レポート:金融サービス業界は適切なツールを使用することでサイバーセキュリティの向上が可能
金融サービス業界(FSI)はサイバーセキュリティの面で遅れをとっています。新しいレポートは、組織がソフトウェア・セキュリティ対策のどこに重点を置くべきかを示しています。
「言行一致」という言葉がありますが、金融サービス業界(FSI)のサイバーセキュリティ専門家を対象に行った新しい調査では、「言うは易く行うは難し」の実態が明らかになっています。調査対象の組織は、サードパーティーのソフトウェアの脆弱性に懸念があると回答しています。また、クラウド移行ツールやブロックチェーン・ツールは、業界最大のサイバーセキュリティ・リスクをもたらす技術だとしています。その一方で、組織はセキュリティ対策への投資を増やしたいとも考えています。また、結論として、現行のセキュリティ・プラクティスがはなはだ不十分であることを認めています。
Synopsys Cybersecurity Research Center(CyRC)の委託を受けて、Ponemon InstituteはFSIの400人以上のセキュリティ実務者を対象にサイバーセキュリティ・プラクティスについての調査を実施しました。このレポート「The State of Software Security in the Financial Services Industry(SS-FSI)(金融サービス業界のソフトウェア・セキュリティの現状)」は、FSIでソフトウェアとシステムのセキュリティ確保の実践の現状、および重点的に取り組む必要がある課題についての洞察を提供しています。
FSIのサイバーセキュリティに関する主な調査結果
- 多くの組織は、サードパーティーが提供する金融ソフトウェアやシステムを使用しており、サードパーティー製品のセキュリティ上の脆弱性を懸念していると回答しています。その一方で、ベンダーにサイバーセキュリティ要件の遵守を義務付けたり、ベンダーのセキュリティ・プラクティスを検証している組織は全体の半分にも達していません。
- 回答の大多数は、公開されているセキュアなソフトウェア開発ライフサイクル(SSDLC)に従っているとしています。しかし、脆弱性テストを実施した金融ソフトウェアおよびテクノロジーは、平均して全体の3分の1程度に過ぎません。
- テストを行っている場合でも、大半は、テクノロジーのセキュリティ保護をペネトレーション・テストとセキュリティ・パッチ管理に依存しています。どちらも有効なアクティビティではありますが、現在利用可能な複数のテスト・ツールを使用して、ソフトウェア開発ライフサイクル(SDLC)全体で脆弱性を早期に発見して修正する方法には遠く及びません。
- 当然の帰結として、多くのFSI組織は、ソフトウェアのサイバーセキュリティの脆弱性評価をリリース後になってから行います。ソフトウェアの設計、開発、テストの段階で評価を行うとした回答は半数未満です。したがって、リリース前にソフトウェアとシステムのセキュリティの脆弱性を検出できると確信している組織は25%に過ぎないという結果も驚くには当たりません。
- オープンソース・コードの脆弱性を特定して解決するためにソフトウェア・コンポジション解析(SCA)を利用しているという回答はほとんどありませんでした。オープンソース・コードのインベントリを保持し、それを管理するための確立されたプロセスが欠落している組織がほとんどです。
- 多くのFSI組織は、ソフトウェア開発者向けにセキュア開発のトレーニングを実施していますが、トレーニングを必須にしている組織の割合はわずか(19%)です。
- FSI組織は、BSIMM (Building Security In Maturity Model:セキュア開発マチュリティ・モデル)やSAMM(Software Assurance Maturity Model:ソフトウェア保証マチュリティ・モデル)などの外部の評価ツールを使用するよりも、セキュリティ・プログラムの有効性を内部で評価する傾向があります。
- 半数以上が、過去に機密性の高い顧客情報が盗まれたことがあると認めています。
金融サービスにおけるサイバーセキュリティの改善方法
組織がリスクを放置しているわけではありません。3分の2以上(67%)はサイバーセキュリティのためのプログラムやチームを備えていると回答しましたが、ソフトウェア・セキュリティが製品開発の責務に含まれるとしたFSI組織は23%のみです。
回答によると、もっと力を入れたいと思いながらも資金と人材の制約を感じています。サイバーセキュリティ・リスクに対処するための十分な予算があるという回答はわずか45%、組織が必要なサイバーセキュリティ・スキルを備えているという回答はわずか38%でした。
Synopsysの製品マーケティング・マネージャー、Anna Chiangは、調査結果について「多くのFSI組織は当て推量で行動し、製品リリース後に過剰に多くのテストを行うことによる不必要なリスクにさらされている」と述べています。
しかし、当て推量で行動する必要はありません。予算が厳しく、人材が限られている中でも、金融サービスのサイバーセキュリティを改善する方法があります。その方法を以下にご紹介します。
サードパーティーにセキュリティの改善を要求する
サードパーティー・コードの脆弱性のリスクに対処するには、ベンダーの要件に「セキュリティの改善」を加える必要があります。ベンダーは開発中にソフトウェアをテストする必要があり、業界のセキュリティ標準への準拠を実証する必要もあります。また、BSIMMなど、外部の独立したソフトウェア・セキュリティ・イニシアティブ(SSI)による評価を導入する必要があります。
複数のテスト・ツールを使用する
一つですべてをまかなえるツールやテストはありません。また、専門家が言うように、リリース後のソフトウェアにパッチを適用することは、後から「セキュリティの追加」を試みる方法になります。それよりも、SDLCに「セキュリティを組み込む」方が効果的です。
自動化ツールには、静的アプリケーション・セキュリティ・テスト(SAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、動的アプリケーション・セキュリティ・テスト(DAST)などがあります。これらのツールを利用することにより、開発者は脆弱性の発見・修正を、より低コストに迅速化することができます。
回答者もこれらのツールの利点の少なくとも一部は認識しています。回答者は、サイバーセキュリティ・リスクを軽減する最も効果的な方法の1つとしてDASTを評価しました。
オープンソースを放置しない
セキュリティの専門家が言うように、所有していることに気付いていないものを守ることはできません。ソフトウェア開発にはオープンソース・コンポーネントの使用が不可避であり、そのメリットとリスクが伴います。2019年のSynopsysオープンソース・セキュリティ&リスク分析(OSSRA)レポートでは、2018年にSynopsys Black Duck監査サービス・チームがレビューした1,200以上のコードベースのうち60%に1つ以上のオープンソース脆弱性が存在していたことがわかりました。40%以上に高リスクの脆弱性があり、68%にライセンスの競合を伴うコンポーネントが存在しました。
オープンソースは無料ですが、ライセンス・リスクも伴います。組織は、セキュリティと法的リスクの両面で、流入するサードパーティー・コード(および内部で開発されたコード)をレビューする必要があります。包括的なソフトウェア・コンポジション解析(SCA)ソリューションは、金融サービス業界の組織がソフトウェア・サプライチェーン全体およびアプリケーション・ライフサイクル全体を通じてオープンソースの使用を管理するために役立ちます。
その他のサイバーセキュリティ戦略
セキュア・アーキテクチャ設計、要件定義、脅威モデリング、コード・レビュー、ファジングテストなどの手動による計画およびテスト作業は、金融サービス分野のSDLCの各段階でソフトウェア・セキュリティの確保を支援します。
クリエイティブになる
内部セキュリティ・テストの予算がない場合は、オンデマンドでサービスを提供する組織にペネトレーション・テストやDASTなどの作業をアウトソーシングしてみてください。
多くの組織は改善の可能性があることを知っており、改善したいと考えています。このレポートは、個別のFSI組織の問題を指摘するのではなく、改善の必要がある業界全体としての調査結果を示しています。
また、改善方法についての具体的な推奨事項を提供しています。
