原文はこちら レギュレーションアジア.
サイバー攻撃が増加し、あらゆる業種のあらゆる組織が被害を受けている中、高額で恥ずかしい、そして最終的な利益に影響を与えるデータ漏洩の脅威は非常に現実的です。問題は小さくなるどころか、腫瘍のように大きくなっています。
私はよく、どの組織がこの問題に取り組み、サイバーセキュリティとアプリケーションセキュリティのベストプラクティスを巧みに操っているのか、その例を聞かれます。その中で、私はある一つの答えにたどり着きました。それは、「金融業界が他よりも優れた方法で取り組んでいる」ということです。
規制について金融業界のサイバーセキュリティにおけるリーダーシップの原動力となるもの
金融機関がAppSecの分野で活躍する理由の一つは、サイバーセキュリティ攻撃やデータ盗難が成功した場合に生じる「壊滅的な影響」は言うに及ばず、世界的、地域的、国家的な規制当局の懸念が(少なくとも部分的には)後押ししていることです。
BCBS(Basel Committee on Banking Supervision:バーゼル銀行監督委員会)は、12月に報告書を発表しました。この報告書では、複数の国・地域で観察されている銀行、規制、監督機関のサイバーレジリエンスの実践状況を詳細に説明しています。この報告書では、サイバーセキュリティのスキルが不足していることが指摘されていますが、これに対応するために特定のサイバー認証を実施している国はごく少数にとどまっています。
"報告書では、「一部の国・地域では、IT人材と情報セキュリティ機能の責任について、特にサイバーセキュリティ人材の訓練と能力に注目したITに特化した基準を設けている」としています。しかし、ほとんどの国・地域では、銀行のサイバー人材のスキルやリソースを監視するための監督手法を導入する「初期段階」にあります。
ほとんどの場合、規制スキームは規制対象企業にリスク管理を要求していますが、このリスクをうまく軽減するための明確な道筋があることはほとんどありません。規制当局は、サイバーセキュリティ人材のスキルとリソースに対処するための特定の要件(あるいは実際にはベンチマーク)を設定していません。ほとんどの規制当局は、金融機関のサイバーセキュリティ人材を実地検査によって評価しています。実地検査では、自己assessment のアンケートが一般的で、トレーニングプロセスが特に精査されますが、ITスタッフの役割と責任を具体的に規定している規制は、ごく一部の管轄区域にしかありません。端的に言えば、エラーの余地は大きく、正しいトレーニングとその後のassessment のスキルを重視することはむしろ少ないのです。
日本と韓国では、公的機関が適切なサイバーセキュリティ人材管理に関するガイドラインを定めている。しかし、他のほとんどの国では、サイバーセキュリティ人材管理に関する規制上の要件は、監督者の期待に限られており、監督者が規制対象の組織におけるサイバーセキュリティのスキルやスタッフのトレーニングについて、assessment 。
サイバーワーカーのスキルやコンピテンシーを認証するための専用フレームワークを発行しているのは、香港、シンガポール、英国だけです。コンプライアンス」や「認証」という言葉は、優れたソフトウェア機能を構築することを使命とする、創造的で問題解決型の一般的な開発者の背筋を冷たくする傾向がありますが(彼らにとって、セキュリティはしばしば他人事、つまりセキュリティチームの問題と見なされます)、多くの規制対象企業が保有する膨大な量の機密データは、スキルを適切に検証するのではなく、「思い込み」で人の手に委ねるにはあまりにも貴重です。
幸いなことに、多くの銀行や金融機関は、必ずしも明確な規制の道筋に頼ることなく、このことを認識しています。規制は、最終的に期待される結果(すなわち、安全なソフトウェア)の概要を確かに示していますが、これを達成するには、開発者を訓練し、既存のAppSec専門家との関係を育み、責任と所有権を生む積極的なセキュリティ文化を構築することによって、サイバーセキュリティのスキル不足を回避する必要があることを認識しています。
なぜ金融業界はサイバーセキュリティの「X-factor」を持っているのか?
銀行、金融サービス、保険業界の企業には、いくつかの要素があり、それらはサイバーセキュリティの分野でリーダーシップを発揮するための強みの柱となっている。
当然のことながら、世界の金融(言うまでもなく、何百万もの非常に機密性の高いデータ記録)の門番として、彼らは一般的にコンプライアンスを重視し、規制された組織であり、最新のガイドライン、規制、要件が期待され、意味のある方法で計画されています。その結果、彼らはサイバーリスクを軽減するための進化したニーズにカモのように対応し、最も厳しいサイバーセキュリティのベストプラクティスポリシーと、潜在的な攻撃に対するエクスポージャーを軽減するためのエンドツーエンドのプロセスを誇っています。
では、金融機関は他の金融機関と何が違うのでしょうか。私の経験では、金融機関は、AppSecの専門家やペネトレーション・テスターだけでなく、大規模で世界中に散らばっている開発チームのための包括的なトレーニング・プログラムの必要性を認識し、それにリソースを割いて、他の企業よりもセキュリティ意識を高めるための基礎を築いています。
ほとんどの組織では、サイバーセキュリティは比較的新しいものであり、金融機関が安全でセキュアなソフトウェアを提供するために、真にオープンで革新的な取り組みを行っていることは、とても新鮮です。多くの金融機関では、問題を解決するだけでなく、一般的に安全なコーディングの重要性を理解するために、教室を飛び出して実践的で適切な学習体験を提供する魅力的なトレーニングによって、開発コホートのスキルアップを図ることが有益であると考えています。
結局のところ、セキュア・コーディングは、開発者とAppSecチームの間に強固で機能的な関係を構築し、企業内で強固なセキュリティ文化を維持するための重要な要素となります。また、セキュリティプログラムを成功させるためには、セキュリティの専門家でなくても、主要な利害関係者が参加し、そのメリットを実感できるようにすることも重要な要素です。
金融機関は、経営陣とのコミュニケーションがうまくいっている傾向があり、セキュリティプロセスは「決めたら終わり」ではなく、使用されているテクノロジーと同様に迅速に進化し、変化するリスクに対応しなければならないことを、トップレベルの意思決定者に理解させています。
今は時間とお金がかかるかもしれませんが、コミットされたコードの脆弱性を修正するには30倍のコストがかかるため、一からのトレーニングを含む包括的なセキュリティプログラムは、長期的にお金を節約することができます。
増え続けるリスクに追いつくためのセキュリティ基準が始まった
PCISecurity Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、あらゆる分野のガイドラインを遵守することを支援しています。PCI Security Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、すべての分野のガイドラインを守ることを支援しています。
しかし、当社の金融業界のお客様の多くは、現行の PCI Security Standards Council のガイドラインをも凌駕していると言わざるを得ません。このガイドラインでは、開発者に対するトレーニングを推奨していますが、(先に述べた規制情報の他の例と同様に)特定の種類や、トレーニングが効果的であったことを示すために満たすべき一定のベンチマークを指定していません。
SQLインジェクションやクロスサイトスクリプティング(XSS)などの多くの脆弱性が20年以上も放置されている(2019年になっても問題を起こしている)中、すべてのトレーニングが同じではなく、また効果的ではないことは明らかです。銀行やその他の金融サービス企業は、ゲーム化された実践的なセキュアトレーニングを採用することで、はるかに優れた成果を上げており、悪用されると大惨事を引き起こす可能性のある脆弱性を実際に減らしています。
例えば、米国の銀行であるCapital One社は、革新的なTech Collegeと認定制度の一環として、ゲーミフィケーションを活用したトレーニング技術を導入しています。最近行われたウェビナーで、Capital OneのCybersecurity & Cloud Computing Education部門のディレクターであるRussell Wolfe氏が語ったところによると、自主的なトレーニングプログラムとコーディング(tournaments )は瞬く間に人気を博し、認定を受けて他の人のスキルアップを支援したいという前例のない需要と仲間からの有機的なモチベーションを獲得しました。
サイバーセキュリティの従業員が十分な訓練を受けていることを保証するために、規制当局は何ができるか?
世界中の規制当局は、既存のサイバー規制ポリシーやガイドラインにおいて、私たちのデータを保護する責任者が満たさなければならない、認められたトレーニング方法や基準を示すだけで、「もう一歩先へ進む」ことができます。現在、ほとんどの規制方針では、トレーニングの必要性が一般的に言及されていますが、規定のトレーニングを受けた者が、サイバー脅威との戦いを真に支援するために必要な内容や技術を吸収しているかどうかを確認するフォローアップはほとんどありません。
しかし、MAS(シンガポール金融管理局)が最近発表した「テクノロジー・リスク・ガイドライン」の最新版に、セキュリティ意識向上のためのトレーニングプログラムと、安全なソフトウェア開発のベストプラクティスの採用が盛り込まれたことは心強い限りです。このガイドラインが施行されると、金融機関はソフトウェア開発者に対して、ソフトウェア開発時にセキュアコーディング、ソースコードレビュー、AppSecテストの基準を適用するためのトレーニングを行うことが義務付けられ、バグや脆弱性を最小限に抑えることができるようになります。
私にとっては、実際に使われている技術を使って開発メンバーをトレーニングすることは、最も魅力的で、彼らの仕事に関連していると同時に、すべての組織が手遅れになる前に強固なセキュリティ文化を作り上げるための基礎を築くことになります。