金融サービスのサイバーセキュリティ：ニューヨークのDFSとNISTが多要素認証に対応

ニューヨーク州金融サービス局（DFS）は、1,400を超える保険会社と約1,500の銀行および金融機関を規制しています ¹ 。当然のことながら、ニューヨークは「世界の金融の首都」であり、圧倒的多数の米国が 金融機関およびニューヨークで事業を行う多くの国際機関は、DFS規制の対象となります。

米国への広範なサイバー攻撃を考えると 金融機関、DFSは金融サービス会社のサイバーセキュリティ要件 。一部の要件は2017年後半に発効しましたが、他の要件は移行期間中に延期されました。米国国土安全保障省によって定義された16の重要インフラセクターの1つとして、金融サービス業界は、アイデンティティとアクセスの管理、およびサイバーセキュリティのセクターに指針を求めてきました。

DFS規制の規定の多くは、米国連邦情報・技術局（NIST）が最終決定するのとほぼ同時に発効します。重要インフラストラクチャのサイバーセキュリティを改善するためのフレームワーク 、バージョン1.1。

NISTによると、サイバーセキュリティフレームワークのバージョン1.1は「認証に対処するためにサブカテゴリを追加し、Identity ManagementおよびAccess Controlカテゴリ内でいくつかの言語の改良が行われました。」

DFS規制には、金融サービス組織がデータをよりよく保護することを要求するポリシー、手順、および実装をカバーする22の異なる規定が含まれています。この投稿では、多要素認証とアプリケーションセキュリティという2つのプロビジョニングについて説明します。

サイバーセキュリティフレームワーク、セクション500.12：多要素認証 （発効日：2018年3月1日）

リスク評価に基づいて、非公開情報または情報システムへの不正アクセスから保護するための効果的な制御を実装する必要があります。コントロールには、多要素認証（MFA）またはリスクベースの認証が含まれる場合があります。つまり、CISOが合理的に同等またはより安全なアクセス制御を使用するための書面による承認を提供していない限り、MFAは外部ネットワークから内部ネットワークにアクセスするときに使用する必要があります。

CSOonlineで述べたように、規制は依然としてMFAを必要としますが、NISTで定義されている特定のNISTオーセンティケーター保証レベルを義務付けるほど制限的ではありません。デジタルIDガイドライン 。金融サービス組織は、さまざまな認証ソリューションから選択できます。

MFAテクノロジーは、PKIスマートカードの時代から長い道のりを歩んできました。金融サービス組織は、ユーザーフレンドリーで安全なソリューションを展開しながら、DFSに準拠できます。

セキュリティベンダーは、セキュリティとユーザビリティのバランスを達成しているか、達成に非常に近いと主張することができます。生体認証対応のモバイルデバイスは、革新への水門を開きました。モバイルデバイスには、ユーザーの顔の画像やビデオをキャプチャできる高品質のカメラと、音声認識技術を活用するためのマイクが装備されています。指紋、音声、顔認識は、銀行や保険を含む多くの業界で使用されています。さらに、ワンタイムパスワード（OTP）ハードウェアトークンから安全なOTPアプリおよびプッシュ通知への移行も行われています。その結果、コンプライアンスは、内部統制のために顧客がすでに使用しているテクノロジーを展開することの問題にすぎない場合があります。

順守期限は過ぎていますが、引き続きお問い合わせをいただいております。追加情報またはガイダンスについては、お問い合わせフォーム多要素認証ページにあります。

サイバーセキュリティフレームワーク、セクション500.08：アプリケーションセキュリティ （発効日：2018年9月1日）

CSOonlineで述べたように、DFSルールは、社内で開発されたアプリケーションの安全な開発手法の使用と、外部で開発されたアプリケーションのセキュリティの評価、評価、またはテストの手順を確実に使用できるように設計された手順、ガイドライン、標準を強調しています。さらに、手順、ガイドライン、および標準は、「CISOによって必要に応じて定期的にレビュー、評価、更新されるものとします」。

ほとんどの組織は、500.08に準拠していることをすでにチェックできると思います。ただし、コンプライアンスは1つのことですが、アプリケーションを真に保護することは別です。エンドユーザーのモバイルデバイスへの継続的な移行により、金融サービス組織はモバイルアプリケーションを保護および強化し、この重要なステップを製品開発およびリリースサイクルに組み込んで、データとトランザクションの整合性を保護する必要があります。

モバイルアプリは使いやすさとスマートフォンからの即時アクセスを提供しますが、実行中のマルウェアやリアルタイム攻撃への露出を増加させる可能性があります。追加することによりモバイルアプリケーションのシールド 、金融機関は以下を選択できます。

• セキュリティの問題を検出すると、アプリケーションを終了させます。または
• アプリケーションに通知を提供します。これは、アプリケーションが続行する方法を決定できるようにセキュリティチェックの結果を指定します（たとえば、潜在的なセキュリティリスクについてユーザーに通知します）。

モバイルチャネルでのコンプライアンスの詳細については、お問い合わせフォームアプリケーションシールドページにあります。

NAIC保険データセキュリティモデル法

2017年12月、全米保険委員会協会（NAIC）は、保険データセキュリティモデル法 、DFSサイバーセキュリティ要件の多くの規定を活用します。

過去数年にわたって保険業界に影響を与えてきた大規模な違反を考えると、多要素認証要件がモデル法に含まれていないことは驚くべきことです。ただし、モデル法は、MFAを含む可能性のある効果的なコントロールの使用を推奨しています。モデル法が全国的に採用され、実施されているので、州がMFAを省略しているとしたら、私は非常に驚きます。

ID管理と多要素認証は、サイバーセキュリティにおいて重要な役割を果たします。組織が静的なパスワードに依存する代わりにMFAソリューションを展開していれば、最近の違反は多すぎて回避できたはずです。ニューヨークのDFS、NIST、およびNAICが講じた措置により、最新のテクノロジーを活用して機密情報を保護するための金融サービス（およびそのためのすべての企業）の必要性が高まっています。

1。http://www.dfs.ny.gov/reportpub/annual/dfs_annualrpt_2016.pdf
2。https://www.dhs.gov/financial-services-sector
3。https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf

次の記事は、グローバルレギュレーション＆スタンダードのディレクター、マイケルマグラスが執筆したもので、2018年2月28日、 CSOオンライン 。