金融サービス業界におけるアプリケーション・セキュリティの7つの神話を解明する
金融ソフトウェアのセキュリティを弱体化させる神話に惑わされないでください。以下では、FSI(金融サービス業界)のアプリケーション・セキュリティに見られる7つの神話と誤解を考察します。
サイバー犯罪者が金融サービス業界(FSI)に魅力を感じる理由は明らかです。「そこにお金があるから」という理由で銀行強盗を犯したことで有名なウィリー・サットンの論理が再認識されることになりましたが、最近では、お金がある場所は銀行だけではありません。金融サービス業界には、信用組合、投資・保険会社、クレジットカード会社、住宅ローン会社、プライベート・エクイティ・ファンド(未公開株式投資ファンド)、ベンチャー・キャピタルも含まれます。
確かに現代の経済環境においてお金がある場所は金融サービス業界(FSI)だけではありませんが、FSIの資金は全世界で推定22兆ドルという驚異的な金額に上ります。これは米国連邦政府の昨年の歳出、推定6兆5,500億ドルの3倍以上です。FSIはほとんど際限なく狙われるアタックサーフェスでもあります。現代の生活スタイルでは誰もがFSIと関わりがあり、オンライン化もますます進んでいます。FSI組織のWebサイトやモバイルアプリで 「生まれ変わる銀行」という広告を目にしたことがあると思いますが、
こうした資金量と攻撃ポイントは、オンライン・セキュリティの必要性がこれまで以上に高くなっていることを意味します。残念ながら、セキュリティ強化のための最善の方法はそう簡単にはわかりません。
シノプシス・ソフトウェア・インテグリティ・グループの新しいホワイトペーパー「金融サービス業界のアプリケーション・セキュリティ:神話と現実」は、これらの神話の特に重要な部分を特定・説明・解明することによって、この問題の突破口を開くことを目的としています。
このホワイトペーパーは2020年の「セキュア開発成熟度モデル」(BSIMM)報告書の調査結果に基づいており、主に9業種を代表する130社のソフトウェア・セキュリティ対策(SSI)に関するデータを提示しています。そのうち42社は金融会社、21社はフィンテック(FinTech)で、実質的に金融サービス向けの独立したソフトウェア・ベンダーです。
金融サービス業界におけるアプリケーション・セキュリティの7つの神話
このホワイトペーパーは、個人と組織の両方をリスクにさらす可能性が高い、FSIに共通する7つの神話を指摘しています。
1. 万全のセキュリティが求められる金融サービス企業のシステムは安全である
それは真実であるべきだと思いますが、機密性の高いデータを処理する以上、FSIのシステムはセキュアであるという認識は間違っています。金融サービス業界は厳しく規制されており、ほとんどの企業がコンプライアンス要件を満たしていますが、セキュリティ・カンファレンスでは「コンプライアンスは必ずしもセキュリティ強化と結び付かない」という標語が掲げられます。FSIの場合、高い遵守率は「セキュリティ・リーダーや顧客に誤ったセキュリティ意識を持たせる一因になった」とホワイトペーパーは指摘しています。
結果は予想がつきます。シノプシスがPonemon Instituteに委託した「金融サービス業界におけるソフトウェア・セキュリティの現状」と題する最近の独立した調査によると、FSIの50%の企業でソフトウェアのセキュリティ上の不備が原因のデータ窃取が発見されました。
2. 金融ソフトウェアは他のソフトウェアと違って変更できない
この場合、金融ソフトウェアの開発は他の業種と異なり、DevOps向けに進化させることができないという誤解がありますが、
報告書の指摘どおり、「特別な違いはない」といえます。金融ソフトウェアの目的が特殊であるからといって、別の目的で作成されるソフトウェアとコードの書き方、管理、テストの方法が異なるわけではありません。
「時代遅れの開発モデルは開発速度を抑制し、市場投入速度を遅らせます。最新のソフトウェア環境への適応を拒否すれば、いずれ遅れを取ることになると、「金融サービス業界におけるアプリケーション:セキュリティ:神話と現実」ホワイトペーパーは指摘しています。
3. 小規模の金融サービス企業と大規模の企業とではアプリケーション・セキュリティのニーズが異なる
確かに、小規模の銀行はソフトウェアを購入し、大規模の銀行は自社ソフトウェアを構築する傾向があるという違いがあります。しかし、購入するにしても自社で構築するにしても、ソフトウェアのセキュリティはベンダーではなくユーザーの責任です。自社ソフトウェアを構築する大規模企業でも、商用またはオープンソース・コンポーネントを使用しています。
また、セキュリティの重要性という点では、規模の大小は関係ありません。攻撃者は自動化されたツールを使用して攻撃のチャンスを狙っています。標的の規模の大きさに関係なく、攻撃者は脆弱性につけ込みます。
この神話の持続性は統計からも明らかです。Ponemon Instituteによると、サードパーティーに厳格なサイバー・セキュリティ要件の遵守を要求している、またはサードパーティーのセキュリティ・プラクティスを検証している金融サービス企業は43%に過ぎません。
4. デプロイされたソフトウェアのすべてを自分が制御している
最近では、たとえソフトウェア・スタックを熟知していても、本番環境の内容のすべてを完全に把握しているとは限りません。オープンソース・ソフトウェアはほとんどのコードベースに含まれ、DockerやKubernetesからサプライチェーン、クラウド・デプロイメント、責任共有モデルまで、幅広いアプリケーション・セキュリティの活動や環境にわたって存在します。組織はそのすべてを理解する必要があります。
5. クラウド・セキュリティはクラウドの運営者とオーナーの役割
クラウドはセキュリティを提供しません。Amazon Web Services(AWS)に対する根拠のない信頼が招いた2019年のCapital Oneのデータ侵害がその明白な実例となりました。
クラウド・プロバイダーはユーザーがデプロイしたもののセキュリティ確保に懸命に取り組み、セキュリティ担当者はセキュリティが確保されたコンテナをクラウドにデプロイする必要があります。
BSIMM11の記載にあるとおり、「組織が使用するセキュリティ・ソフトウェアを提供する責任はクラウド・プロバイダーが100%負っていますが、ソフトウェア・セキュリティに対しては組織に100%の責任があります。」
6. ペネトレーション・テスト、ゲート・テスト、最終段階のセキュリティで十分
ペネトレーション・テストはアプリケーション・セキュリティの重要な要素ですが、それだけでは不十分です。シノプシスのドキュメントには、ソフトウェアに見られる欠陥の50%がアーキテクチャ上の欠陥であると記載されていますが、これはペネトレーションテストでは見つかりません。
セキュリティはSDLC(ソフトウェア開発ライフサイクル)全体にわたって組み込む必要があり、それには、まず欠陥を特定するためのアーキテクチャ・リスク解析または脅威モデリングから始めます。
7. 開発チームは経験でアプリケーション・セキュリティのスキルを習得できる
これが当てはまるソフトウェア開発者は滅多にいません。また、開発者の適性や習得にかかる時間によっては、FSI組織が重大なリスクにさらされる可能性があり、そもそも習得できるかどうかもわかりません。
現実には、アプリケーション・セキュリティの専門家を目指す開発者には経験だけでなく研修も必要です。Ponemon Instituteの調査では、経験だけでスキルを習得しているケースはほとんどないことがわかりました。ソフトウェア・セキュリティに必要なサイバーセキュリティのスキルを備えた従業員がいるFSI企業はわずか38%です。また、従業員の25%がセキュリティ研修を受けないままアプリケーション・セキュリティの仕事に携わっています。
アプリケーション・セキュリティを強化するためのシノプシスのソリューション
神話に固執するとCapital Oneの二の舞になるリスクがあることは明らかです。シノプシスは、神話を現実に置き換える2つの有効な方法を提供しています。
- BSIMM評価では、組織のセキュリティ・プログラムを調査し、同業他社やトップ企業と比較して評価するためのスコアを提供します。
- マチュリティ・アクション・プラン(MAP)は、BSIMMのデータとスコアに基づくカスタマイズ可能なロードマップであり、企業が構築するセキュリティ・プログラムの成熟度の向上に必要なセキュリティ戦略、機能、活動を提案します。
セキュリティは長い道のりであり、単発のイベントではありませんが、「信頼できるソフトウェアの構築」という目標への到達をシノプシスが支援します。
