金融機関は、サイバー回復力とサイバー・プログラムの成熟度に関しては、最も洗練された企業の一つである。それは驚くべきことではない。銀行、ローン・サービス、信用組合、投資・証券会社は巨額の資金を管理しており、サイバー犯罪者にとって魅力的な標的となっています。これらの資産は非常に機密性の高い個人データや財務データと結びついているため、恐喝やランサムウェアの標的としてはさらに魅力的なのだ。金融機関の継続的な運営は経済と国家安全保障の両方にとって不可欠であるため、ほとんどの国は金融機関を重要インフラとみなしています。これは、コンプライアンス違反に対する多額の罰金を伴う厳しい規制圧力をもたらす可能性があり、金融機関にサイバー耐性を重視するあらゆる動機を与えています。
金融機関がサイバーセキュリティの最前線にいた例は枚挙にいとまがない。金融機関は、他のセクターよりもはるかに早くデジタル化とプロセスの自動化を進め、大きな効率化をもたらしたが、同時にデジタル詐欺や窃盗の格好の標的にもなった。そのため、サイバー規制も他部門より早く導入された。米国では、金融機関が消費者の金融情報を保護することを義務づけた1999年のグラム・リーチ・ブライリー法(GBLA)が、他業界のサイバーセキュリティ規制よりも先行しています。より最近のものではあるが、EUのデジタル・オペレーショナル・レジリエンス法(DORA)は、金融セクターにおけるデジタル・オペレーショナル・レジリエンスに取り組むことで、認識されている規制のギャップを埋めることを目的としています。
その結果、デジタル化とそれに伴う利点に長い間焦点を当て、サイバーセキュリティ・ツールに継続的に投資し、定期的なリスク評価、インシデント対応計画、コンプライアンスへの厳格な注意といったフレームワークやベストプラクティスを高い水準で採用してきた業界がある。ビルディング・オートメーション・システム(BAS)やビル管理システム(BMS)のセキュリティ確保、IoT 環境の自動検出と修復、Wi-FiやBluetoothからLoRaやドローンに至る無線周波数のサイバーセキュリティなど、サイバーレジリエンスと最先端技術の最前線に立つチャンスは今後も訪れるだろう。
サイバー犯罪者は、これらのシステムが無防備であることが多いことを知っており、ますますこれらのシステムに注目しています。特にスマートビルでは、IT侵害の入り口となる脆弱性が数多く存在する。
現代金融機関の解剖
かつて銀行を金融の殿堂として烙印を押した荘厳な円柱、金色のドーム、石造りのガーゴイルは、今でも多くの都市や町を支えているが、それらの建物は現在、レストランやバーとして機能しているかもしれない。現代のデジタル・ファーストの銀行は、小規模な支店やサテライト・オフィスが分散しており、対面サービスはほとんど提供していない。これらの新しいビルは、エネルギー効率のためにLEED認定を受けていることが多いだけでなく、他のスマートビルと同様に、OT IoT デバイスによってほぼ完全に管理されています。
銀行やその他のCISOからよく聞かれるのは、"なぜ照明や空調システムを狙うのか?"ということだ。それらは簡単に悪用されるからです。
スマート・ビルディングは、居住者の快適性、エネルギー効率、安全性、セキュリティの両方のために、BMS/BASに依存して、オペレーションを制御し、最適化する。スマートビルのOT システムには、HVACシステム、エレベーター、照明制御、閉回路テレビ、高度警報システム、火災検知・消火システム、バッジリーダーなどの入退室管理システムが含まれる。IoT デバイスには、プリンターや電話だけでなく、ATM、安全カメラ、タッチ対応のキオスク端末、その他の取引処理用POS端末も含まれる。
これらのデバイスの多くは、旧式の独自または非標準の組み込みオペレーティング・システムを使用しており、最新のITデバイスが備えている高度なサイバー機能がない。多くの場合、暗号化や認証手段を有効にするといった基本的なサイバー衛生保護が施されずにインストールされています。このため、これらのデバイスは標準的なITデバイスよりも侵害が容易であり、インターネットに直接アクセスできるものさえ多い。
守るべきビルディングオートメーションデータセンター
デジタル時代において、銀行の至宝はもはや金庫に保管されている物理的資産だけではありません。むしろ、財務記録やその他の機密データは、通常、オンプレミス(またはコロケーション)のデータセンターとクラウドが混在して保管されています。クレジットカード・プロセッサーにとって、データセンターは、スピード、高可用性、冗長性のためだけでなく、PCI DSSに規定される、決済に関わる機密データの取り扱いに関する厳格なグローバル・セキュリティ要件を満たすためにも、インフラの重要な構成要素となっています。
多くの分野でビジネス上の重要性が高いことから、データセンターはサイバー攻撃の標的になっています。温度、アクセス、その他の制御が厳重なこれらの施設は、他のスマートビルよりもさらに高度なOT IoT 脆弱性を抱えていることが多い。しかし、ここでもサイバーセキュリティ対策は、データサーバー、ネットワーク通信、ITアプリケーションの保護に主眼が置かれています。電力、冷房、入退室管理を制御する重要なOT 見落とされがちだ。
ITセキュリティ投資によるリターンの減少
業種を問わず、OT およびIoT デバイスがデジタル資産全体に占める割合は高まっています。2024年の調査によると、OT、IoT 、その他の特殊システムは企業資産の42%を占め、中・高レベルの企業リスクの64%を占めています。規制当局からの圧力により、CISOは企業リスクに対してより大きな説明責任を負い、それを取締役会に正確に伝えることが求められています。しかし、多くのセキュリティ担当役員は、OT 資産やIoT 資産を見落としがちである。企業のIT部門が扱う範囲外ではないか?設備チームや設備管理会社が扱うのでは?あるいはOEM?これはよくある誤解だが、これらのシステムが侵害された場合、その結果に対処しなければならないのは企業のIT部門とサイバーセキュリティのリーダーである。
サイバーセキュリティへの投資がすべてITシステムに注ぎ込まれている場合、サイバーセキュリティの成熟度は十分とは言えません。IT ネットワークは、攻撃対象領域全体から見れば縮小している部分であり、拡大している部分こそ、あなたが最も理解していない部分なのです。
最近、ある銀行が警報システムのサイバー衛生を懸念して、私たちに電話をかけてきました。私たちは、システムを設置・運用しているサードパーティ業者が、デフォルトの認証情報を変更していなかったり、ファームウェアを必要に応じて更新していなかったりすることを発見しました。これは珍しいことではありません。アラーム・システムは銀行のネットワークの一部であり、情報セキュリティ部門が管理する必要がありました。
CISO やその他のサイバーセキュリティ担当役員は通常、従来の IT セキュリティまたはソフトウェア開発部門を経て、その過程で公式または非公式のビジネス・トレーニングを受けます。OT IoT リスクを引き受けるには、険しい学習曲線が伴う。銀行やその他のCISOからよく聞かれるのは、「なぜ照明や空調システムを狙うのか」という質問だ。それらは簡単に悪用されるからです。
攻撃者は、OT IoT システムがめったに監視されないことを知っているため、ネットワーク内で存在を確立し、ピボットするためのベクトルとしてそれらを使用するのが一般的です。デフォルトの認証情報で接続されているIPカメラやその他のIoT システムでは、このようなケースがよく見られます。多くのデバイスが分散攻撃によって一度に侵害され、ボットネットの構築、コマンド・アンド・コントロール・サーバーのセットアップ、データの流出に利用される可能性があります。
Nozomi Networks お手伝いします
BMS 脆弱性の例をいくつか挙げただけで、サイバーセキュリティへの投資がすべて IT システムに注ぎ込まれている場合、サイバーセキュリティの成熟度が十分でないことがお分かりいただけたと思います。ITネットワークは、攻撃対象領域全体の中で縮小している部分であり、拡大している部分こそ、あなたが最も理解していない部分なのです。
Nozomi Networks プラットフォームは、OT、IoT 、ITなど、環境内のあらゆる接続デバイスを見つけ出し、セキュアにし、その脆弱性や通信内容を把握することができます。ITに特化したベンダーとは異なり、当社のプラットフォームは、すべてのBMS/BASとIoT プロトコル(最も一般的なものを挙げると、BACnet、MQTT、RTSP、ONVIF)のディープパケットインスペクションによるパッシブモニタリングを活用しています。シュナイダーエレクトリック、三菱電機、ジョンソンコントロールズなどの大手BMSおよびエネルギー管理OEMからの投資のおかげで、他のツールではアクセスできないビルディングネットワークのより深い部分まで可視化することができます。
ネットワークセンサーでは過剰になりがちな小規模な支社では、軽量のエンドポイント・センサーが最適です。拠点や地域にまたがる一元的なリスク管理のために、ネットワーク、エンドポイント、無線センサーからのすべてのデータはクラウドで可視化され、カスタマイズ可能なリスクスコアリング、threat intelligence 、優先順位付けされた修復ダッシュボードにより、適切な対応を取ることができます。
企業のサイバーセキュリティ・リスクを管理し、接続されたすべての資産とその通信を完全に可視化し、環境の自動化されたリスク分析をご希望の場合は、今すぐお問い合わせください。