サステナブルファイナンスのセキュリティ課題
近年、金融業界は多くの課題に直面しています。例えば、新型コロナウイルスの流行によるテレワークの増加により、企業のセキュリティ境界が曖昧になりました。また、ウクライナ・ロシア戦争による国境を越えたサイバー攻撃や二重ランサムウェア攻撃など、金融業界は常に脅威にさらされています。これにより、エンドポイントセキュリティが情報セキュリティの中心的な役割を果たすようになりました。昨年のiThome(https://www.ithome.com.tw)の調査によれば、CIOの年間目標として「セキュリティ強化」と「ITの安定性と一貫性の確保」が上位にランクインし、金融庁の推進する「サステナブルファイナンス」の目標とも一致しています。
このため、金融庁は昨年末、金融行動セキュリティ計画をver.2.0に改訂し、ver.1.0からver.2.0の段階に進んだ上で、金融企業に積極的対応を要求して、前述の新興セキュリティ課題を取り入れたセキュリティ基準の追加を求めました。
具体的な改善策の追加には、セキュリティ担当者が定期的に連絡会議を開き、セキュリティ情報を共有したり、ブレインストーミングをします。国際的なセキュリティ管理基準(例:ISO 27001)の遵守や、ゼロトラストの考え方を導入してネットワークセキュリティを強化してハッカーやランサムウェアの脅威に対処することも求められています。これらの要求事項は、2023年金融監査の重点課題にも含まれており、金融企業やIT・監査担当者にとっては大きな挑戦であり、これらの要求事項を全面的に満たすことは容易ではありません。したがって、セキュリティツールを効果的に活用し、エンドユーザのデータセキュリティを向上させ、ver.1.0からver.2.0で新たに追加されたセキュリティ基準を実施することは、企業の負担を軽減してコンプライアンス実践作業を効率化する上で重要な要素です。ここでは、TSFが金融業界のクライアントを支援する実践的な方法を紹介します。内外を含む全面的に保護措置を提供し、セキュリティガバナンスや監督と管理の要件を実現します。具体的な保護措置には、ファイル書き出しの制御、PC内ファイルのコンテンツフィルタ(個人情報や特定の機密キーワードを含む場合など)、進化した暗号化セキュリティなどが含まれます。
データ保護セキュリティ基準の実施
まず、データ保護の基準を実施するために、一般的なファイル出力のチャネルを洗い出します。例えば、USBメモリ、CD/DVDディスクの書き込み、プリンタ、スマートフォン、メモリーカードなどは日常的に使用される潜在的なデータ漏洩リスクを持つ出力経路です。
USBメモリは持ち運びや使用が非常に便利であり、企業のファイル主要な持ち出しチャネルです。TSFでこれを制御する場合、例えば社内用ではないUSBメモリの場合はデフォルトで禁止するか読み取り専用に設定することで、顧客ファイルの持ち出しを許可することができます。また、社内用かつ情シスに登録されたUSBメモリのみファイル出力を許可したり、ファイルを出力する際は必ず暗号化され、会社内でのみ読み取ることができたりするのも有効です。社内のファイルを外部に提供する場合は、理由を説明して上司の承認を経て初めて平文で書き出すことが許可されるようにすると、ユーザ申請と上司の承認ログも残せます。
ファイル出力は、内容のフィルタリングも行います。個人情報が含まれているか個人情報の数が多すぎる場合は、直接ブロックします。個人情報の有無に関わらず、すべての書き出し操作を記録すべきです。また、特定のキーワード(機密文書や社内プロジェクト名など)が含まれている場合は、書き出しログに追加タグを付け、上司や監査担当者が後で照会してアクティビティを把握できます。これらのメカニズムはUSBメモリに限らず、さまざまなネットワーク転送のアクションにも適用できます。例えば、LINEやSkypeなどのインスタントメッセンジャーを使用してのファイル転送、Outlookメールの添付ファイル送信、GmailやYahooなどの個人用のWebメールでのファイル送信なども含まれます。
また、金融デジタル化のエンドポイントデバイスであるスマートフォンは、すでに銀行の日常業務に組み込まれています。金融デジタル化の利便性を享受すると同時に、情報漏洩のリスクにも配慮する必要があります。会社のファイルをスマートフォンに転送する必要のない場合は、TSFでスマートフォンへの会社ファイル転送を禁止できます。必要な場合は、すべての転送記録とファイルのバックアップを保持した上で、スマートフォンのファイル転送を監視します。
プリンタで印刷した書類は、一般的に最も会社の管理から外れやすい情報漏洩の経路です。USBメモリの制御と同様に、会社が承認したプリンタのリストを定義して、不明なプリンタや在宅勤務時の個人用プリンタでの印刷を禁止できます。承認済プリンタには記録の保持と印刷ファイルのバックアップに加えて、セキュリティの警告メッセージを透かし(ウォーターマーク)として印刷できます。この透かしには追跡可能な特殊コードを含めることもでき、情報漏洩の場合に印刷者・PC・プリンタの名前・ファイル名などを追跡できます。これにより、印刷を行う当事者が警戒心を持ち、印刷された文書を簡単に関係者以外に漏洩させないようにできます。
識別と暗号化による情報セキュリティの砦の構築
情報漏洩リスクを低減し、さらにPC内のデータを保護します。これらは以下のレイヤーに分けられます。
- ファイルの転送
- データの使用
- データの保存
前半の紹介はファイル転送の保護になりますが、次は使用中と静的に保存されたファイル保護を紹介します。
ファイルを書き出す際、TSFは書き出されるファイルの内容を識別することができます。同様に、事前にPC内のファイルをスキャンして、個人情報が含まれるファイルを検出することもできます。もしそのようなファイルがあれば、自動で指定された場所に移動して、集中的に保管して暗号化できます。ファイルが暗号化されると、TSFがインストールされたPCでのみ使用できます。暗号化されたファイルは紛失したり外部から盗まれたりしても、情報漏洩することはありません。根本からファイルを保護します。金融機関の複雑な環境と多様なユーザを考慮し、TSF暗号化モジュールであるFile Lockerは以下の特徴で利便性を維持しています。
- ダブルクリックで自動的に開き、操作習慣を変えません。
- 暗号化されたファイルは自由に移動でき、保存場所に制限はありません。ユーザの既存のファイル保存習慣を変えません。
- さまざまなOAアプリケーションと互換性があり、導入と教育訓練が容易です。
- クラウドに保存されたファイルも暗号化でき、オフラインモードでも使用できるので、リモートワークに対応します。
さらに、個人情報を含むディレクトリや一般的なディレクトリに関して、アクセス可能な信頼できるプログラムを定義することができます。保護が有効であれば、未知のソフトウェアやWindowsの組み込みプログラムを含むすべてのアクセスが禁止され、ファイルの改ざんを防止します。また、オンサイトやオフサイトの定期バックアップができ、未知のプログラムによる破壊を防ぎます。このセキュリティアクセスとバックアップメカニズムは、エンドユーザのPCだけでなく、Windowsベースのファイルサーバやデータベースサーバにも適用でき、コアとなる金融データを保護します。
シャットダウンした後の静的データも油断はできません。多くのデータ保護ソリューションは、シャットダウンした後に監視と防御機能が終了してしまいます。これにより、ハードウェアからのデータ漏洩リスクが防げません。例えば、同じモデルのハードディスクに取り替えられるなど、シャットダウン後にノートパソコンが紛失してしまう場合があります。そこで、TSFでは2つの暗号化方法を提供しています。一般事務用PCの場合は、軽量なブートセクタ暗号化を使用し、操作利便性とセキュリティを両立させます。機密性の高いPCではBitLockerフルディスク暗号化を使用します。暗号化されたハードディスクは取り出されても会社外部のPCで読み取ることはできず、ハードディスクの取り替えによる漏洩リスクを簡単に解決します。
TSFは上記のように、DLP(情報漏洩防止)、DRM(デジタル著作権管理)などのコントロール技術を統合することで、さまざまなレベルのリスクを効果的に低減し、金融企業の重要なデータを保護します。また、1つのクライアントアプリケーションと管理サーバで実現できるため、システムの導入と管理負担を最小限に抑えられます。さらに、ニーズに応じて段階的に制御を導入することができ、3年間の金融行動セキュリティ計画ver.2.0の推進期間にしっかり対応できます。
※TSFの個人情報フィルタリング機能にはサードパーティのソフトウェアが必要です。