OneSpan Blog

金融サービス企業のNYDFSサイバーセキュリティ要件:フェーズ4が今始まる

サイバーセキュリティと強力な認証
Michael Magrath, 2019年3月1日

ニューヨーク州金融サービス局(NYDFS) は約1,500の金融機関と銀行、および1,400を超える保険会社を規制しています。ニューヨークを「世界の金融資本」として、米国の金融機関の大半 NYDFS規制に該当します。さらに、多くの国際機関がニューヨークで事業を行っているため、NYDFS規制にも該当します。これらすべての銀行および金融サービス会社は、NYDFSに準拠してサイバー攻撃から資産と顧客アカウントを保護する必要があります金融サービス会社のサイバーセキュリティ要件 (23 NYCRR 500)。規制の下では、銀行と金融サービスプロバイダーは、自社のシステムを保護するだけでなく、サードパーティのリスク管理プログラムを実装する必要があります。

米国での広範なサイバー攻撃に対応して 金融機関であるNYDFSは、2017年3月1日にサイバーセキュリティ規制を施行しました。規制により、金融機関はユーザーデータをより適切に保護するために特定のポリシーと手順を実装する必要があります。規制の規定の包括的なリストを考慮すると、NYDFSは4つのフェーズでコンプライアンスのための2年間の移行期間を提供しました。

金融機関も、毎年規制遵守証明書を提出する必要があります。コンプライアンスの2番目の年次認証は暦年2018年です。これは、2019年2月15日の予定で、以下のフェーズ1〜3への準拠をカバーしています。

金融サービス会社のNYDFSサイバーセキュリティ要件の4つのフェーズ

フェーズ1(2017年9月1日発効)

  • セクション500.02 –サイバーセキュリティプログラムの開発と維持
  • セクション500.03 –文書化されたサイバーセキュリティポリシーを実装および維持する
  • セクション500.04 –組織のサイバーセキュリティポリシーを施行し、サイバーセキュリティプログラムの実装を監督する最高情報セキュリティ責任者(CISO)を指名する
  • セクション500.07-ユーザーアクセス権限を制限する
  • セクション500.10 –サイバーセキュリティ担当者とインテリジェンス:現在のサイバー脅威と対策のトレーニングと知識を確保する
  • セクション500.16 –文書化されたインシデント対応計画を作成する
  • セクション500.17-サイバーセキュリティイベントから72時間以内に、通知を監督者に送信する必要があります

フェーズ2(2018年3月1日発効)

  • セクション500.04(b)– CISOは、重要なサイバーセキュリティリスクおよびサイバーセキュリティプログラム全体について、組織の経営幹部または取締役会に報告する必要があります。
  • セクション500.05-毎年の侵入テストと年2回の脆弱性評価を実装する
  • セクション500.09-定期的なリスク評価を実施する
  • セクション500.12 –多要素認証(MFA)
    • リスク評価に基づいて、各組織は、非公開情報または情報システムを不正アクセスから保護するために、リスクベースの認証または多要素認証を含むことができる効果的な制御を使用する必要があります
    • MFAは、外部ネットワークから組織の内部ネットワークにアクセスする個人に使用する必要があります(唯一の例外は、組織のCISOが同等またはより安全なアクセス制御の使用について書面による承認を与えた場合です)
  • セクション500.14(b)–すべての担当者にサイバーセキュリティ意識向上トレーニングを提供する
Missing メディアアイテム.

フェーズ3(2018年9月1日発効)

  • セクション500.06 –サイバーセキュリティイベントを検出して対応するために監査証跡を実装する必要があり、組織は5年以上のトランザクションの記録と3年以上のサイバーセキュリティイベントの記録を保持する必要があります。
  • セクション500.08 –アプリケーションのセキュリティ:組織のサイバーセキュリティプログラムには、社内アプリケーションの安全な開発手法の使用とサードパーティによって開発されたアプリケーションのセキュリティを評価する手順を確実にすることを目的とした文書化された標準、手順、ガイドラインが含まれている
  • セクション500.13 –データ保持の制限を実装する
  • セクション500.14(a)–組織は、承認されたユーザーのアクティビティを監視し、非公開情報への不正アクセスを特定するために、リスクベースの手順、ポリシー、および制御を開発する必要があります
  • セクション500.15 –非公開情報の暗号化を確実にする

フェーズ4(2019年3月1日発効):2年間の移行期間の終了

サードパーティのサービスプロバイダーのセキュリティポリシーに関する規則のセクション500.11に従って、「組織は、サードパーティのリスク管理プログラムが情報システムと非公開情報を確実に保護するための手順とポリシーを文書化する必要があります。」

これらのポリシーの主要な規定は、以下を含む金融機関独自のシステムに適用されます。

  • サードパーティのサービスプロバイダーによってもたらされるリスクからユーザーを保護するために設計された文書化されたポリシーと手順
  • サードパーティサービスプロバイダーの識別とリスク評価
  • サードパーティに必要な最小限のサイバーセキュリティ対策
  • デューデリジェンスによるサードパーティのサイバーセキュリティプラクティスの評価
  • 定期的なリスクベースの評価

さらに、サードパーティのサービスプロバイダーに関するポリシーと手順には、デューデリジェンスと契約上の保護に関する次のようなガイドラインを含める必要があります。

  • 多要素認証を含むアクセス制御
  • 暗号化
  • サイバーセキュリティイベントに対応して主要組織に提供される通知
  • サードパーティのサイバーセキュリティポリシーおよび手順の説明と保証

金融サービス会社向けのNYDFSサイバーセキュリティ要件のフェーズ4の実装

フェーズ4は今年実施する必要がありますが、銀行および金融機関は、2020年2月15日まで、規制のサードパーティサービスプロバイダーのリスク管理規定への準拠を証明する必要がないことを指摘することが重要です。

ニューヨークを拠点とするいくつかの金融機関の顧客として、私は自分のアカウント情報がこの強力な規制によって保護されていることを非常によく理解しています。金融サービス会社のNYDFSサイバーセキュリティ要件は、悪意のある攻撃からユーザーデータを保護するために大いに役立ちます。

MFA nydfs
Michael Magrath
Michael Magrath

Michael Magrathは、OneSpanのソリューションロードマップをグローバルな標準および規制要件に合わせる責任があります。 彼はFIDOAllianceのGovernmentDeployment Working Groupの共同議長であり、Electronic Signature and Records Association(ESRA)の理事会に所属しています。

このページの一番上へ