金融業界におけるセキュリティ運用の理想像は、顧客の信頼を守りながら機密情報を確実に保護することです。例えば、銀行や証券会社では、顧客の口座情報や取引履歴などの個人データを厳重に管理し、不正アクセスや情報漏えいを防ぐための技術や体制を整えています。さらに、最近ではAIやブロックチェーン技術を活用してセキュリティを強化する取り組みも増えています。一方で、セキュリティ運用における課題として、新たな脅威への対応や情報共有の重要性が挙げられます。このような課題に対し、金融業界は常に最新の技術やセキュリティ対策を追求し、顧客の信頼を守り続けることが求められています。
金融業界に対しては、金融庁から様々な資料が出されておりますが、近年セキュリティに関連する資料として「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver.3.0)」があります。 以下内容は同資料の「モニタリング・演習の高度化 - ①サイバーセキュリティ管理態勢の検証」の内容を要約したものになります。
出典:https://www.fsa.go.jp/news/r3/cyber/cyber-policy.pdf
上記内容から、金融業界では規模・業態問わず、サイバーセキュリティ強化のためにセキュリティ検証の必要性が叫ばれています。
自社のセキュリティ環境をより堅牢にするためにセキュリティ検証おいて必要なポイント
上記セキュリティ検証を実施するには、攻撃者の視点からの検証、通称ペネトレーションテストが必要となります。
(以下、“検証”と記載されている内容は検査対象に対して実際に攻撃をしかけるペネトレーションテストとお考え下さい。)
従来のペネトレーションテストはマニュアルの形式が多く、以下のような課題が存在します。
1.時間がかかり過ぎてしまう
ピンチアウトで拡大
一般的には計画段階からテスト実施、分析と複数の段階を経て、数週間から数か月の期間を要します。期間がかかるだけでなく、それに伴いコストも高額になる、改善したころには最新の脅威状況が変わってしまっている、などといった課題も存在します。
2.年1回または2回の実施で本当に有効性はあるのか
時間がかかる、コストがかかるといった背景からペネトレーションテストを年に1回あるいは2回、外部に委託して実施しているという企業が多いかと思います。
しかし、システムは24時間365日脅威にさらされており、ワンショットの実施では機器構成や脆弱性等の日々変化する環境を把握することができません。
セキュリティ運用/検証の理想像
それではセキュリティ運用、セキュリティ検証の理想像はどのようなものでしょうか。
以下のような要素が必要と考えられます。
ピンチアウトで拡大
上図は年に1回のみの検証と継続的な検証を比較したものです。
年に1回のみの検証ですと、検証(ペネトレーションテスト)を実施し、改善策を施すことで一時的にセキュリティリスクを許容範囲内に押さえることができますが、その後新規脆弱性の発見や新規システム導入、新規管理者の追加など、外部環境や内部のシステム環境が変わるごとにリスクレベルが高まってしまいます。そして年に1回のペネトレーションテストではそれに気づくことができず、セキュリティリスクが高い状態が続いてしまいます。
一方、継続的な検証では、外部環境や内部のシステム環境が変化したタイミングで検証を実施することで、セキュリティリスクを常に許容リスク以下に抑えることができ、安全なシステム環境を維持することができます。
なお、継続的な検証は、 2024年2月に発表されたサイバーセキュリティトップ・トレンドの「トレンド5:継続的な脅威エクスポージャ管理 (CTEM) プログラムに対する機運の高まり」でも必要性が述べられています。
https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20240227
CTEMについては弊社のブログでも解説していますので、詳細は以下リンクよりご確認ください。
https://cn.teldevice.co.jp/blog/p47313/
先にお伝えしたセキュリティ運用/検証の理想像、継続的なセキュリティ検証を実現するためのツールとして当社でご紹介するのが「Pentera」です。
Penteraはペネトレーションテストの手法を用いて疑似的な攻撃を実施することにより企業のセキュリティ状況の可視化と改善提案ができる自動セキュリティ検証プラットフォームです。
Penteraの特長
ピンチアウトで拡大
1. エージェントレス
他のツールと異なり検査対象へのエージェントインストールは不要なため、
稼働しているシステムへの変更は不要です。
2. 実際の攻撃
脆弱性を洗い出すだけではなく、疑似攻撃を実施し、脆弱性が悪用された場合の被害想定が可能です。
導入されているセキュリティ製品の対処能力も評価可能です。
3. 継続的な検証
日々変化する環境、脆弱性に対して、定期的な検査を実施し、セキュリティ状況の変化に素早く対処が可能です。
4. 網羅的な検証
主要なサーバーだけではなく、IT資産全体の検査が可能です。
いわゆるシャドーITなども発見可能です。
5. 優先修復
攻撃の結果をもとに環境に沿った対処すべき問題点の優先度付けを行い、問題点の修復手順を提示します。
6. クローズドな検証
インターネットに接続していない環境でも検証ができます。
Penteraが提供する価値
自動化された検証による莫大な運用負荷からの解放
・IP範囲を指定するだけで、あとは自動で検証
半年かけて実施したテストを短時間で実行
・脅威に対する対応の優先順位付け
・テスト実施後の分析・レポート自動発行
・エージェントレスのため、システムへの影響は最小限
継続的な検証による万全なセキュリティ体制の提供
・最新の脅威に対応した検証が可能
・リソース、スキル、コストを気にせず、網羅的に何度でも検証が可能
・自社にとって本当に必要なセキュリティ対策を提示
・特定のシステムだけでなく、IT資産全体のセキュリティ体制を把握できる
Penteraの価値はご理解いただけたかと思いますが、運用面での不安を感じられるお客様もいらっしゃるかもしれません。そこで弊社ではPentera活用を支援する以下のようなサービスを提供しています。
ピンチアウトで拡大
事例:株式会社ラック
Penteraは高度なセキュリティ技術に強みを持つ独立系ITベンダーであるラック様において、ペネトレーションテストサービス基盤に採用されています。顧客からの引き合いに対してペンテスターの数が不足しているという課題に対して、Penteraを採用することでマニュアルと近い品質でペネトレーションテストを自動化し、ペネトレーションテストをより多くの企業に提供できるようになりました。
詳細につきましては以下をご参照ください。
株式会社ラック
金融業界では、サイバーセキュリティを強化するために、セキュリティ管理態勢を検証する必要があります。さらに高度なセキュリティ体制を整えるには、攻撃者の視点からセキュリティを検証するペネトレーションテストが必要です。そこで従来のペネトレーションテストの課題を解決し、継続的な検証を実現できるツールとして今回ご紹介したのがPenteraです。当社では、Penteraの国内代理店として活動しておりますので、Penteraに関心をお持ちでしたら、お気軽にお問い合わせください。