Catskill Hudson 銀行

金融組織はサイバーセキュリティの最前線にあり、機密データを任されている一方で、攻撃者に対しては魅力的な標的でもあります。Catskill Hudson 銀行は、業界で最も安全なネットワークを構築することを最優先事項に掲げていました。 同行の目標は以下を含みます：

• 完璧なコンプライアンス監査
• 信用の置ける脆弱性スキャン
• 安定した、リピート可能な操作
• カスタマイズされた、分かりやすいレポート

Catskill Hudson 銀行について

Catskill Hudson は、世界クラスのビジョンをもつ地域社会における銀行です。同行は 1993 年に設立され、技術重視の金融機関を展開し、ビジネス及び消費者カスタマーが発展・成長できるようサポートを行ってきました。本社を New York の Kingston に置き、Catskills、Hudson Valley および首都地域で業務を行っています。同行は、米国連邦金融機関検査協議会 (FFIEC)、グラム・リーチ・ブライリー法、別名 1999年の金融近代化法 (GLBA)、および PCI データセキュリティスタンダード (PCI DSS) の規則と基準に従うとともに、連邦預金保険公社 (FDIC) およびニューヨーク州金融サービス局 (NYSDFS) が執り行う規則試験の対象銀行です。

問題点

副社長兼最高技術責任者である Ted Tomita (テッド・トミタ) 氏は、「この惑星で最も先進的な銀行ネットワークを築く」という目標を持っています。彼は、速く、強靭、冗長かつ安全で、ユニークな最先端ネットワークを築くために、Time Warner Cable Business Class (タイムワーナーケーブルビジネスクラス) と提携しました。デバイスやアプリケーションに付随するネットワークの安全性を追求するためには、最高レベルの脆弱性保護、信頼性の高いコンプライアンス監査、およびカスタマイズ可能な報告を提供できるパートナーが必要でした。金融業界はサイバーセキュリティの最前線にあり、複数のコンプライアンスの要請や、漏洩、ハッキング脅威、フィッシング詐欺、ソーシャルエンジニアリング攻撃に対処しなくてはなりません。「我々は絶対に漏洩してはならない非常に機密性の高いデータを保存しているので、他にはない極めて安全なネットワークが必要なのです」とトミタ氏は説明しています。

Tenable のソリューション

2015 年、トミタ氏は困難な状況に直面しました。 彼と彼のスタッフである 4 人のセキュリティ専門家は、過去に購入したサードパーティ製のセキュリティソフトウェアを使用し、厳重な GLBA 監査のコンプライアンステストを行いましたが、明らかな偽陽性が報告され、全く使いものになりませんでした。コンプライアンスの締切が迫っているなか、トミタ氏は Tenable に連絡して支援を依頼しました。Tenable はわずか 8 日間で Catskill Hudson に Tenable.sc™ サーバーを導入し、Tenable のエンジニアが作成した GLBA ソリューションを実行し、誤検出のないクリーンなレポートを提供しました。Tenable.sc のおかげで GLBA 監査は満点のスコアでした。 このトライアルにより、トミタ氏は Tenable こそが提携したいセキュリティ会社であると確信しました。

その後、Tenable は Catskill Hudson が持つ 3 つの重大な問題点を指摘しました：

チームパフォーマンスを改善するためのゲーム化された脆弱性スキャンとパッチ管理

脆弱性管理とパッチは、優れたセキュリティプログラムの基盤です。Catskill Hudson 銀行のセキュリティアナリストは強制的なスキャナで、ツール、デバイス、ソフトウェア、アプリケーションを毎日、毎分スキャンしています。実際、ネットワークセキュリティの改善に対するチームメンバーの関心を高めるために、トミタ氏は脆弱性管理のゲームを作成しました。彼は、できるだけ多くの脆弱性を見つけ出し修復するようスタッフを促し、一つの脆弱性を修復するごとにポイントを得られるようにしました。セキュリティアナリストは 1 年間、夜間スキャンをチェックし、日中にパッチを当て、修復を検証するためにスキャンを再実行しました。毎朝、脆弱性スコアが入ってくると、トミタ氏はポイントを集計してチームメンバーの成果を把握しました。 Tenable.sc は使いやすく、チームは課題に熱心に取り組みました。

「Tenable.sc は当社のネットワークの真実を語り、我々が説明責任を果たすために、また当社のセキュリティプログラムの成功を取締役会に証明するための見解にさらなる厚みを加えてくれます」

Catskill Hudson 銀行が定期スキャンとパッチを開始すると、トミタ氏は重大な矛盾に気付きました。「弊社の他のパッチ管理ツールはネットワークが正常でパッチが万全であると報告している一方で、Tenable.sc はパッチが欠損していると報告するのです。そこで問題を調査すると、正しいのは常に SecurityCenter で、これが我々のネットワークの真実の声となったのです」とトミタ氏は言います。Catskill Hudson のシステムが監査を受けた時、監査官は彼らが Nessus® と Tenable.sc を使用していて、監査官が信用できる検証およびインサイトを持っていることに感心していました。 

自信のあるコンプライアンス監査

Catskill Hudson 銀行は PCI、FFIEC、GLBA、FDIC、および NYSDFS の複数の要件に準拠する必要があります。Tenable.sc のダッシュボードと Nessus の監査により、コンプライアンス監査が日常的に行われます。この多くの要件のために、トミタ氏は FFIEC の省庁間標準で求められる最も厳しい規制に対応するスキャンを設定しています。FFIEC の標準に対する問題を解決することで PCI 問題の解決にもなります。こうすることで、FFIEC要件に基づいてスキャンすると、すべてのレベルでコンプライアンスが保証されることになります。

Catskill Hudson は、第三者である PCI 認定スキャン業者 (ASV) を年一度の PCI コンプライアンス認証評価に使用しています。 しかし、業者が可能性のある問題点を明確にするのに最長で 1 年も待つのは悪い慣例なので、社内で PCI スキャンを毎月実行し、迅速に処理する必要のある PII (個人情報) の問題点を検出するようにしています。Tenable のポリシー監査を毎月実行することにより、監査官が年一度の評価に訪れる時に想定外が起きることはありません。Catskill Hudson は公式の検証テストにおいて極めて高いスコアを維持しています。

容易にカスタマイズできるレポート

ほとんどの銀行と同様に、Catskill Hudson 銀行も取締役会、経営幹部、IT 運営委員会向けに多数の社内レポートを作成する必要があります。各グループは、それぞれのビジネスニーズに関連する詳細が記載されたレポートを受け取ります。「Tenable.sc はレポート作業を大幅に簡略化してくれます」と取締役副社長兼最高執行責任者である Kevin S. McLaren は言います。実際、Catskill Hudson が使用するレポートはすべて Tenable のレポートです。これは「弊社の他のセキュリティツールのレポートよりもずっと簡単に読める」からです。チームは、さまざまな Tenable のダッシュボードおよびレポートの要素が含まれるカスタムレポートを作成します。視覚的表現も重要です。Tenable.sc レポートは、技術情報を技術者以外の人にそれぞれのビジネス言語で見てもらうのに最適です。

結果

トミタ氏は、Tenable.sc について「Tenable.sc は弊社のネットワークの真実を語り、我々が説明責任を果たすために、また弊社のセキュリティプログラムの成功を取締役会に証明するための見解にさらなる厚みを加えてくれます」と述べています。

Tenable が Catskill Hudson にもたらす主な利点：

• 安定性 – Tenable.sc は Catskill Hudson 銀行にとって非常に信頼できるソリューションです。 「8 時間スキャンを実行して、7 時間経ってから失敗するようなことは起きてほしくありません。Tenable.sc の安定性は他を圧倒するものです」
• サポート – 販売前のデモからお試しを経て現行のカスタマーサポートまで、Tenable はあらゆる面でお客様と共に歩んでいきます。技術面のサポートについては、電話またはメールさえ頂ければすぐに対応します。
• プロのセールス担当者 – Tenable のセールス担当者は、知識が豊富で、応答が早く、Tenable の商品やカスタマーのビジネス需要を理解しています。
• 会社の認識度 – コンプライアンス監査を滞りなく実行します。監査官の間で Tenable は認知されており、Nessus スキャンは信用を得ています。

次のステップ

今年、Catskill Hudson は、ログ修正、イベント管理、そしてセキュリティ体制を「実況」するための継続的な監視を含む包括的なセキュリティソリューションとして Tenable.sc Continuous View™ へのグレードアップを予定しています。

トミタ氏は自身の考えを以下のようにまとめています。「私の基準は非常に高いのですが、Tenable は我々が銀行業界において最も先進的なネットワークを構築するという目標を達成させてくれました」