリティチームはセッションの挙動を脅威検出およびインシデント対応ワークフローと関連付けることができます。
Keeperで銀行の特権アクセスを保護
銀行は、不審なアクティビティを検出するのに、定期的な監査や遡及的なアラートだけに頼るべきではありません。 現代の金融機関が置かれている環境では、特権アカウントが取引プラットフォーム、決済システム、機密性の高い財務データにアクセスできるため、脅威の検出が遅れると、多額の金銭的損失や規制上の罰則につながる可能性があります。
リアルタイムの特権セッション監視は、銀行のセキュリティを受動的な制御から能動的な制御へとシフトさせ、金融機関が不正行為を発生時に特定し防止することを可能にします。 Keeperは、完全な可視性ときめ細かなアクセス制御を提供することで、銀行が厳格なコンプライアンス要件を満たしながら特権アクセスを保護できるよう支援します。
ぜひKeeperPAMの無料トライアルを開始いただき、特権セッションの監視強化と重要な金融システムの保護にどのように役立つかをご確認ください。
