※本ブログは米国時間2024年11月25日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
NIS2指令の施行
サイバーセキュリティのレジリエンスに関するEUのNIS2指令(The second Network and Information Systems Directive)は2024年10月に全面施行され、その要件に準拠することは多くの企業、特に金融サービス分野の企業にとって大きな課題となっています。また、ほとんどのITリーダはNIS2準拠の達成に自信を持っている一方で、このサイバーセキュリティ指令によってリソースの制約やスキルのギャップなどの既存の課題が悪化していることも認識しています。さらに、2025年1月にはDORA(Digital Operational Resilience Act)が施行されます。これは金融分野に焦点を当てており、より高いレベルの可視性、制御、監視、レポートを要求することで、組織が重要なビジネスシステムに運用レジリエンスを構築できるようにすることを目指しています。
どちらの規制も、増大する脅威を理由に施行されました。しかし、最先端の脅威検知および防御テクノロジを導入したとしても、100%保護された環境は存在しません。結局のところ、セキュリティ環境の構築は毎回成功させることが求められますが、悪意ある者による攻撃は一度成功すれば十分なのです。残念ながら、攻撃の余波は壊滅的であり、データ漏洩、経済的損失、評判の失墜など、あらゆる影響が波及します。
2024年前半には DDoS攻撃の頻度が急増し、グローバルネットワークを標的としたハクティビストの活動によって引き起こされた高度なアプリケーション層攻撃が大幅に増加しました。金融サービスや公共事業などの重要インフラに対するマルチベクトルDDoS攻撃が4年間で55%増加し、重要なサービスが脅かされています。金融機関は、保有するデータの種類が原因で常に脅威にさらされています。個人データや支払いおよび銀行口座の詳細は、サイバー犯罪グループが最も狙っているものです。したがって、金融機関は、システムへの防御方法と、重要なアプリケーションシステムの回復力を高める方法を検討する必要があります。
A10ネットワークスは金融業界にとって信頼できるプロバイダであり、規制遵守への道をスムーズに進めるために設計された強力なソリューションポートフォリオを備えています。回復力の構築、リスク管理、正確でリアルタイムなレポートの簡素化は、当社のDNAに組み込まれています。SSL/TLS検査、負荷分散、次世代Webアプリケーションファイアウォール、DDoS防御などの当社のセキュリティソリューションポートフォリオは、主要な規制要件に準拠しており、悪意のある妨害や規制リスクから顧客データと企業の評判を防御します。以下は、当社がこれをどのように行っているかを示す例です。
機密データ暗号化の重要性
機密データを暗号化することは、データの転送中および保存時の安全を保つために不可欠です。実際、現在、インターネットトラフィックの95%が暗号化されており、堅牢な暗号化戦略を持つことは規制遵守の要です。適切なデータ暗号化を使用することは、NIS2指令の第21条に基づく具体的な要件であり、インフラのセキュリティと復元力、および個人識別情報(PII)の保護にも重点が置かれています。
しかし、悪意のある攻撃者も暗号化を利用しています。現在、マルウェア攻撃のほぼ半数が、セキュリティツールによる検出を回避したり、データを抽出したりするために暗号化を使用しています。コンピュータの性能が上がるにつれて、攻撃者の活動はより巧妙になり、暗号化の盲点が生じています。これにより、組織は2つの課題に直面しています。必要な標準に従って自社のデータを安全に暗号化する暗号化戦略と、セキュリティツールを回避しようとする暗号化された脅威を完全に可視化できる強力な検査機能が必要なのです。
金融機関は、TLS/SSLトラフィックを復号し、フルスタックでデータを検査できるソリューションを実装する必要があります。TLS/SSLソリューションは、復号と検査がネットワークパフォーマンスと顧客エクスペリエンスに影響を与えないように、急増する大量の暗号化されたトラフィックを処理できる必要があります。また、プライバシーやPCI-DSSなどのその他の規制要件に準拠し、機密トラフィックを選択的にバイパスできなくてはなりません。A10 Thunderシリーズによる、SSL/TLS可視化ソリューションでは、トラフィックをプレーンテキストに復号することで、リクエストを開始したユーザやそのユーザの所在地、何にアクセスしたいのかなどを把握することが可能になります。復号されたデータは、セキュリティアプライアンスに転送され、そこでチェックを無事に終えると、A10 Thunderシリーズがそのデータを必要なレベルまで再度暗号化してリクエストを宛先に転送します。
NIS2指令とDORAでは、これに加えて、ネットワークとシステムの監視やインシデントレポートについても重点が置かれています。A10 Thunder ADCは、一元化された可視性、イベント監視、アラートを提供し、セキュリティチームがこれら2つの規制が求める厳格なレポート要件を満たすことを可能にします。
Webアプリケーションの安全性と可用性の確保
A10のWebアプリケーションファイアウォール(WAF)は、NIS2指令とDORAコンプライアンスに対応するための中核となり、金融サービス企業がアプリケーションのセキュリティや常時稼働、システムの健全性維持を保証するために必要な防御を提供します。従来のWAFは管理と保守が困難です。大量の誤検知の発生のためにセキュリティチームに大きな負担がかかり、存在しない脅威の追跡に時間を費やすことを余儀なくされ、真の問題を見逃す可能性があります。一方で、A10 Next Gen WAF, powered by Fastlyを搭載したThunder ADCは、これらの課題を解決し、コンプライアンス遵守をサポートします。
A10 Next Gen WAF, powered by Fastlyは、数時間でフル機能を導入でき、直感的なユーザインターフェイスとシンプルなルール作成機能により、管理を行うための専門知識はほとんど必要ありません。トークンベースの攻撃検知アプローチは、従来のルールや静的シグネチャよりも正確で、チューニングや保守はほとんど必要ありません。
エンタープライズ対応のDDoS保護
A10は、サイバーセキュリティソリューションのポートフォリオ拡大も継続しており、マルチベクトルやボリューム型DDoS脅威を軽減したいという大企業からの要件を満たす機能の拡張に注力しています。これらは、既存のA10 DefendによるオンプレミスDDoS防御機能を補完し、クラウドで大規模なボリューム型攻撃を軽減する機能(注:日本での展開は未定)を備え、インターネットリンクのサイズやオンプレミスの容量を超える攻撃に対する保護を強化します。
ますます不確実性が高まる今日の世界では、様々なリスクが増大しています。金融機関のITリーダは、重要なアプリケーションシステムを保護するだけでなく、システムの可用性を高め、堅牢性と回復力を高める必要があります。A10ネットワークスのセキュリティソリューションポートフォリオがNIS2指令やDORAなどのコンプライアンス要件を満たすのにどのように役立つかについて詳しく知りたい場合は、eBookをダウンロードしてください。