Skip to content

金融業界におけるDXのセキュリティ対策

By Contrast Marketing

12月 3, 2024

セキュリティ 金融サイバーセキュリティ

    
金融業界におけるDXのセキュリティ対策

金融サービスは、技術革新と、これまで以上に巧妙になっているサイバー犯罪者による脅威の岐路に立たされている。「サイバーセキュリティに携わって25年になるが、これほどひどい状況は見たことがない。」と、Contrast Securityのサイバー戦略担当VPであるTom Kellermannは言う。

このような重大な局面において、現在のアプリケーションセキュリティ(AppSec)のアプローチは機能しなくなっている。 なぜだろうか? 世界銀行財務局の元副CISOであったKellermannは、最近、ウェビナーAWS GFS(Global Financial Services)のDevOpsのプリンシパルセグメントリーダーであるEric Baran氏と、その問題と影響について話し合った。 

以下の点を含め、重要なポイントについて説明しよう。 

1. 現代の脅威の状況では従来のセキュリティの見直しが必要

長期にわたる研究をModern Bank Heistsいうレポートに記したKellermannは、地政学的な緊張が世界中のサイバー攻撃に波及していることに加えて、サイバー犯罪者の新たな動機について説明している。「サイバー犯罪カルテルの手口は、強盗から住居侵入へと変化した」と彼は言う。つまり、「彼らは金融サービス機関が進めるデジタルトランスフォーメーション(DX)を侵害し、乗っ取り、それを利用して、その構成要素であるネットワーク、アプリケーション、クラウドを攻撃する。私たちは、この分野におけるサイバー警戒の方法を変える必要がある。」とKellermannは述べている。

最も憂慮すべき傾向の1つは、デジタルによる内部脅威(インサイダー脅威)の増加だ。従来の監視ツールでは、敵対者がアプリケーションを侵害して機密情報にアクセスするシナリオには無力だ。「もう内部者になる必要はない。攻撃者は、脆弱なアプリケーションを使用してデジタルによる内部取引やフロントランニングを実行する。そして、攻撃者は金融機関から非公開の市場情報を盗み出し、それを市場で利用して自分のポートフォリオに利益をもたらす。」とKellermannは説明する。この変化には、リアルタイムの異常を検出できる新しい種類のツールが必要だ。

「Google Mandiantによると、過去1年間で野放しにされ、悪用されたゼロデイ脆弱性は50%増加している」とKellermannは語る。さらに、アプリケーションは毎日平均800回の攻撃を受けているという。

両専門家は、このような絶え間ない攻撃には、金融機関のセキュリティ対策の積極的な見直しが必要であるとの認識で一致している。現在のアプリケーションセキュリティ対策の限界を考えると、現代の脅威には、アプリケーション層で継続的にランタイムの動作監視を提供するソリューションが必要だ。

「ワークロードをクラウドに移行しながら、従来のツールを最新化する必要性が高まっている」とBaran氏は言う。「セキュリティには今や、アプリケーションロジック、API(アプリケーションプログラミングインターフェイス)、リアルタイム保護を含める必要がある。」

WAF(Webアプリケーションファイアウォール)などの従来のセキュリティ対策や、静的アプリケーションセキュリティテス(SAST)や動的アプリケーションセキュリティテスト(DAST)などのツールを見直す必要がある。Kellermannはその限界を説明する。「WAFは玄関の警備員のようなもの。バックエンドの攻撃や複雑な悪用を見ることができない。」

2. 最も脆弱な部分:アプリケーション層

APIは脆弱性の温床となり、企業や組織を大きなリスクにさらしている。Kellermannは、APIへの脅威について次のように述べている。「API攻撃は爆発的に増加している。それを認識すべきだ。比喩的に言えば、攻撃がどこで終わって、どこで始まるのかは誰にもわからない。APIが侵害されれば、ハッカーはあらゆるものに侵入できる。」と説明し、リスクを軽減するためにAPIとアプリケーションの両方(つまりアプリケーション層)を保護することの緊急性を強調した。

NDR(ネットワークにおける検知と対応)やXDR(拡張型の検知と対応)によるネットワークおよびエンドポイントレベルのテレメトリは成熟しているものの、アプリケーション層の監視は依然として盲点であると、Kellermannは主張する。「これらのツールは、実行時に何が起こっているかを把握しない」と述べ、動作の異常を継続的に監視する必要性を強調した。この進化は、ゼロデイ攻撃や国家規模の攻撃といった現代のサイバー脅威に対抗するために不可欠であり、サイバーセキュリティは「敵と同じように進化」しなければならないと彼は言う。

ソフトウェア開発に20年以上携わってきたBaran氏は、オープンソースの採用とAPI利用の増加によってもたらされた変革について理解しており、「現在、本番環境のワークロードの99%がオープンソースのコンポーネントに依存している」と述べている。SAST、DAST、オープンソースのスキャナーのようなツールは、技術革新を加速させるのに役立つが、同時にリスクや「CISOが対処すべき困難な技術的負債」をもたらす。

脆弱性に悩まされるAPIを本番環境から排除するには、
APIをビルド、テストおよび保護するプラットフォームを使おう

Baran氏は、APIは「オープンソース経済の次の段階」であるとと表現し、変革を促進し、「市場への新たなルート」を提供すると述べている。しかし、現代のソフトウェア配布において、技術革新とセキュリティのバランスを取るためには、「アプリケーション層、API層、コード層」全体で堅牢なガバナンスとランタイム保護が必要であることを強調している。

3. AWSへの移行中と移行後にシステムを保護する方法

金融機関はデジタルトランスフォーメーション(DX)を進めており、Baran氏はこれを巨大な船の方向転換に例えた。AWSのようなクラウドプラットフォームに移行する際に、移行中と移行後のシステムをどのように保護するかというジレンマに直面する。

Baran氏は、AWSでの自身の経験と、金融サービスの顧客がクラウドを導入する際のサポートについて振り返り、AWSのセキュリティに対する基本的な取り組みを強調し、「セキュリティは常に最優先事項である」と述べている。彼は、クラウドがインフラストラクチャとアプリケーションのワークロードの効率を大幅に向上させることについて説明した。しかし、ワークロードを移行すると、特にアプリケーション層のセキュリティとコンプライアンスにおいて、新たな複雑さが生じる。

Baran氏は、「コンプライアンス遵守のための仕組みを自動化する」ことの重要性が高まっていることを強調し、さまざまな業界標準を満たすように管理フレームワークをカスタマイズすることについて触れた。金融業界がAWSのインフラストラクチャの恩恵を受ける一方で、多様なエコシステム全体でコンプライアンスとセキュリティに対する一貫性のある標準化された対策を構築するという課題に直面しており、これらの進化するニーズに対処する上でのAWSの役割が強調されている。

Baran氏は、緩衝材としてランタイムセキュリティを提唱した。「それは、タイタニック号を旋回させる時に、あなたを守るためにバンパーを取り付けるようなものだ」と彼は言った。

Kellermannは、左にシフトするために右にシフトする必要性について語った。「まず、本番環境で悪用可能なセキュリティ負債を排除する必要がある。それが解決したら、開発手法を改善するためにシフトレフトに集中できる。」

Baran氏も同意見で、オブザーバビリティの役割を強調した。「最新のセキュリティでは、実行時のデータをオブザーバビリティ層に取り込む必要がある。この相関メカニズムにより、各部門や担当は技術革新を停滞させることなく、脆弱性の修正に優先順位を付けることができる。」

4. ADR:最前線で攻撃を捕まえて止める

アプリケーションは、金融機関のデジタル支店に相当する。このようなアプリケーションを保護することは、単なるセキュリティの問題ではない。それは、ブランドを守ることである。Kellermannは言う、「アプリケーションは企業・組織の延長だ。アプリケーションを守ることはブランドを守ることだ。なぜなら、アプリケーションはあなたの企業・組織を代表しているものだから。」

アプリケーションにおける検知と対応(ADR)は、金融機関がサイバー脅威に対処する方法を変革する。静的評価や境界防御に依存する従来のツールとは異なり、ADR はアプリケーションの動作をリアルタイムで監視する。長年にわたり、セキュリティオペレーションセンター(SOC)では、アプリケーション層で何が起こっているのかを把握していなかった。Kellermannは、ADRによって、アプリケーションのセキュリティ状況、攻撃のパス、バックエンド接続の動的な青写真が提供され、このギャップを埋めることができると説明している。

この動的なアプローチにより、金融機関はアプリケーション層のリアルタイムの可視性を通して、動作の異常を事前に検知して脅威に対応できる。また、ADRを使用することで、企業・組織は、WAFや従来のツールでは見逃しがちなAPIの脆弱性、デシリアライゼーション攻撃、エンコード化された悪用などの高度な脅威や、ゼロデイ脆弱性・内部脅威にも対処できるようになる。

「ゼロデイとは、本質的ににアプリケーション層における動作の異常だ。そして、ADRは、それが重大な事態に発展する前に検知することができる。」とKellermannは言う。「それは、セキュリティ要員を正面玄関ではなく、金庫室の中に配置するようなものだ。」

Kellermannは、ADRによって、金融機関は攻撃を検知し、どのように攻撃されているかを理解し、侵害されたかどうかを判断できると説明した。また、ADRは、攻撃者が脆弱なアプリケーションを悪用して機密情報へのアクセスや不正行為を行う、デジタルによる内部脅威を特定するための独自の機能も備えている。

「ADRはそのギャップを埋めるもので、金融機関はアプリケーション内の脅威が拡大する前に特定して無力化できる」とKellermannは言う。彼は「警戒を怠らないデジタルトランスフォーメーション(DX)」を呼びかけ、リアルタイムの洞察と積極的な防御のためにADRの導入を促した。

5. ContrastとAWS:セキュリティを共有責任にする

KellermannとBaran氏は、金融機関が技術革新とセキュリティという二重のプレッシャーに取り組む中で、責任共有モデルを提唱している。APIの強化からランタイムセキュリティの採用まで、前進するにはコラボレーションと警戒への継続的な取り組みが必要です。

「結局のところ、重要なのは警戒を怠らないデジタルトランスフォーメーション(DX)だ」と Kellermannは述べている。「今回の(Contrast SecurityとAWSの)パートナーシップは、まさにそれを体現していると思う。金融機関との更なる対話を楽しみにしている。何が彼らを夜も眠れないようにしているのかを理解するためだが、より重要なのは、その共有モデルにおいて、どのようにお互いをよりよく守ることができるかということだ。」

Kellermannは、Verizonが最近発表したデータ漏洩/侵害調査報告書(DBIR)で、パッチがリリースされてから55日後には、重大な脆弱性の半分しか対処されていないことを明らかにした。脆弱性の負債と管理の負債が多すぎる。それが、今日のこのパートナーシップで解決しようとしていることなのだ。」

Baran氏も同意している。「Contrastのようなプラットフォームを使い、AWSのバックエンドで顧客が価値実現までの時間を短縮できるよう支援しながら、保護と防御のレベルとして、一緒にパートナーを組めるのは楽しいことだ。」

Kellermannは、映画「ユージュアル・サスペクツ」からの引用で議論を締めくくった。「悪魔がしかけた最大のトリックは、悪魔は存在しないと世界に信じさ込ませたことだ。その悪魔はアプリケーション層のどこかにいる。」と示唆に富む言葉だ。金融機関は、このような現実を認識して対処することで、進化し続けるサイバーセキュリティの状況において一歩先を行くことができる。

Baran氏は、AWSとContrastのパートナーシップによる大きな進歩を再度強調した。「うれしいことに、AWSがContrastのようなプラットフォームと連携して作業することで、顧客は先手を打つことができる。AWSは、顧客がクラウドバックエンドの価値を最大化できるのを支援し続けながら、何が起こっているのかを監視し、セキュリティ体制全般とプロセスを改善できるようにする。」

ADRとランタイムセキュリティを見てみよう:デモの申し込みはこちら 

お問い合わせ

関連記事/サイト:
セキュリティ 金融サイバーセキュリティ

Contrast Marketing

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年11月22日