金融サービスの進化が進む中、データやアプリケーションのセキュリティ管理が後回しになってはいませんか？

革新的なサービスや金融商品・情報へのリアルタイムなアクセスに対する消費者の期待の高まりに後押しされ、金融サービス業界（FSI）とフィンテック企業は、互いの技術革新と市場シェアの獲得にしのぎを削っています。この分野への投資が大幅に増加したことで、新たなデジタルビジネスモデルやテクノロジーを開発する俊敏な新規参入者が増え続けています。熾烈な競争は、プレーヤーに迅速な対応とピボット、そして急速な成長を促進するための施策への集中を強いています。こうした力が相まって、決済、融資、保険のあり方を大きく変えようとしています。

新しい金融サービスやアプリケーションを開発する際の障壁がかつてないほど低くなっていることは明らかです。そのため、この分野では、開発活動が爆発的に増加しています。しかし、組織が競合他社に先んじるべく、急成長と変革を迫られている場合、その運用スピードは、しばしばセキュリティ管理が無視されたり、置き去りにされたりすることを意味します。

サイバー犯罪の広がりはよく知られており、2025年までに年間10.5兆米ドルの被害が出ると予測されており、2015年から3兆米ドルも増加しています。しかし、金融サービスのデジタル化が進むと、サイバー犯罪者が得られる収益も高くなるため、他の業界よりも大きな犯罪が発生します。実際、金融サービス業界は、データ漏洩の平均総コストが最も高い業界の一つであり、医療業界に次いで2位となっています。攻撃者が成功した場合、顧客取引、口座情報、個人情報など、収益性の高い膨大な量のデータにアクセスできるようになります。このデータは、金融詐欺に利用されたり、高額な入札者に売却されたりする可能性があります。さらに、規制当局や政府機関からの厳しい監視が、緩いセキュリティのプレッシャーとリスクを増大させます。

弱点となりうる2つの重要な分野：DevOpsと非構造化データの爆発的な増加

金融サービスにおけるDevOpsの課題

金融機関がタイムリーなイノベーションによる競争優位性を見出すにつれ、DevOpsのツールを使用することや運用は金融サービスにおけるスタンダードとなりつつあります。実際、業界調査によると、金融サービスにおけるDevOpsの採用率は、現在、全組織の77%から91%に達しています。

しかし残念ながら、アプリケーションのスピードの必要性は、しばしばセキュリティを犠牲にすることになります。DevOpsを導入していない環境のほとんどは、企業のセキュリティチームが管理する集中型セキュリティモデルを利用しています。アプリケーション開発において、集中型セキュリティモデルは、調整とコミュニケーションの面で困難を伴います。例えば、アプリケーションの立ち上げや変更を急ぐあまり、開発チームがセキュリティチームの参加や更新を見落とし、コードに脆弱性を残してしまうことがあります。

DevOpsプロセスの一環として、開発者は自分のコードをテストするために高品質のテストデータにアクセスする必要があります。この際の最も簡単な方法は、テスト用に本番データをコピーすることです。データベースを複製してしまうと、本番環境におけるデータの保護がなくなり、ハッカーは保護されていない機密データのアーカイブに簡単にアクセスできるようになります。

非構造化データの課題

多くの企業は、非構造化データがどこに存在し、誰がそれにアクセスしているのか、そしてそのデータがどのようなリスクにさらされているのか、確実に把握できていません。そして、金融業界も例外ではありません。銀行データの80%は、音声、動画、PDF、電子メールファイルなどの非構造化フォーマットでデータベースの外に保存されていると言われています。多くの企業は、増え続ける非構造化データの処理に苦慮しています。データが何を含んでいるのか、どのようなリスクにさらされているのかが分からないのです。このような洞察力の欠如は、多数のセキュリティの盲点を生み、内部関係者や悪意のある者に容易に悪用される可能性があります。

データ漏洩防止（DLP）ソリューションは、機密データへの不要なアクセスを阻止するために、何十年も前から使用されてきました。しかし、このようなソリューションの効果はごく限られたものでしかありません。DLPの境界制御、エンドポイント保護、特権アクセス管理（PAM）機能では、大規模なデータ漏洩を防ぐことができないというエビデンスが増えてきているのです。このことは、金融サービスにおけるデータの機密性と厳しいコンプライアンスや規制を鑑みると、特に懸念されるところです。

非構造化データの課題を克服するには、データの可視性を維持し、機密資産を特定し、これらの資産を管理するコンプライアンス要件を満たすためのツールが必要です。

DevSecOpsとImpervaで進むべき道

では、金融サービスやフィンテックは、デリバリープロセスのスピードアップと、コードの脆弱性やセキュリティギャップを防ぐという、一見矛盾する2つの目標をどのように達成できるのでしょうか。

その答えは、DevOpsをセキュリティ優先に進化させたDevSecOpsにあります。DevOpsは、開発者と運用チームのコラボレーションをサポートするテクノロジーとテクニックを提供しますが、DevSecOpsは、既存のDevOpsの運用にセキュリティへの考慮を導入します。

これには、次のようなセキュリティに関する取り組みの導入を含みます。

シフトレフトセキュリティ（セキュリティチェックをできるだけ早い段階で取り入れること）
継続的なフィードバックループ
コード解析の自動化
コンプライアンス監視
脅威の調査

とはいえ、DevSecOpsにも課題があります。従来の環境を離れたくない人たちから、変化に対する抵抗があるかもしれません。既存のツールの改修や交換が必要な場合もあります。移行期間中は生産性が低下する可能性があります。また、以下のような複雑なセキュリティプロセスや要件が新たに発生します。

DevOpsライフサイクルを見直し、アプリケーション開発におけるライフサイクルの各ポイントにセキュリティ対策を盛り込む
セキュリティのベストプラクティスに関するチームの集合知を高めるためのセキュリティコーディングのトレーニングの実施
DevOpsのプロセスとパイプラインに含めるべき最低限のセキュリティベースラインの設定
脆弱性を特定し、リスクを軽減するための脅威モデリングを導入する

Impervaのセキュリティツールおよび機能のポートフォリオには、DevSecOpsチームが高速でアジャイルなソフトウェアデリバリープロセスを停滞させることなく、アプリケーションセキュリティを高め、リスクを低減することを支援するツールが含まれています。

Imperva RASP（Runtime Application Self-Protection）

Imperva RASPはアプリケーションに組み込まれ、リアルタイムで攻撃を検知し対応します。アプリケーションが実行されると、自動的に自身を監視し、攻撃、インジェクション、コードの弱点を検出します。また、オリジナルソフトウェアやサードパーティソフトウェアに潜む脆弱性に関わらず、アプリケーションは安全でいられるため、検出された脆弱性を修正しパッチを当てるための時間を稼ぐことができます。

Imperva Web Application Firewall (WAF)

Imperva WAFはハイブリッドおよびクラウドネイティブ環境に対する高度な攻撃を自動的に阻止し、ネットワークの入り口に防御機能を提供することで、どのようなアプリケーションでも保護することができます。Imperva WAFは境界で受信するアプリケーション層のトラフィックをプロファイルし、悪意のあるクライアントやボットネットからの既知の攻撃をすべて検知・ブロックします。

Imperva Data Security Fabric (DSF)

構造化データと非構造化データの両方に関して、Imperva DSFはセキュリティとコンプライアンスチームが、機密データがどこに存在しても迅速かつ容易に保護できるようにします。環境全体のデータセキュリティ制御を標準化することで、Imperva DSFはオンプレミスやクラウドなどの環境を問わず、すべてのファイルストアや資産にデータの可視性を提供します。特徴は以下の通りです。

データアクティビティモニタリング： 業務や生産性に深刻な影響を与えることなく、不正な行動を特定し報告します
データリスク分析： 機械学習により、内部脅威や疑わしいアクセスパターンを被害が発生する前に特定します
データガバナンス： 構造化、半構造化、非構造化データを含む情報資産を特定し、保護し、監視します
データマスキング： 機密データをコピーするのではなく、データマスキングによって、開発者はアプリケーションのテスト用に、実在しないが本物のような組織データを作成することができます

結論

金融サービス業界（FSI）とフィンテック企業は、危うい競争を繰り広げています。革新的な新製品で互いを凌駕しようとする一方で、深刻なリスクを次々と引き起こしているのです。万が一、これらのリスクがデータ漏洩につながった場合、評判や収益に与える影響は、最初のイノベーションがもたらした利益をはるかに上回ることになるでしょう。

Impervaのソリューションは、高速でアジャイルなソフトウェアデリバリープロセスを止めることなく、高速に処理することができます。

Imperva Snapshotを試す

これは、Amazon RDSの管理対象データベースのための、無料で高速かつ使いやすいクラウドデータのセキュリティ状態のアセスメントサービスです。Imperva Snapshotを使用して、データベースと保存データの状態を迅速に評価し、プライバシー規制のコンプライアンス違反やクラウドデータストアのコンプライアンス要件も特定します。

詳細を見る>