金融サービスのアイデンティティを活用したセキュリティの事例

このブログはこちらの英語ブログ（2024年3月12日公開）の翻訳、石橋 禎史によるレビューです。

金融サービスプロバイダーでは、従業員（ワークフォース）セキュリティの次なる課題について、取締役会レベルでの真剣な話し合いが行われています。あらゆるタイプの金融サービスプロバイダーが、最高レベルのデジタルセキュリティを維持しながら、従業員の生産性と満足度を向上させるという課題に直面しています。特に、情報漏洩の脅威がかつてないほどに高まっていることを考えると、両方のバランスを取ることは難しくなっています。 

これは新しい問題ではありませんが、この問題を早急に解決する必要性が高まっています。金融サービス機関は、認証情報の窃取やフィッシング攻撃に関連するリスクを軽減するために、強固なワークフォースセキュリティのメカニズムが必要であることは認識しています。しかし、レガシーシステムとハイブリッドのワークフォースにより、セキュリティ環境は複雑化しています。ワークフォースを積極的に保護し、有効化する「次のステップ」を決定することが困難であるため、多くの組織は受身状態になっています。

アイデンティティを活用したセキュリティは、次のステップの秘策として、強力なセキュリティポスチャ、従業員UXの改善、生産性向上の基礎を築くことができます。

本ブログでは以下について説明します。

• ワークフォースセキュリティの脆弱性になぜ積極的に対処する必要があるのか
• レガシーまたは自社製のアイデンティティとアクセス管理（IAM）ソリューションは、どのように対応を複雑にしているのか
• アイデンティティを活用したセキュリティはどのように役立つのか 

侵害はますます巧妙になり、より高コストに

データ漏洩の脅威は、金融サービス業界に限ったことではありません。しかし、金融機関はサイバー犯罪の格好の標的となります。金融システムが侵害されると、PII、パスワード、財務データ、口座番号など、利益につながるデータへのアクセスが可能になります。 

さらに、金融サービス企業にとって、ブランドコストとロイヤルティコストは特に高額です。世間は、自分たちのお金や個人情報の保護が不十分だと思われる金融機関に対して好意的ではありません。2023年度 IBM データ漏洩レポートによると、金融企業は、データ漏洩1件につき約590万ドルの損失を被っており、平均的な組織よりも28％高くなっています。金融サービスは、2023年には、全業界で2番目に大きい損失を被りました（1位はヘルスケアでした）。

内部の危険性：ワークフォースの脅威の全容

フィッシングと認証情報の漏洩は、この迫りくる脅威の主な原因となっています。 

フィッシング：フィッシングは、犯罪者がランサムウェアをインストールするために使用する第一の方法であり、金融サービスにおける攻撃の66%に関連しています。フィッシング攻撃の総件数は、過去最高を記録しており、 全データ漏洩の36%がフィッシングに起因しています。

認証情報の窃取：2023年、アカウントの乗っ取りや詐欺につながったアプリ攻撃の86%は、認証情報の不正使用によるものでした。主な原因はパスワードにあります。パスワードは様々な問題を引き起こします。ユーザーは、さまざまなアカウントでパスワードを管理することを嫌い、多くの場合、複雑ではない覚えやすいものを選択するため、簡単に解読されてしまうのです。 

内部脅威：あまり一般的ではありませんが、内部関係者による脅威も最も大きな損害を与える可能性があるため、最大の懸念事項です。内部関係者による侵害は、平均するとその被害額は世界平均の額を9.8%上回っています。 

セキュリティ侵害の多層的な影響：

• リソースの枯渇： 侵害によって漏洩する顧客データが多くなればなるほど、そのコストは高くつきます。5,000万件から6,000万件の記録が含まれる情報漏洩の場合だと、金融機関は平均3億ドル以上の損害を被ります。
• ブランドへのダメージ：侵害は、それがどんな小さなものであっても信頼を損ないます。信頼を一旦失うと、それを取り戻すことは非常に難しく、結果的に顧客の成長とロイヤルティに長期的な悪影響が生じます。
• 新規消費者の見込みが悪化：金融サービス機関のレジリエンスは、ミレニアル世代やZ世代を取り込めるかどうかにかかっています。ハイテクに精通したこの世代の消費者は、安全でないと認識したデジタルサービスには手を出しません。

言い換えると、データセキュリティに対する内部脅威から保護することは、金融機関にとって最重要課題です。悪意があるかどうか、あるいは故意なのか偶発的なのかにかかわらず、内部からのデータ損失は、あらゆる企業に甚大な責任を負わせることになります。 

乗り越えなければならないハードル

金融サービス機関が認証情報の窃取やフィッシング攻撃の台頭を十分に認識しているにもかかわらず、フィッシングや認証情報の窃取がこのような規模で続いているのには理由があります。あまりにも多くの企業が未だに、巧妙で広範なサイバー犯罪に対抗できない自社開発または断片的なセキュリティアプローチに頼っているためです。従業員の日々の生産性は、これらのソリューションと深く関わっています。

しかし、多くのリーダーは、当然のことながら、新しいソリューションが解決策と同じくらい多くの問題を引き起こすことを恐れています。金融サービス企業は、よくある落とし穴に陥ることなく、真に現代的な水準の脅威対策を実現するために、保護を強化するセキュリティパートナーを必要としています。

その解決策はアイデンティティを活用したセキュリティへのアプローチです。

金融サービスの未来に向けたアイデンティティを活用したセキュリティ

アイデンティティを活用したセキュリティは、アイデンティティベースの制御をサイバーセキュリティインフラの中心に置きます。金融サービスにおいて、このアプローチは既に進行中の変化（例えば、クラウドやマルチクラウドサービスの普及、従業員のリモートアクセスの必要性の増加など）に対応します。これにより、組織は、ユーザーエクスペリエンス、ビジネスの俊敏性、コンプライアンスを優先しながら、ゼロトラスト（NIST SP 800-207 ZT Architecture）を適切に実装することができます。

では、どうすれば、それを実現できるのでしょうか？

このクラウドベースの 従業員のアイデンティティに対するアプローチは、ゼロトラストの「最小特権アクセス」の基盤に加え、次のような多くのコアビジネスの優位性をサポートします。

• レガシーIAMソリューションと比較して、侵害インシデントが減少
• コンプライアンスと監査要件に関するコストの削減
• 余分なストレスなくセキュリティを提供する、より優れたユーザーエクスペリエンス
• ITスタッフの負担が軽減され、より戦略的なイニシアチブに取り組めるようになる

金融サービスを取り巻く環境が変化し続け、侵害の脅威が複雑化する中、金融サービス組織は、インサイダーの脅威から機関を保護し、ビジネスに対する戦略的で俊敏なアプローチを可能にするワークフォースセキュリティメカニズムを採用する必要があります。アイデンティティを活用したセキュリティは、金融サービス機関を常に監視し、プロアクティブで、モダン、かつセキュアなワークフォース管理を強化し、新しい時代の働き方に適応できるようにします。 

Okta を使ってみる

Oktaは働く人々をつなぎ、保護する、アイデンティティのリーディングカンパニーです。従業員、契約社員、エージェント、パートナーは、Oktaを使用してデバイスを保護しアクセスを管理し、統合プラットフォームソリューションを通じて強力なアイデンティティガバナンスを維持することができます。 

• 悪意のある攻撃の検出と対応にかかる時間を90%短縮（Okta社内）
• 情報漏洩のリスク低減により、年間452,000ドルのセキュリティ経費を節約（保険会社）
• RBACに関するセキュリティを強化し、きめ細かい許可設定を徹底し、潜在的な侵害を最小限に抑えるSOX認証を取得（Wealthsimple）

Okta社内推定値：Oktaの社内調査を通じて収集されたデータポイント。Oktaの製品を使用する潜在的な価値を示しています。

アイデンティティを活用したセキュリティについて詳しい内容をお知りになりたい場合は、 Oktaにお問い合わせください。

以上の内容は、原文（英語）の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。