2024年の世界経済は、サプライチェーン圧力の緩和や多くの地域でのインフレ抑制といった追い風と、地政学的な緊張や規制当局による監視強化といった逆風が交錯するなかでも、その力強さは増しています。一方、このような環境のもと、金融サービスのビジネスモデルはその柔軟性が試されており、業界のリーダーに対しては、新たなサイバーリスクやプライバシーへの懸念に対処しながら価値創造のための革新的な手段を模索することが求められています。

このような不安定なマクロ経済の背景は、来年以降も金融機関にさらなる課題を突きつけることになるでしょう。

破壊的テクノロジーの進化の波(たとえば、生成AI、自動化技術、データ基盤、エンベデッドファイナンスなど)は、金融機関に新たな価値創造のチャンスを与える一方で、これまで直面したことのない未知のリスクをもたらすかもしれません。サイバーセキュリティ部門は、これらによって何が起きるのかに注目する必要があります。

また、デジタルの普及によってグローバルの境界が曖昧になり、絶え間なく変化する規制要件に合わせて企業の成長戦略を調整することが難しくなっています。シームレスでパーソナライズされた顧客体験への需要が高まるにつれ、包括的なセキュリティとデータプライバシーの提供という課題の重要性は増し、デジタルアイデンティティ管理はかつてないほど複雑になっています。

さらには、データの急増とクラウドベースシステムの導入増加によりアタックサーフェスが拡大しており、脆弱性管理やインシデント対応について、タイムリーに対処する能力の期待値と現状のギャップが浮き彫りになっています。

このような状況下、サイバーセキュリティ部門とビジネス部門の経営層の間でリスクに関する対話を強化し、将来への準備を整え、レジリエンス、イノベーション、セキュリティ、信頼に根ざした戦略を策定することが重要となっています。

本稿では、金融分野におけるサイバーセキュリティに関する考察を行い、進化する脅威と規制のなかで、これらの課題に責任を持って適切に対処するためのロードマップを提供します。

主要課題1:曖昧なグローバルの境界/規制環境をナビゲートする

金融業界においてイノベーションが加速するなか、各国の規制当局は、企業が成長とガバナンスのバランスを取るためにサイバーセキュリティ基準を見直し、次々に公表しています。企業側からすると、ますますボーダーレス化する世界において、各国の規制当局向けの報告を意識しながら、各地域の規制要件に合わせたセキュリティを維持・管理するという難しい課題を突き付けられていると言えます。

【直面する難題】

多様な規制環境への対応
グローバルな金融機関にとって、絶え間なく変化するサイバーやプライバシーといった規制分野においてもルールを遵守し続けることは重要です。特に、ルールが大きく異なる管轄区域にまたがってビジネスを行っている企業にとっては、ことさら重要な課題となります。

国益とデータ主権への適応
各国が国益確保のためにデータ主権に対する多様な規制要件を設けているため、グローバルなサービス提供が複雑になっています。企業がグローバルなアクセス性とローカルでのコンプライアンスの両方を維持するには、ローカルでのインフラへの大幅な投資と広範な運用変更が必要です。

サプライチェーンのセキュリティコンプライアンス
国境を越えて広がるサプライチェーンでは、国によってサイバー統制や透明性に係る法的要件が異なることに起因した脆弱性が増大しています。すべての関連組織のセキュリティとコンプライアンスを確保するには厳格な審査と監視が必要であり、そのため複雑さとコストが一層増すおそれがあります。

グローバルな環境下でのインシデント報告
国・地域によってインシデント報告要件に違いがあります。進化するサイバーセキュリティの要件を取り込みつつ、迅速かつ正確な情報開示を行うための、柔軟で効率的な報告メカニズムが必要です。

プライバシー規制への対応
金融機関は、米国証券取引委員会(SEC)の新たなサイバーセキュリティ開示規則やEUのデジタルオペレーショナルレジリエンス法(DORA)への対応に加え、EUの一般データ保護規則(GDPR)や米国カリフォルニア州の消費者プライバシー法(CCPA)などといったグローバルなプライバシー法を遵守するために、グローバルでの整合性を確保しつつ、ローカルでも適用可能なプライバシー管理の導入に取り組んでいます。顧客情報保護と業務の柔軟性のバランスを取ることは、依然として重要な課題です。

【推奨される施策】

レジリエントなコンプライアンスフレームワークの構築
国境を越えた複雑な規制に対応するには、機敏で洗練された規制コンプライアンスへのアプローチが求められます。金融機関は、このアプローチによって新たな規制に迅速に対応しながら、グローバル規模でビジネスの柔軟性を高めることができます。

データ主権への対応強化
地域ごとのデータ主権確保に求められるさまざまな要件を備えたローカルのデータセンターおよびクラウドテクノロジーに投資することで、金融機関はローカルの規制に適応しつつ、異なる司法管轄区にまたがるデータ主権要件を効率的に満たすことができます。

サプライチェーンのセキュリティ強化
金融機関は、サプライチェーン内に強固なセキュリティ審査と継続的な監視プロセスを導入することで、サイバー脅威や規制の変化に対する業務基盤の適応力を強化できます。

コンプライアンス自動化のためのテクノロジー活用
AIやブロックチェーンなどの画期的なテクノロジーを活用し、煩雑なコンプライアンス作業を自動化することで、人的ミスのリスクを低減し、インシデント報告やプライバシー管理の効率を上げることができます。

グローバルなプライバシー基準の確立
金融機関が、高度でグローバルなデータプライバシー基準の開発と実装に率先して取り組むことは、ビジネス上の優位性獲得につながります。その結果、セキュリティや顧客信頼の文化を醸成させるだけでなく、エコシステム全体に対して共通のベンチマーク(判断基準)を提供することが可能となるでしょう。

金融機関にとって中心的な検討課題は、レジリエンスとビジネス継続性を確保するために、現在のビジネス環境をいかに効果的に乗り越えるかにあります。多国籍企業が新たなトレンドを率先して取り入れることが多い一方で、中小規模の企業はこのような複雑な課題に取り組む準備ができていないことがよくあります。しかし、企業はすべてを自社でゼロから取り組む必要性はありません。パートナーシップを通じて共通の知見を獲得し、進化するグローバルな規制要求に対してセキュリティ態勢を強化することができるのです。

主要課題2:自動化によるセキュリティ強化

デジタル化の進展に伴う課題が急速に拡大しています。クラウドベースのシステムの増加、リモートワークへの移行が進むにつれて、サイバー攻撃の対象も拡大しています。その結果、金融機関が保護すべきデータや管理すべきセキュリティアラートやイベントなども急増しています。サイバーセキュリティ部門が日々増加する脅威を速やかに検出し、対応事項と優先順位を特定するには何が必要でしょうか。最も効率的な方法の1つが、自動化です。

【直面する難題】

リソースの制約と膨大なセキュリティイベント情報
金融機関は、急速に増大するサイバー脅威とサイバーセキュリティ専門家の深刻な不足という2つの課題に直面しています。こうした課題のために、膨大な情報を処理しながら、脅威を管理・検知・対応することの難しさが増しています。その結果、セキュリティオペレーションセンター(以下、SOC)は、監視・分析の対象となる大量のセキュリティアラートへの対処に悩まされています。

脆弱性の増加
テクノロジーの急速な進化とソフトウェアに内包されるさまざまな欠陥によって、これらのテクノロジーを活用する金融機関は多くの脆弱性を抱えることとなり、対応の優先順位付けや、セキュリティパッチ適用等への負担が増しています。脆弱性管理プロセスの高度化を目指そうとする組織において、キャパシティの制約が効果的でタイムリーな変革を妨げています。

IT資産インベントリのメンテナンス
適切に管理されたIT資産インベントリは、さまざまなサイバーセキュリティプロセスの土台になります。IT資産インベントリでは、IT資産の機能情報や所有者情報、資産の重要性等といったセキュリティ管理上有用な情報を保有しているからです。しかし、金融機関によってはIT資産インベントリデータが古い、あるいは不完全なために、リスクやセキュリティ管理プロセスの有効性が阻害されています。

タイムリーなインシデント対応
セキュリティアラートの増加とプラットフォーム間の複雑な相互依存関係がサイバーインシデント対応の遅れにつながっています。SOCがこのような作業負荷に直面し、各インシデントの状況把握と対応が遅れることによって、セキュリティ侵害による被害が一層深刻化するおそれがあります。

【推奨される施策】

機械学習を利用した脆弱性管理
情報量の増加やリソース制約といったボトルネックを包括的に解消するために、脆弱性管理プログラムを刷新することが推奨されます。Policy-as-Code(セキュリティポリシーをコードとして管理する)アプローチに基づく自動化ソリューションを活用することが、脆弱性の重要度に応じた優先順位付け、リソースの割り当て、是正対応に役立ちます。

IT資産管理ワークフローの自動化
IT資産の自動検出プロセスにより、IT資産のメタデータや所有者情報をより効果的に検証し、IT資産インベントリを継続的かつリアルタイムに更新することで、正確なセキュリティ対策を実現できます。

プロアクティブなインシデント対応管理
潜在的なネットワーク脅威を自動的にブロックし、対応するためのプロアクティブなインシデント対応が重要となります。自動化された高度な封じ込め・遮断対策を導入することで、悪意のある活動の拡散を抑制し、セキュリティインシデントの影響を最小限に抑えることができます。

セキュリティアナリストによるトリアージの自動化
機械学習を利用して、複数のソースにまたがるイベントを関連付けることで誤検出を減らし、重要な問題を管理者に迅速にエスカレーションします。

サイバーセキュリティ運用モデルのデジタル化に伴い、SOCはプロセスの自動化・高度化を進めていく必要があります。プロセスの自動化により、金融機関は金融エコシステムを保護し、脆弱性を評価し、ベンダーやサプライヤのサードパーティリスクを明らかにすることができます。AIや機械学習の活用により、金融機関はリスクの高い分野の重要なセキュリティプロセスに集中することができ、サイバーセキュリティ部門はより迅速で効率的な対応ができるようになります。

主要課題3:サービス横断のシームレスなID管理

今日、B2C(Business-to-Consumer)セキュリティとB2B(Business-to-Business)セキュリティの境界はかなり曖昧になっています。交錯するビジネスモデルに後押しされ、金融機関にとってIDをシステムやサービスごとに独立したものとするのではなく、全体的な観点から捉えることが重要になっています。これは、フェデレーション環境(認証の連携・一元化を実現)や、プライベート、パブリック、またはマルチクラウドコンピューティング環境に適した新しいレベルのレジリエンスを含むIDとアクセス管理(IAM)モデルに向けた重要な原動力になります。

【直面する難題】

顧客IDとアクセス管理(CIAM)戦略
デジタルバンキングと金融サービスの成長に伴い、シームレスな顧客体験をサポートするだけでなく、顧客IDを保護し、信頼を強化する堅牢なCIAMソリューションに対するニーズが高まっています。

不正の検出と防止
金融業界では、高度化する不正への対策が常に課題となっています。これにより、異常なアクセスパターンとトランザクションを識別するためのID分析と振る舞い分析の必要性がますます高まっています。

規制へのコンプライアンスとアイデンティティ管理(IM)
顧客確認(KYC)、マネーロンダリング防止(AML)、プライバシー保護(例:GDPR、CCPA)などの厳格な規制要件に対応するため、多くの金融機関はコンプライアンスを確保しながらデジタルアイデンティティを管理することに苦慮しています。

権限の乱立と管理
金融機関における顧客と従業員のさまざまなデジタルプラットフォームでのやり取りは、権限の無秩序な拡大や、セキュリティの脆弱性増加につながります。アクセス権の管理は複雑で、エラーが発生しやすくなり、金融業界はID窃取や詐欺の格好の標的となっています。

IDに焦点を当てたアタックサーフェスの管理
金融機関全体で標準化された認証アプローチが存在しないため、ユーザーエクスペリエンスとセキュリティプロトコルが複雑になっています。認証手法の多様化は混乱を招き、セキュリティ対策の脆弱化、サイバーリスクの増大につながります。

ディープフェイクの増加
悪意のある者がコンテンツを容易に変更できることは、あらゆる業界・分野のビジネスにおける脅威です。世界中の公的および民間組織は、この脅威に対抗するために、コンピュータの性能や処理能力、フォレンジックアルゴリズム、監査プロセスおよび人材を適切に維持する必要があります。

【推奨される施策】

セキュリティとエクスペリエンスの向上
生体認証、シングルサインオン(SSO)、多要素認証(MFA)などのツールを用いて利便性とセキュリティのバランスをとることで、顧客体験の向上、ひいては顧客エンゲージメントやロイヤルティの向上につながります。

セキュリティ監視
ID分析の活用から不正を検出し、顧客と資産を保護することができます。このプロアクティブなアプローチは、データプライバシーを優先する顧客への訴求力となり、市場における重要な差別化要因となります。また、不正検出のみならず、特権アクセス、内部脅威およびノンヒューマンIDについても、拡張検出と応答(XDR)を通じて従来のセキュリティインシデント対応プロセスに結び付けることが重要です。

規制に基づく変革
コンプライアンスプロセスを自動化し、規制リスクを軽減する効果的なIMテクノロジーソリューションを導入することで、顧客の信頼を獲得し、顧客をつなぎとめ、関心を高めることができます。

権限管理の自動化
権限管理の合理化・自動化は、運用効率の向上に加え、人的ミスの削減および内部脅威の低減に役立ちます。金融機関は、高度なIDガバナンスおよび管理(IGA)テクノロジーソリューションを活用することで、安全でコンプライアンスに対応した使いやすいアクセス管理を実現できます。

統一されたアイデンティティ
幅広いIMテクノロジーソリューションを活用し、認証方法を業界全体で標準化することで、業界でのサイバー脅威への防御や、イノベーションの推進を強化できます。

金融サービス分野におけるサイバーセキュリティ脅威の実情と教訓

 

最近のサイバー事例で、サイバー攻撃者が主要な金融ネットワークの脆弱性を悪用して不正な送金要求を作成し、多大な金銭的損失をもたらしたというものがあります。これらの侵害は、機密データを安全にファイル転送する仕組みに大きく依存している多くの金融機関に対して、多大な影響を与えました。

機密性の高い財務情報の漏洩や、サービスの停止、あるいは重要なプロセス機能に遅延を発生させるおそれがあったため、影響を受けた組織にとって深刻な脅威となりました。これは、顧客のプライバシーとセキュリティを危険にさらすだけでなく、組織を法的および規制上の影響にさらすことにもなりました。

影響を受けた企業は、侵害の程度の調査や侵害されたデータの特定、また潜在的な運用上の影響の評価に、多大なリソースを割り当てることを余儀なくされました。また、さらなるセキュリティ侵害を防ぎ、クライアントの信頼を回復するために、追加のセキュリティ対策を実施する必要がありました。

この事例は、金融サービス業界全体に対する警鐘であり、強固なサイバーセキュリティ対策と積極的なリスク管理戦略の必要性を浮き彫りにしました。定期的なソフトウェアアップデート、徹底したセキュリティ評価および継続的で包括的な従業員トレーニングの重要性がよくわかります。

金融機関は高度なサイバーセキュリティとIM対策を積極的に採用していますが、変化に対応するためにそれらの導入や準備を加速する必要があります。高レベルの保証を備えたデジタルIDが現実的なモデルへと進化することで、企業は個人を特定しにくい情報を収集、保存、処理できるようになり、顧客にとっては明らかに好ましい結果となるでしょう。

金融セキュリティのプロフェッショナルが取り組むべき最優先事項

  • 国・地域を超えて常に進化するさまざまな法律に適応できる、規制コンプライアンスのための高度なフレームワークを開発し、導入する。
  • データ主権の要件を満たすローカルインフラストラクチャおよびクラウドテクノロジーと投資を連携させる。
  • サプライチェーンセキュリティのための厳格な審査および監視プロセスを確立する。
  • AIやブロックチェーンなどの革新的なテクノロジーを活用して、煩雑なコンプライアンス作業を自動化する。
  • 自動化により、効果的な脆弱性管理とプロアクティブなインシデント対応を実現する。
  • セキュリティと顧客体験を向上させるために、CIAM戦略を強化する。
  • 高度な不正検出と防止のためのID分析機能を組み込む。
  • 業界全体で標準化された認証方法を推奨する。

KPMGの支援

KPMGのプロフェッショナルは、クライアントのサイバーセキュリティプログラムを評価し、ビジネスの優先事項に沿ったものにするだけでなく、金融機関の高度なデジタルソリューションの開発支援、その実装、進行中のリスクの監視についてのアドバイス、サイバーインシデントへの適切な対応にかかる助言などを行っています。

KPMGのプロフェッショナルは、金融機関の喫緊のサイバーセキュリティのニーズに先進的な考え方を適用し、目的に合ったカスタム戦略を開発します。サイバーセキュリティクラウドセキュリティ評価、プライバシーの自動化、サードパーティのセキュリティ最適化、AIセキュリティ、マネージドディテクション&レスポンス(MDR)を含む幅広いテクノロジーソリューションを提供します。

※本稿は、KPMGインターナショナルが2024年5月に発表した「Cybersecurity considerations 2024:Financial services sector」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
Cybersecurity considerations 2024:Financial services sector

お問合せ

関連リンク

本稿に関連する、各記事、サービスを紹介します。