金融サービスにおけるセキュリティ (およびコンプライアンス) とは

URL をコピー

金融サービスにおけるセキュリティとコンプライアンスとは、金融サービス会社が顧客のお金と金融情報を保持、管理、保護する責任を指します。これには、顧客データに関するセキュリティ基準を決定する国や地方自治体の規制を遵守することが含まれます。

セキュリティ・コンプライアンスの自動化を検討する

金融顧客の資産と情報の保護は、歴史的にその利用方法とともに進化してきました。 

資産や情報が金庫室に保管され、物理的な環境でやり取りされていた頃は、物理的な障壁があれば十分でした。今では、貸し手 (銀行や信用組合など) や保険会社が金融テクノロジー (FinTech) を通じて顧客に金融商品を提供するようになり、規制に準拠したセキュリティシステムも追加する必要があります。

世界各国の政府がさまざまな法律、規制、技術標準を定めており、またそうした規制は世界の金融システムに対する新たな脅威に対応するために、毎年のように変更されています。

セキュリティとコンプライアンスはなぜ重要か

完全に孤立したシステムはもはや存在しません。すべてがデジタルでつながっています。そのため、ある一点での脅威が、他の金融サービスプロバイダーに影響を与える可能性があります。注目される金融犯罪やデータ漏洩の増加について考えてみてください。1 つの金融サービス事業で侵害が生じると、通常、他の金融サービスプロバイダーにも影響が及びます。

大規模な規制要件、コーポレートガバナンス、データ管理戦略、コンプライアンス・プログラムにより、顧客データのエンドポイント (および転送手段) が強化されます。すべての金融サービスプロバイダーが規制当局や法令遵守担当責任者のコンプライアンス要件を満たしているか、その要件を超える対策を取っている場合、セキュリティの脅威が侵入する可能性は低くなります。

サイバーセキュリティ対策、リスク評価、および継続的なデューデリジェンスによって機密情報は保護されますが、絶対に確実なシステムはありません。新しい規制に対応するセキュリティ・テクノロジーに継続的に投資することで、金融サービス組織はセキュリティの脅威に先んじることができます。

動画:セキュリティとコンプライアンスに対する Red Hat のアプローチ

利便性と顧客の期待

銀行業界は、従来の実店舗モデルから、今日の利便性と機能向上への期待に適応できるよう、進歩を遂げています。しかし、テクノロジーと顧客感情は、拡大する一連のデジタル機能に政府の行政監督が追い付くのを待ってはくれません。銀行は、遅れて変更される規制を遵守しながら顧客の要求に適応していかなければならないという課題に直面しています。さらに、金融サービスの新規参入企業は迅速な対応で既存の大手企業に追いついてきているので、大手企業にとっては競争力の維持が課題になっています。

データ保護

デジタル情報へのアクセスの利便性が高まると、データの不正や漏洩が常にリスクになります。データは最終的な宛先に到達する前に多くの中継点を通ります。そして、各中継点には潜在的なセキュリティリスクがあります。特にターゲットになりやすいのがモバイルアプリです。アプリケーション自体や、アプリケーションが置かれているサーバーに、悪用され得る脆弱性が存在する可能性がありますし、ユーザーの行為がリスクの一因となる場合もあります。

EU 一般データ保護規則 (GDPR) などの政府規制は、データが国境を越えて送信される場合でも、このような脆弱性が伴う多くのポイントに対処することを目指すものです。

業界の意識

金融サービス業界の意識変革も、さらなる課題となります。金融セクターは、確実に機能するビジネスモデルを、金融業界の観点から見ればリスクをもたらすと思われるビジネスモデルに変更することには慎重です。セキュリティリスクに対処せずに消費者の利便性の向上を急げば、悲惨な結果をもたらしかねません。しかし、セキュリティプロセスによってユーザーエクスペリエンスが使いにくくなれば、利用者はもっと簡単に同じことを達成できる別の方法を探すでしょう。この微妙なバランスを維持するのは、最も革新的で先進的な企業にとってさえ、手ごわい課題です。

公衆の信頼

消費者が抱くイメージへの対処は、テクノロジーの導入と同じくらい重要です。データ漏洩が長年にわたって注目を浴び、個人データを扱うあらゆる企業に対する公衆の不信感が生じてきました。信頼は失われやすく、修復も困難です。顧客は、自分たちの情報が安全に保管されているという保証を求めています。金融サービス企業は、信頼を築くためにサイバー犯罪やデータ漏洩から情報をどのように保護しているかについて、可能な限り透明性を保つ必要があります。

消費者の意識と知識供与

自分自身をどのように守るべきかについての情報を顧客に提供することは、おそらく、生産的で安全なバンキング・エクスペリエンスのために最も重要な要素です。消費者が自分の情報を守るために何が必要か、不正が生じた場合はどうするべきかに関する最新情報を提供し続けることによって、銀行と顧客の関係を向上させることができます。この情報は、新しいテクノロジーの導入や脅威の登場に応じて変わります。消費者への情報提供を継続することは、顧客を引き付け、維持するのに大いに役立ちます。

金融サービス業界におけるリスクとコンプライアンスへの対処方法はさまざまです。世界各国の政府機関 (米国連邦準備制度理事会など)、企業、および組織は、マネーロンダリング防止、リスク管理、コンプライアンスプロセスに多額の投資を行っています。 

金融サービスのコンプライアンス要件を満たすために使用されるセキュリティ機能には、次のようなものがあります。

暗号化

機密データは暗号化プロセスにより、正しい解読キーを使用しないと解読できないコードに変換されます。しかし、データの暗号化、照合、復号には、時間と処理能力が必要です。増え続けるデータ処理を高速化するために、銀行は既存の IT インフラストラクチャをアップグレードして拡張するか、より柔軟で堅牢な新しいシステムを実装して、簡単にスケーリングできる高速のデータ暗号化に対応しています。Payment Card Industry Data Security Standard (PCI DSS) は、データの暗号化方法において大きな役割を果たしています。

多要素認証

複数の認証形式を使用したログインは、金融サービスだけでなく、多くの業界の Web サイトで一般的なオプションになりつつあります。ユーザーがパスワードや PIN を入力すると、事前登録したデバイスにテキストメッセージを介してコードを送信する要求が送られます。ユーザーは送られてきたこのランダムな文字列を入力することで、ログインプロセスを完了できます。これにより、ログインプロセスに追加の手順が必要になりますが、犯罪者の侵入がはるかに困難になります。EU の銀行は、改正版決済サービス指令 (PSD2) により、国境を越えて取引する場合でも、すべての取引に多要素認証を実装することが求められています。

データの保存と分散化

GDPR の影響は EU 以外の国々にも及んでおり、データの保存、アクセス、配信方法に関する世界中の金融機関のポリシーを推進しています。データを 1 カ所に保存することは、デジタル情報の保存先としてクラウドサービスに依存している企業にとっても、もはや安全なオプションではありません。単一のプロバイダーに依存すると、集中リスクが発生し、データが侵害されやすくなります。ストレージと機能を複数のプロバイダーに分けて分散すると、リスクが軽減され、犯罪者がアクセスしにくくなります。

人工知能 (AI)

事前定義されたアルゴリズムは、通常のパターンに適合しないトランザクション、たとえば米国に住んでいる顧客のトランザクションがロンドンで発生した場合にフラグを立てることができます。しかし、その顧客が 1 年に数回ロンドンを訪れる場合、そのアルゴリズムは、正当な場合でも、ロンドンでのすべてのトランザクションにフラグを立て続けます。AI を適用して顧客の行動を学習し、それに適応してアルゴリズムを更新すると、このパターンに一致する将来のトランザクションにフラグが立てられる可能性を低減することができます。AI はまた、アカウント情報へのアクセスを取得するために独自の機能を使用する顧客を識別する手法である、バイオメトリクスを推進します。指紋、眼球、顔を使用した生体認証機能は多くのスマートデバイスに搭載されており、モバイルアプリでこれらのオプションを提供する銀行が増えています。これにより、セキュリティがさらに強化され、犯罪者が勝利することは難しくなります。

AI/ML アプリケーション管理の向上

人工知能/機械学習 (AI/ML) アプリケーションのデプロイおよびライフサイクル管理の単純化による ML モデルと AI アプリケーションの構築、コラボレーション、共有の迅速化に関するエキスパートの視点を、Web セミナーシリーズでご紹介しています。 

オンデマンドの Web セミナーシリーズを見る

Red Hat は継続的セキュリティ戦略の効果をお客様に体感していただきたいと考えています。Red Hat はそのために、エンタープライズ向けのオープンソースを提供しています。Red Hat の目標は、各企業がセキュリティ保護とコンプライアンスへの順守を継続しながら、ビジネスの競争力、柔軟性、適応性を維持することです。

Red Hat による支援の詳細
ハブ

Red Hat 公式ブログ

Red Hat のお客様、パートナー、およびコミュニティのエコシステムに関する最新の情報を入手しましょう。

すべての Red Hat 製品のトライアル

Red Hat の無料トライアルは、Red Hat 製品をハンズオンでお試しいただける無料体験版です。認定の取得に向けた準備をしたり、製品が組織に適しているかどうかを評価したりするのに役立ちます。

関連情報

侵入検知/防止システム (IDPS) とは

侵入検知/防止システム (IDPS) は、ネットワークを監視して脅威を検知し、検知された脅威を阻止するための措置を講じます。

エッジセキュリティとは

エッジセキュリティとは、ツールとプラクティスを組み合わせて使用し、現場での専門知識が限定的な遠隔地にあるエッジのインフラストラクチャとワークロードを保護することです。

Red Hat の DevSecOps を選ぶ理由

DevSecOps は決して単純な取り組みではありません。しかし Red Hat のポートフォリオ・セキュリティ機能を使用すれば、開発者とセキュリティチームの両方にとって、ライフサイクルの初期段階での実装が容易になります。

セキュリティリソース