SAMAサイバーセキュリティフレームワークのコンプライアンス:シームレスで安全なデジタルバンキングエクスペリエンスの提供

Charbel Diab, 2019年2月5日

によるガートナー 、サイバーセキュリティは、2019年に中東および北アフリカ(MENA)の企業や金融機関が直面する主要なリスクの1つです。世界中でそうであるように、銀行は、マルウェア、フィッシング、アカウント乗っ取り詐欺などのサイバー脅威に対抗する革新的な方法を探していると同時に、顧客体験を最適化し、コンプライアンスを強化しています。

最近IDCから戻った銀行および金融会議サイバーセキュリティと規制の遵守などのリヤドでは、 SAMAサイバーセキュリティフレームワークデジタルカスタマーエクスペリエンスと同じくらい議論の一部でした。不正防止を通じてデータ、トランザクション、デバイス、ユーザーを保護する必要性、モバイルアプリのセキュリティ 、そして強い顧客認証銀行の成長戦略に深く組み込まれています。中東全体で、特にモバイルバンキングがこの地域で地位を獲得するにつれ、この分野で革新するために新興技術を活用することに多くの注目が集まっています。これをサポートするために、MENAでのInfoSecの支出は、昨年からほぼ10%増加し、 2019年は19億米ドル

SAMAサイバーセキュリティフレームワークのコンプライアンス

サイバー脅威に対する耐性を向上させるために、サウジアラビア通貨庁(SAMA)は、 SAMAサイバーセキュリティフレームワーク 2017年5月。これは、世界中の政府および銀行業界の規制当局がサイバーセキュリティの基準とガイダンスを導入しているという世界的な傾向に従っています。良い例は、改正された欧州決済サービス指令(PSD2)で、強力な顧客認証要件以来、世界中の安全なオープンバンキングの触媒となっています。バーレーン

サウジアラビア通貨庁は、次のような業界標準のフレームワークに基づいて規制を策定しました。

サウジアラビアで事業を行うすべての銀行、保険会社、および金融会社は、SAMAサイバーセキュリティフレームワークを採用することが義務付けられています。

適応型認証:インテリジェントなセキュリティを通して、優れたユーザーエクスペリエンスと成長を
白書

適応型認証:インテリジェントなセキュリティを通して、優れたユーザーエクスペリエンスと成長を

このペーパーをダウンロードして、詐欺を減らし、顧客を喜ばせるという2つの目標を達成してください。

今すぐダウンロード

SAMAコンプライアンスの4つの主要な重点分野

カンファレンスでのプレゼンテーション中に、王国の銀行がSAMAに完全に準拠するためだけでなく、顧客とのデジタル信頼を築くためにも採用すべきサイバーセキュリティ戦略とテクノロジーについて説明しました。これが将来の成長の鍵を握っています。

チャーベルディアブがリヤドで開催されたIDCのBanking&Finance Congressで発表

フレームワークの4つの重要な側面を次に示します。

1。アイデンティティとアクセス管理: セクション3.3では、サイバーセキュリティの運用と技術 、SAMAは、アイデンティティおよびアクセス管理 (わたし)。フレームワークは、特権およびリモートアクセス管理のための多要素認証(MFA)を指定します。銀行は次の2つの目的でMFAを必要とします。

  • 強力な認証を使用してオンラインおよびモバイルバンキングへの顧客のログインを保護することにより、顧客のデータと金融資産を保護します。
  • 企業ネットワークとVPNへの従業員のリモートアクセスを保護し、データにアクセスして盗もうとする悪質な行為者から保護するため。

ログインに加えて、フレームワークはこれらの使用例に対してMFAを要求します。

  • 受益者の追加または変更
  • ユーティリティおよび政府決済サービスの追加
  • 高リスクのトランザクション(事前定義された制限を超える場合)
  • パスワードのリセット

市場には多くの多要素認証オプションがあります。サウジアラビアの銀行は、広範囲をサポートするベンダーを探す必要があります認証モバイルユーザー向けのハードウェアトークンやソフトウェア認証など、さまざまなチャネルにわたる方法。最新のクラウドベースの多要素認証ソリューションは、ネイティブバイオメトリクス、FIDO U2FまたはUAF、行動バイオメトリクスなどを備えたモバイルアプリを通じて可能になる、インテリジェントアダプティブ認証とも呼ばれるステップアップ認証を活用します。

2。安全なチャネル: セクション3.3.13では、電子バンキングサービス SAMAは、「中間者攻撃を回避するための通信技術の使用(オンラインおよびモバイルバンキングに適用可能)」を要求します。このタイプの攻撃では、詐欺師は通信を傍受するために銀行と顧客の間に自分自身を配置します。このような攻撃により、友人への5,000 SARの真の転送が、顧客に気付かれずに、詐欺師への50,000 SARの不正な転送に変わる可能性があります。  これが発生する最も一般的な方法の1つは、悪意のあるWi-Fiネットワークまたはパブリックホットスポット(不正アクセスポイントと呼ばれる)を介したものです。消費者は公共のホットスポットの利便性を楽しんでいますが、悪意のある俳優によって制御されているネットワークを介して支払いデータを転送しているかもしれません。中間者攻撃から顧客を保護するために、銀行はCrontoを実装できます ® 安全なビジュアルクリプトグラム。この動作を確認するには、このブログを読むまたはビデオを見る

安全なビジュアルクリプトグラム

3。モバイルアプリケーションシールド: セクション3.3.13では、電子バンキングサービス SAMAは、モバイルアプリのセキュリティ要件の概要を説明しています。これには、モバイルアプリのコードを変更しようとする試みの防止と検出、サンドボックステクニック、モバイルアプリが侵害されるさまざまなリスクの軽減などの要件が含まれます。モバイルに関して重要な考慮事項の1つは、ユーザーが脅威の状況を十分に認識しておらず、特にAndroidで必要な保護対策を常に実行しているわけではないという事実です。による GlobalStats 、Androidは、iOSで65%から34%で王国のモバイル市場をリードしています。

同時に、多くの銀行はまだモバイルアプリケーションを開発していないか、モバイルチャネルを監視していないか、モバイル詐欺に関する十分な経験がありません。しかし、モバイルマルウェアは増加しています。カスペルスキー研究所によると、モバイルデバイスのユーザーを攻撃するバンキング型トロイの木馬 2018年には2倍になりました。そのため、モバイルなどのクライアント側のプロアクティブなセキュリティ対策を適用しますアプリのシールド必需品となっています。適切なセキュリティ対策とMFAメカニズムを導入することで、銀行やその他の金融機関はアプリを攻撃から守るだけでなく、ユーザーエクスペリエンスを簡素化できます。銀行は、以下を含む最も便利な認証方法を提供することが重要ですモバイル生体認証 、そして進歩を続けるモバイルアプリのセキュリティバックグラウンドで実行され、ユーザーには見えません。

4。不正の検出と防止: セクション3.3.16では、脅威管理 、フレームワークは詐欺の使用を指定し、危機管理 。デジタルチャネルを介して提供される金融商品が増えるにつれ、銀行の攻撃面は急激に拡大しています。ペースを維持するために、グローバル市場は機械学習と洗練されたデータマイニングとモデリングを利用して、リスクと詐欺の最も正確な予測を得ています。最新の詐欺検出および防止プラットフォームは、すべてのデジタルチャネルにわたる複数のソースからの膨大な量のデータを分析して、最も正確なリスクスコアを保証します。これらのスコアは、事前定義済みまたは銀行定義のセキュリティポリシーやルールに基づいて即時アクションを可能にするインテリジェントワークフローを推進します。

Forrester'sによると 2017年から2023年までの不正管理ソリューション予測(グローバル) 、詐欺管理ソリューションへの世界的な支出は5年間で倍増し、2023年までに100億ドルに達すると予想されています。詐欺管理の支出から完全なROIを引き出すための鍵は、強力なセキュリティと最適なユーザーエクスペリエンスという2つの目標を達成できるベンダーと協力することです。

議論を続けましょう

今日のデジタルバンキングの顧客にとって、金融プロバイダーとの取引は安全であると同時に簡単でなければなりません。顧客がセキュリティについてさえ考えないほど簡単で摩擦のないものでなければなりません。可能な限り最高のカスタマーエクスペリエンスを実現するためには、セキュリティを適切に実行する必要があります。これは、デジタルおよびモバイルバンキングサービスの顧客ロイヤルティ、維持、使用の改善を通じて成長を促進するためです。

これらすべては銀行が新しい技術で革新することを必要とします。デジタルカスタマーエクスペリエンスの革新について話し、デジタル製品への信頼を築くには、 Charbel.Diab @OneSpan .com

Charbel Diabは、OneSpanで中東、アフリカ、パキスタンの地域セールスディレクターを務め、この地域で3年間営業活動を率いています。OneSpanに参加する前は、中東の有名なIT企業で数多くのインストゥルメントの役割を果たしていました。