金融サービスはクラウド上のデータ保護にもっと取り組むべきと認識している

By Rodman Ramezanian - Global Cloud Threat Lead | クラウド脅威のグローバルリーダーSkyhigh Security

2023年7月18日 4 分読み

ハイブリッド・ワークの定着に伴い、金融サービス業界は、リモートワークの実現に伴うリスクの増大に適応しつつある。多くの進展が見られたが、当社の最新レポート「Skyhigh Security クラウド導入とリスクレポート：金融サービス編" にあるように、クラウドセキュリティの改善にはまだ長い道のりがある。

金融サービス業界は、管理するデータの性質上、他の業界と比べて侵害、脅威、データ盗難に対して特に脆弱であり、セキュリティ問題を抱える組織の割合は増加傾向にある。本レポートでは、この業界が攻撃の格好の標的であることを認識しているため、他の業界と比較して一般的に高いセキュリティ成熟度を示していることがわかります。何がこの問題を引き起こしているのか、そしてその解決のために何ができるのか。調査を掘り下げてみよう。

金融サービス企業は高価値の資産を保有しているため、標的にされやすい
銀行、保険会社、証券会社、クレジットカード会社などの金融サービス企業は、大量のペイメントカード情報やその他の機密データを保管しているため、特に攻撃を受けやすい。そのため、政治的な意図を推進するために攻撃を行う国家活動家や、金銭的な利益に飢えたサイバー犯罪者の影響を受けやすい。他のセクターと比較して、金融サービスはサイバーセキュリティ侵害、脅威、データ盗難の三重苦を経験している可能性が高い：全セクターの75％に対し、金融サービスは78％である。

ハイブリッド業務への移行が攻撃対象とセキュリティリスクを増大させた
他のほとんどの業界と同様に、金融サービス業界も、セキュリティ上の欠点があるにもかかわらず、あらゆる利点を求めてハイブリッド業務を受け入れてきた。攻撃対象領域の拡大、SaaSアプリケーションの問題、シャドーITは、ハイブリッドワークへの移行がセキュリティリスクを増大させた具体的な要因の一部である：

• 2019年、利用されているパブリック・クラウド・サービスの平均数は20だったが、2022年には31になる。3年間で50％以上の増加だ。
• SaaSアプリケーションやサービスを利用している企業では、セキュリティ問題を経験した企業の割合が、2019年の82%から2022年には95%へと13%増加している。SaaSのセキュリティ問題による脅威のリスクは、他の業界よりも金融サービスに影響を与えている。
• 金融サービス企業の82％が、シャドーITがデータの安全性を損なうことを認めている。

このような理由から、金融サービス企業には、ウェブ、クラウド、プライベート・アプリケーション全体でデータを保護するために、ゼロ・トラストの原則に基づくデータ中心型security service edge （SSE）クラウド・セキュリティ・プラットフォームを採用することを推奨する。この業界におけるSaaSの問題は、データに対する可視性と制御の必要性が高まっていることを示している。SSEプラットフォームは、一貫したコントロールとポリシーでその能力を提供します。

金融サービスは高度に規制された業界である
この業界が直面するセキュリティ・リスクの高まりに加え、コンプライアンスがさらに複雑さを増している。セキュリティ担当役員は、採用する新しいテクノロジーやセキュリティ・ツールが、増え続ける規制コンプライアンスを管理する組織の能力にどのような影響を与えるかを念頭に置いておく必要があります。コンプライアンスを簡素化するために、金融サービス企業には、従業員に合わせて迅速に拡張でき、コンプライアンス報告を合理化できる統合テクノロジーを備えたソリューションを探すことをお勧めします。

サイバーセキュリティの人材確保は継続的な課題である
どの業界も熟練したセキュリティ専門家を見つけるのに苦労しているが、金融サービス業界はさらに痛みを感じている。同業界の回答者の96％が、熟練したセキュリティ・スタッフの不足がクラウド・コンピューティングの安全な利用に影響を及ぼしていると回答している。これは、全業界の同業者の92％が同じ課題を抱えていることと比較して高い。

この問題に対処するため、金融サービス企業には、自動化されたツールやプロセスを活用するクラウド・セキュリティ・プラットフォーム・ソリューションを見つけることをお勧めする。これにより、誤検知を減らし、データ分類の再作成などの冗長な作業をなくすことで、既存の担当者の作業効率を高めることができる。また、一元管理されたプラットフォームは拡張性がはるかに高く、ウェブやクラウド全体でポリシーを作成・拡張するプロセスを簡素化する。

他の業界と同様に、金融サービス企業においても、機密データがクラウド上で保存または使用される場所を誰が監視・管理するかについて、不透明な部分がある可能性があることを示している。平均して、これには2つの役割（CIOとCTO）が関与している。しかし、金融サービスの回答者の35%から42%は、クラウドセキュリティはITマネージャーやITセキュリティマネージャーの仕事でもあると答えている。役割の明確な定義や、誰が何を所有するかが欠けていると、セキュリティ・ギャップや脆弱性につながりかねない。これは、クラウド・セキュリティに対する統一された統合アプローチが、特に金融サービスにとって価値があるもう1つの理由である。

金融サービス企業のクラウドセキュリティを管理する人たちの名誉のために言っておくと、彼らはまた、曲線の先端にとどまる方法を積極的に探しているようだ。例えば、金融サービス企業は他の業界よりも、cloud access security broker (CASB)ソリューションを利用して、IT部門以外の承認されたクラウド利用を監視する傾向がある。

CASB、data loss prevention (DLP)、ファイアウォール、ウェブゲートウェイなど複数のセキュリティ技術を1つの堅牢で総合的なシステムに統合したSSEクラウドセキュリティプラットフォームを率先して導入することで、金融サービス企業は、クラウドのメリットを享受しながら、機密性の高い高価値のデータをより安全に保護することができる。

詳しくは、Skyhigh Security クラウド導入とリスクレポートをご覧ください。
金融サービス編

レポートをダウンロードする ブログへ戻る