金融サービス業界におけるサイバーセキュリティ関連法の状況

    本ページは英語ドキュメントを翻訳したものです。

     


     

    昨年、デジタルの世界が依然として非常に危険であることを示すさまざまな教訓がもたらされました。Risk Based Security が発表した『2016 Data Breach QuickView Report(2016 年データ漏洩クイックビュー レポート)』によると、昨年には 4,149 件のデータ漏洩(公表分)が発生し、42 億件のレコードが漏洩しました。この数字には公表された漏洩しか含まれていないため、総数はこれよりもはるかに多いと考えられます。

    金融業界の SWIFT(国際銀行間金融通信協会)取引システムは、ハッカーがバングラデシュ銀行から盗んだ SWIFT コードを使って一連の取引要求を行い 8,100 万ドルをだまし取ったことで、悪い意味で有名になりました。これは業界で最悪の事例でしたが、より強力なサイバーセキュリティ対策の必要性を示す事例は他にも数多くあります。

    cybersecurity-and-financial-services.jpgサイバー犯罪の世界における昨年のもう 1 つのビッグ プレーヤーはランサムウェアでした。Deloitte によると、2016 年の第 1 四半期だけで、1 日あたり平均 4,000 件超の攻撃がありました。前年のランサムウェア攻撃は 1 日に 1,000 件だったため、これは 300 % の増加です。実際、ランサムウェアは現在、金融業界にとって最大のサイバーセキュリティ脅威とみなされています。

    SANS Institute が最近実施した調査によると、回答した金融サービス企業の 54 % が、ランサムウェアをビジネスにとって最大の脅威とみなしています。また、32 % 超の金融企業が、ランサムウェア攻撃によって 10 万 ~ 50 万ドルの損失を被ったと述べています。

    サイバーセキュリティ、あるいはその欠如は、新聞の見出しを飾るような問題となり、金融機関の評判と収益を脅かしています。これは実際に高リスク高リターンの勝負であるため、今後規制当局がますます大きな役割を果たすようになると予想されます。

    サイバーセキュリティ関連法に関する新たな動き

    サイバーセキュリティに関する立法の最前線で、最近すでに大きな動きがありました。昨年 10 月、主要先進 7 ヵ国(カナダ、フランス、ドイツ、イタリア、日本、英国、米国)は、世界の金融セクターをサイバー攻撃から保護するためのガイドラインに同意しました。それは、ハッカーによる国境を越えたさまざまな銀行盗難の発生を受けてのことでした。

    欧州連合は、防御の強化を企業に強制するサイバーセキュリティ関連規則を承認しました。これは、銀行、エネルギー企業、および主要テクノロジー企業に対して攻撃の報告を要請するとともに、EU 諸国に対してネットワーク セキュリティ問題に協力して対処するよう要請するものです。

    EU の一般データ保護規則(GDPR)は、EU 域内に居住する人々の個人データを処理する組織に(その所在地に関係なく)重大な影響を及ぼします。金融セクターは、毎日大量の個人データを処理しているため、この規則に特別な注意を払う必要があります。GDPR の厳格なプライバシー規則に従わない企業や、従おうとはしているものの十分でない企業は、最大 2,000 万ユーロまたは自社の年間世界売上高の 4 % に相当する金額が罰金として科されます。

    IT 産業が繁栄しているオーストラリアでは、政府と民間企業が協力してサイバーセキュリティに取り組む国家戦略が策定されました。昨年、同国はこの方面に関する主要なリスクおよびイニシアチブについて記述したホワイト ペーパーを発行しました。

    米国の各州は、連邦政府が行動を起こすまで待っていませんでした。National Conference of State Legislatures によると、昨年、米国の少なくとも 28 の州で、サイバーセキュリティに関する法律が検討または導入されました。このような法律や法案の多くが、国のインフラストラクチャや行政関連機関を対象としています。ただし、金融サービス組織を含め、組織の利益を明確なターゲットにしている法律もあります。

    cybersecurity-and-financial-services.jpgたとえば、コロラド州の新しい法律では、州のサイバーセキュリティ協議会を設立して、ポリシーのガイダンスを知事に対して提供することが要求されています。昨年カリフォルニア州が可決した 3 つのサイバーセキュリティ法案のうちの 1 つは、コンピュータ、コンピュータ システム、またはコンピュータ ネットワークにランサムウェアを故意に持ち込む行為を犯罪とみなします。ユタ州はハッカー行為に対する民事処罰を規定しました。ワシントン州はワシントン州サイバー犯罪法を制定しました。

    勤勉さと忍耐

    金融サービス業界は、このような他の積極的な組織と同様に、新しい法令を制定する立法機関や規制当局との対話に参加できます。銀行はこれまでコンプライアンスのみを重視していて、新しいサイバーセキュリティの議論には参加していませんが、今後、サイバーセキュリティ法関連の決定が固まる前に、自身の意見を表明し、このような取り組みに手を貸したいと考えています。

    同様に、規制当局はサイバーセキュリティの専門家から助言を得ることで、サイバーセキュリティのリスクや、対応する技術的制御の実際の能力のほか、法令の適用範囲が広すぎたり狭すぎたりする場合に起こりえる予期せぬ結果について、十分な理解を確保することができます。

    新しいサイバーセキュリティのリスクに対処する規制当局と、このような対話に参加する金融機関のどちらも、該当するすべてのサイバーセキュリティ トピックについて十分なトレーニングを受け、認定を取得 [英語] した人物を確実に議論に参加させる必要があります。こうすることで、対象リスクの技術的現実と、このようなリスクを軽減するために現在利用できる技術的制御について、話し合うための基盤が整えられます。

    また、立法のプロセスには長い時間がかかるため、金融サービス企業は、法律制定までに 3 ~ 4 年のタイム ラグを見込んでおく必要があります。しかし、サイバー犯罪者にはこのようなタイム ラグはありません。そのため、金融サービス企業は先を見越したアプローチを採用し、サイバーセキュリティ法の順守にとどまらない対策をしなければなりません。組織を無数のサイバー脅威からできるだけ守るには、攻撃してくるサイバー犯罪者に劣らない革新性と迅速さをもって、ネットワーク保護の取り組みを行う必要があります。

     

    2017CybersecurityReport_LeadGen_Banner.jpg

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    Tom Gilheany_final_thumb.jpgTom Gilheany は、シスコのセキュリティ トレーニングおよび認定担当プロダクト マネージャです。Fortune 100 の多国籍企業における新規事業に関わった多様な経歴を持っています。Tom はプロダクト マネジメントとテクニカル マーケティング分野に 20 年以上携わり、また 10 年を超える IT および運用部門での経歴を通じて、先進的テクノロジー、サイバーセキュリティ、通信分野で 50 近い製品の発売を指揮してきました。Tom は Certified Information Systems Security Professional(CISSP)であり、MBA を取得しています。また、Silicon Valley Product Management Association と Product Camp Silicon Valley の役員でもあります。

    CLNBanner