ソリューションの概要
適切なGRCフレームワークでコンプライアンス監査を合理化
ガバナンス、リスク、コンプライアンスの基準から外れると、コストがかかります。米国財務省の外局は、2020年8月から10月の間に大手金融機関に6億2500万ドルの制裁金を科しました。
監査プロセスの合理化
次の監査がいつ開始されるかはわかりません。監査が始まれば、フルタイムのエンジニアが必要な調査とコンプライアンスの証明作業にかかりきりになり、最長で6か月にわたってその時間と労力を奪われかねません。
残念ながら、OCCが組織に罰金を科すことができる実例は数多くあり、最近では米国の大手銀行が8500万ドルの罰金を科されました。彼らは調査結果で次のように述べています。
- 当行は、当行の規模、複雑さ、リスク プロファイルに見合った、効果的なコンプライアンス リスク管理プログラムと効果的な情報技術リスク ガバナンス プログラムを実装および維持していない。
ガバナンス、リスク、コンプライアンス基準を満たすことが難しい場合もありますが、それが重要なビジネス目標の達成を妨げることがあってはなりません。F5を利用すれば、監査プロセスを合理化することができます。その第一歩は成熟したサイバーセキュリティを導入することです。
図1:この図は、コンプライアンスの重要な要素である成熟したサイバーセキュリティを実現するための重要な要素を示しています。
主な特長
監査リスクのベクトルを詳細に可視化
小さな問題は、手遅れになるまで隠れている可能性があります。そして手遅れになれば、監査人によって高額の制裁金が科されたり、面倒なコンプライアンスの証明作業を命じられたりすることになります。アプリケーションを包括的に可視化することで、問題がどこに隠れていても、問題が大きくなる前にすばやく見つけ出して分離し、解決することができます。
業界で実証されたF5のサポート
業界で実証されたF5のサポートは、組織があらゆる種類の監査に最善の状態で備えるために必要とされる重要な基準や手順を作成できるようお手伝いします。また、監査人との話し合いでもお客様の側に立ち、コンプライアンスに関する議題をより深く掘り下げることができるようサポートします。
すぐに利用可能な、コンプライアンス対応のソリューション
監査人は、金融機関に対してより高度なサイバー成熟度を期待しています。多くの場合、コンプライアンスのチェックリストを確認するだけでは十分ではありません。F5のソリューションは、高いレベルのサイバー成熟度を推進することで、監査人に良い印象を与え、それによって監査による不満やストレスを最小限に抑えることを目的として構築されています。
コンプライアンスは単なるチェックリストの確認作業ではない
監査プロセスを効果的に合理化するには、プロアクティブな取り組みが必要です。適切なアプローチとアプリケーション ソリューションが不可欠です。F5は、それらに役立つ幅広い製品とサービスを提供しています。
製品 |
用途 |
| BIG-IP Access Policy Manager | アクセス制御、SSL VPN |
| BIG-IP Advanced Firewall Manager | ファイアウォール制御、セグメンテーション、アクセス |
| BIG-IP Application Security Manager/Advanced WAF® | アプリケーションのセキュリティ、脆弱性(PCI DSSコンプライアンスにはWAFが必須) |
| BIG-IQ Centralized Management | 管理プラットフォーム、構成管理、テレメトリ、ロギング |
| クラウド・サービス | DNS、DNS Load Balancer、Essential App Protect:セキュリティ管理、分析、規制当局や監査人向けの可視性、経験、サポートを提供します。 |
| BIG-IP DNS | DNSセキュリティ(攻撃を受けやすい) |
| NGINX Controller | NGINX Ingress Controllerは、Kubernetesやコンテナ化環境におけるクラウドネイティブ アプリケーション向けのクラス最高のトラフィック管理ソリューションです。 |
| NGINX Plus | アクセス、ロギング、WAF |
| Shape | 不正行為防止、ボット対策、拒否/欺瞞オプション |
| Silverline | SOCS、DDoSの緩和、アプリケーション セキュリティ、ボット対策、構成管理(PCI DSSコンプライアンスにはWAFが必須) |
| SSL Orchestrator | 可視性、大規模なSSL復号化 |
| Secure Web Gateway | Webゲートウェイ、外部アクセス、データ漏洩 |
基準と手順の作成およびガバナンス
業界で認められたF5の専門家が、組織があらゆる種類の監査に最善の状態で備えるために必要とされる重要な基準や手順を作成できるようお手伝いします。コンプライアンスを重視し、継続的な監視を行わなければ、組織は多くの場合、Payment Card Industry Data Security Standard(PCI DSS)の検証プロセスなど、重要な規制やコンプライアンス基準を満たすことができません。
進化したアプリケーション開発方法が鍵
特にコンプライアンス要件を考慮する場合、レガシー インフラストラクチャを使用しながら最先端で利便性の高いアプリケーションを構築し、提供するには、課題と限界が伴います。各機関がデジタル トランスフォーメーションを進めていく際、大きな成果を裏付けるために必要な一貫性と整合性を引き出すには、柔軟性が高く拡張可能なエンタープライズ アプリケーション アーキテクチャ(EAA)が役立ちます。これは、アプリケーションのセキュリティ、パフォーマンス、信頼性への期待に応えるための必須要件です。
進化したEAAアプローチは、イノベーションへの取り組みをビジネス戦略と連携させ、新技術の容易な統合をサポートすることで、組織の俊敏性を確保します。適切なEAAを導入することで、開発者は場所やデバイスを問わず、基準や規制に準拠した最新のアプリケーションを迅速かつ安全に提供できるようになります。
ステップ1:EAAとビジネス目標を連携させ、イノベーション、俊敏性、リスクの適切なバランスを決定する。
ステップ2:アプリケーションのインベントリを作成する。エンタープライズ ポートフォリオに含まれるすべてのアプリケーションを把握します。
ステップ3:ポートフォリオの各アプリケーションのセキュリティ リスクを評価し、適切なソリューションを割り当てる。いくつかの例を挙げます。
- 規格や規制を満たすために必要なハードウェアとソフトウェアのFIPS認定
- 既存および新たなOWASPの脅威に対するWebアプリケーションとAPIの保護
- 動的なポリシーベースの復号化、暗号化、複数の検査デバイスにわたるトラフィック ステアリングによるSSLオーケストレーション
ステップ4:アプリケーションのカテゴリを定義し、それぞれに必要なアプリケーション サービスを指定する。
ステップ5:アプリケーションの導入と管理に関するパラメータを設定する。これには以下が含まれます。
- 導入オプションを理解する
- 関連コスト、消費モデル、コンプライアンス/認定プロファイルを評価する
ステップ6:役割と責任を割り当てる。以下を推奨します。
- セキュリティを含む、EAAの各コンポーネントの責任者を明確にする。
- 個々の貢献者、部門、部門横断的な委員会など、責任の所在を認識する。
ステップ7:セキュリティを最適化するために、組織全体でEAAアプローチを実施する。これには以下が含まれます。
- ユーザー アクセス制御やコードの脆弱性スキャンなどの自動化されたメカニズムを活用する
- 従業員のトレーニングとコミュニケーションを組織全体で導入する
ステップ8:継続的にサイバー成熟度を達成できるよう、F5の専門家と連携する。
基準と手順のガバナンスを作成するために割り当てるべき重要な役割
構成コンプライアンス チーム リーダー
構成管理は実装が難しい場合があります。そのため、リーダーを指名することが必須となります。構成の標準を維持し、構成のずれを最小限に抑えるための自動化ツールには、以下のようなものがあります。
- Declarative Onboarding
- AS3
- Telemetry Streaming
- Cloud Formationのテンプレート
エンタープライズ アプリケーション アーキテクチャ チーム リーダー
このイニシアチブの進捗と優先順位を監督する人がいなければ、この重要な機能はその道を見失ってしまいます。また、組織全体の基準も、この専任の役割がいなければ行き詰まります。
監査所有者
監査ごとに主要な監査項目を継続的に可視化することが重要です。各チームには、F5のソリューションを所有し、アプリケーションやネットワークからの詳細なデータを活用して監査関連の問題を迅速に解決するために必要なインサイトを提供する方法を持つチーム リーダーが必要です。
F5のアプリケーション中心のダッシュボードを共有することで、ネットワーキング、開発、セキュリティの各チームが必要なデータにアクセスでき、共同で問題解決に取り組むことができます。
監査プロセスの合理化
監査が行われるとなれば、それが最悪のタイミングであっても、F5は監査現場で監査プロセスの合理化をサポートします。F5の数十年にわたる経験、詳細な分析とテレメトリ、すぐに利用可能なコンプライアンス対応のソリューションは、監査による不満やストレスを最小限に抑えることを目的としています。
すべては詳細な分析から始まります。アプリケーションの健全性やセキュリティの状態をチェックし、カスタマイズ可能なダッシュボードから得られる実用的なインサイトを使用して、コンプライアンスに関する多くの問い合わせに対応することができます。これらのすべてが、シンプルで使いやすいSaaSモデルで提供されます。
監査人から求められれば、数分以内に目的のものを正確に取り出すことができます。
図2:アプリケーションの詳細。アプリケーション固有のトポロジ、健全性、インサイト、イベントの詳細をすぐに確認できます。
F5をご利用になれば、次回の監査プロセスではもう一人ではありません。次の監査人との話し合いの結果がどのようなものであっても、コンプライアンスに関する議題をより深く掘り下げるためのサポートを当社の専門家にご相談ください。
F5がお手伝いできること:
- 暗号化された脅威を明らかにする
- 特権ユーザー アクセスをより適切に管理できるようにアクセス制御の詳細を提供する
- 特定の監査要件に対応できるようエクスポート可能なレポートをカスタマイズする
- セキュリティ対策に関する注意事項を提供する
まとめ
監査プロセスは、時間がかかり、ストレスがたまるものです。次の監査がいつ始まるかを金融機関の従業員が知ることはなく、関連する業務はかかりきりで作業する必要があることが多く、そのための資金はほとんどありません。適切なソリューションとサポートがなければ、監査が6か月に及ぶこともあり、是正作業や次の監査につながることもあります。
F5は、金融機関の監査プロセスの合理化において実績があります。当社のソリューションは、監査による不満やストレスを最小限に抑えることを目的としています。
詳細については、F5の銀行および金融サービス ソリューションをご覧いただくか、F5の担当者までお問い合わせください。