これからはオープンバンキングの時代: ネットワークのセキュリティを確保する5 つの方法

財務データがさまざまなアプリケーションで共有されるようになり、消費者の消費、貯金、口座管理活動が変わってきています。本稿では、金融機関が次世代の銀行業務のセキュリティを確実なものにする方法をご説明します。

オープンバンキングは金融サービスのあり方を大きく変容させています。金融データを API (アプリケーションプログラミングインターフェース) を介して共有することの代名詞となったオープンバンキングは、移動中の口座管理、オンラインでのローン返済、AI によるデジタル予算管理アシスタントなどに代表される消費者向け金融サービスの拡大で代表される、金融業界のパラダイムシフトの原動力です。

このようなイノベーションが一斉に開花することは、金融機関にとってクロスセルや消費者データに基づいてカスタム化した金融商品が販売できる、これとない機会です。しかし、銀行のセキュリティ担当者の観点から見ると、オープンバンキングのオープンなアーキテクチャは、セキュリティ上の新しい課題となっています。しかも、データ保護規制による個人情報に関する要件 - 例えば 欧州の一般データ保護規則 (GDPR) - などを考慮に入れると、金融業界の情報セキュリティ担当者は、拡張し続けるアタックサーフェスを効果的に防御する方法を模索しなければならない、というとてつもない任務を背負っていることが明らかになります。

オープンバンキング : ネットワークのセキュリティを確保する 5 つの方法

オープンバンキングのセキュリティリスクの管理に役立つ 5 つの基本的な原則を以下に解説します。


1. 従来の活動範囲にとらわれずに環境全体を継続的に評価すること。 新しいオープンバンキングの取り組みが追加されると、同時にサイバー空間にリスクが露呈されるギャップが派生し、攻撃者による悪用の機会が作り出されます。悪意のある外部者は、さまざまな環境を幅広く偵察し、もっとも簡単に侵入する方法を探る一方、大多数の旧式の脆弱性管理プログラムは従来の IT 環境しか監視できません。つまり、セキュリティチームには、クラウドや運用技術 (OT) 関連の資産などアタックサーフェスの最も動的な部分に潜む脆弱性が見えないということです。資産の種類や場所に関わらず、すべてを継続的に評価できる堅牢で柔軟性の高い脆弱性管理ソリューションを使えば、その可視性が改善できます。
2. 総合的な観点から最も重要な資産を保護すること。 コンプライアンスの枠組みとゼロトラストのアプローチを手始めに導入するのは有用ですが、どちらも完全に問題を解決することはできません。オープンバンキングの取り組みを保護するには、複合的なアプローチが必要です。アクセス管理に権限を設定して戦略的に使えば、重要システムや重要な内部データへのアクセスが制限できます。Active Directory 内の不適切な設定を修正すれば、万が一侵害されても攻撃経路の遮断が可能です。「ジャンプボックス」などとも呼ばれる管理者用のセキュアなワークステーションを配備すれば、特定のセキュリティゾーンや信頼できない環境でのデバイスのアクセスやタスクの実行を管理することができます。オープンバンキングのコンピューター環境はより複雑で分散されているので、以上のような安全処置があれば、攻撃者が管理者の認証情報を狙って盗取することをいくらか阻止でき、重大な被害に至ることが避けられると想定できます。
3. 最重要資産に影響のある最大のリスクにまず注力すること。「優先順位付けの危機」をすでに経験している多くのサイバーセキュリティ部門にとって、オープンバンキングの環境はその状況をさらに悪化させます。セキュリティ責任者は、重大な脆弱性を効果的に優先順位付けできないことが多いようです。Tenable Research によれば、脆弱性の 3 割は修正されないまま放置され、評価から修正までにかかる平均日数は 60 日。これは、大手企業での重大な脆弱性を入れた数字です。脅威インテリジェンス、脆弱性調査、確率データなどを活用すれば、防御側は分散されたアタックサーフェスの重大リスクの大多数を考慮し、攻撃者がもっとも悪用すると考えられる全体の 3% の脆弱性に集中することができます。
4. サードバーティのパートナー間のリスクを積極的に管理すること。 技術投資の 1 件 1 件が、セキュリティに長期的に影響します。オープンバンキングの環境では、 CASB (クラウドアクセスセキュリティブローカー) を使って接続されたアプリや SaaS アプリのセキュリティを確保することが絶対に必要です。このような仕組みを強制すれば、銀行と外部のベンダーにまで及んだコンプライアンスとアクセスポリシーの管理が可能になります。そればかりでなく、構成監視、セキュリティやデータ損失の予防もサポートされ、さらにクラウドセキュリティのスキャン機能を活用すれば、効果が検証できます。すべてのアプリケーションを 1 つの集中アイデンティティおよびアクセス管理ソリューションに統合するように進めてください。統一ソリューションは顧客データの保護に役立ち、また、コンプライアンスの集中監視プラットフォームとしても機能します。
5. 高度の透明性に徹し、信頼を深めること。 オープンバンキングでは、企業がどのように消費者データを使うかについてより高い透明性が要求されます。この考え方は、カリフォルニアプライバシー権法やブラジルの個人情報保護法などの最近の個人情報保護法令に包含されており、欧州の GDPR や決済サービス指令 2 (PSD2) にその原型がうかがえます。消費者が十分な情報に基づいて商品を選択できるように、データの収集、保管、使用方法について透明に情報を提供して消費者との信頼を構築することはベストプラクティスです。消費者はオープンバンキングの恩恵を受けられるばかりでなく、個人データを自分でコントロールできるという安心感を得ることができます。

まとめ

オープンバンキングの時代は今までにない多量の消費者データにアクセスが可能になり、そのため、サイバー犯罪者にとって「オープンターゲット」にもなっています。消費者の信頼を維持し、データ侵害があった場合の多額の罰金を避けるために、金融機関は、進化し続けるセキュリティ脅威を管理する効果的な方策を構築する必要があります。すべての資産を継続的に監視すること、セキュリティ上の弱点を徹底的に洗い出すこと、潜在的なアタックベクトルの緩和などによって、金融機関は常に攻撃者の一歩先を行き、デジタルビジネスの将来を保護することができます。 

もっと詳しく

• オンデマンド ウェビナー : 今日の金融機関が直面するセキュリティの課題

• ユースケース: 金融機関のセキュリティを確保する - オープンバンキングとクラウドコンピューティングから明日のイノベーションまで

• ソリューション概要: 上位 10 行の金融サービス機関が Tenable のリスクベースの脆弱性管理を信頼する理由