金融情報を安全に保つとなると、暗号化は利用可能な中で最も重要な手段の1つとして際立っています。金融機関は、送金中に機密データを守るために、AES-256などの業界標準の暗号化プロトコルに強く依存しています。数字にも注目です。ベライゾンの最新データ侵害に関する報告書によると、適切な暗号化が導入されていれば、すべての侵害のほぼ60%は完全に阻止できた可能性があります。金融システムを扱う人にとって、異なる暗号化アプローチがどのように機能するかを理解しておくことは理にかなっています。対称暗号化は大量のデータを迅速に処理できるため、銀行が日常業務でよく使用しています。一方で非対称暗号化はより強固な保護を提供しますが、それには代償があります。この方式を使うと取引に時間がかかるため、最大限のセキュリティと顧客がイライラしない程度の迅速さの間で、よくあるジレンマが生じることになります。
多層的なアクセス制御を導入することは、不正アクセスを防ぎ、財務データを安全に保つために非常に重要です。基本的な考え方は、さまざまな確認手段や認証方法を組み合わせることで、誰が実際にどの情報にアクセスしようとしているのかを確実に把握することです。例えば、ロールベースのアクセス制御(RBAC)では、従業員は自らの会社内での役職に応じて必要な情報にだけアクセスできます。これにより、必要以上にアクセス権を持ち歩くことがなくなるため、意図的または偶発的な情報の誤使用を防ぐことができます。そのうえで、企業は定期的に誰がどのアクセス権を持っているかの確認作業を行うべきです。このような監査により、権限昇格(privilege escalation)といった問題を発見することができます。権限昇格とは、誰かが不当に高いアクセス権を保有してしまう状況です。実際に、多くの企業で新人スタッフが管理者レベルの権限を誤って持ってしまっているケースが見受けられます。これは単にアクセス権の見直しが適切に行われていないためです。定期的な監査は単なる書類上の作業ではなく、システムの安全性を保ちつつ、各従業員が必要最低限の情報だけを見られるようにするために非常に効果的な手段です。
最近、多くの人がオンラインで購入を行うため、リアルタイムでの詐欺検出が取引中に資金を安全に保つために絶対的に必要となっています。詐欺が即座に発見されれば、銀行や販売店は大きな損失を生じる前に悪意ある行為者を阻止することができます。研究によると、機械学習は詐欺を示唆する可能性のある疑わしいパターンを検出するのにかなり効果的であることが示されており、これは正当な取引が誤って検出されるケースが少なくなる一方で、実際の詐欺案件の多くを依然として検出できるということを意味しています。しかし、新しい詐欺検出技術を何十年も前に構築された古い決済システムと接続しようとするときには問題があります。多くの企業がこのような互換性の問題に苦労しています。幸いにも、APIを使用して複数のシステムを接続したり、小さくて交換可能な部品からソフトウェアを構築するなどの新しい手法が、この問題の解決に役立っています。こうした方法により、企業は既存のインフラ全体を完全に置き換えることなくセキュリティをアップグレードできるため、長期的には時間と費用を節約することができます。
デスクトップとサーバーを適切に設定しておくことは、金融データを不正アクセスから守る上で依然として重要です。金融機関では、バックグラウンドで動作している未使用のサービスを無効にし、ソフトウェアを定期的なパッチで最新の状態に維持し、銀行環境向けに設計されたセキュリティ基準を導入する必要があります。現実世界でのインシデントは、設定が不十分であることが重大なセキュリティホールを生むことを示しています。ある著名な事例では、ある銀行のサーバー設定が開放されたままであったために、ハッカーが何百万人もの顧客の機密情報を盗むことができました。こうしたミスは、厳格なセキュリティ対策が不可欠であることを浮き彫りにしています。組織が初期の段階から適切な設定を行えば、個々のコンピューターを保護するだけでなく、サイバーセキュリティ全体の姿勢を運営全般にわたって強化することができます。
NISTのサイバーセキュリティFramework(枠組み)は、企業がサイバー攻撃を識別し、対処し、そのリスクを軽減するための重要なロードマップとして機能します。組織内で適切にこのフレームワークを活用することで、攻撃に対する全体的なレジリエンス(回復力)が高まります。これは日々リスク管理に向き合うCFO(最高財務責任者)にとって特に重要な点です。体系的なセキュリティアプローチにより、常に新たな脅威から機密性の高い財務情報を守ることができます。もちろん、このフレームワークを実際に導入するには困難が伴います。多くの企業がリソースの十分な割り当てや技術的詳細の理解に苦労しています。こうした障壁は、適切な従業員トレーニングや各企業の個別ニーズに合わせた長期的な計画戦略によって乗り越えることが可能です。
GDPRおよびCCPAの規則を正しく理解し、これに対応することは、データの適切な管理とセキュリティ確保において極めて重要です。これらの法律は、企業に対し個人情報に関するかなり厳格な保護措置を実施することを求めています。これに従わない場合、重大な罰金が科される可能性があります。また、これらの規制の影響は国内企業にとどまらず、国境を越えて事業を展開し、国間でデータを転送する際の対応にも及ぶため、コンプライアンスの確保はしばしば複雑かつ困難になります。最高財務責任者(CFO)にとっては、これらの規則への順守が優先事項のひとつとなるべきです。罰金を課せられた場合、それは企業の財務状況に深刻な影響を与えるからです。さらに、国際市場で健全な事業運営を維持するためには、顧客やパートナーに対して企業がデータのプライバシーを真剣に受け止めていることを示すことが不可欠です。
SECは、企業がサイバーセキュリティ侵害について投資家に通知するタイミングに関して厳しい規則を設けており、これは企業が財務状況について開示し続けることの重要性を示しています。首席財務責任者(CFO)にとって、これらの規制に精通することは単なる書類作業ではなく、企業の安定性に対する株主の信頼を維持するという職務の一部です。近年を振り返ると、セキュリティ問題を適切に開示しなかった企業に対するSECの罰則が増加している明確な傾向が見られます。昨年第4四半期だけで、データ侵害の報告を遅らせたために3つの大企業が罰金を科されています。賢明な企業は事前に強固な対応戦略を構築して備えます。これには、インシデントを迅速に特定するための明確なプロトコルを設けること、数日ではなく数時間以内に関係者に通知すること、そしてプロセス全体を通して透明性の高いコミュニケーションを維持することが含まれます。適切に対応されれば、こうした状況が必ずしも企業の評判や収益に破滅的な影響を与えるとは限りません。
サプライチェーン全体にわたる企業データの安全を確保するためには、取引先のリスク管理が不可欠です。第三者機関のセキュリティ侵害によって企業に重大な問題が生じたケースは過去に多くあり、適切な審査がいかに重要かを物語っています。企業では、Security Intelligence Gatheringフレームワークなどのツールや定期的な第三者機関のチェックを活用して、パートナーの真正なセキュリティ状況を評価しています。このような評価は、外部の協力者によって機密情報が漏洩しかねない状況を防ぐために役立ちます。財務の責任者にとっても、取引先の審査に時間をかけることは単なる良い慣行ではなく、サプライヤーとの関係に潜む潜在的な脅威から自社を守るための必要条件です。結局のところ、下請け業者の不十分なサイバーセキュリティ対策によって自社の評判が傷つくことを誰も望んでいません。
AI技術の進化により、ネットワーク内部の脅威の検出方法が一変し、サイバーセキュリティにおける新たな可能性が開かれました。企業は現在、機械学習やさまざまなAIシステムを活用して問題を未然に検知し、重大な問題になる前に対応しています。いくつかの研究では、これらのAIを活用したアプローチにより、従来の方法と比較して脅威の検出率が約80%向上するとも示されており、セキュリティチームがシステムを保護する上で大きなアドバンテージとなっています。AIを既存のセキュリティ構成に導入する際、良好な結果を得るためには、すべての要素がスムーズに連携し合うように構築することが重要です。これは、さまざまなAIツールが既存の仕組みにどれだけ適合するかを評価しつつ、特定のビジネスニーズに合わせて調整することを意味します。多くの組織では、自社の固有の要件を丁寧に理解することで、結果的により良い成果を得られることが分かっています。
ブロックチェーン技術は、取引の透明性と誠実性を確保するうえで、他とは一線を画す特長を持っています。その中でも際立っている点は、一度記録された情報は後から誰も変更できないという性質です。これにより、自然と監査の証跡が形成されます。機密性の高いデータのやり取りを扱う企業にとっては、この特徴は非常に役立ちます。たとえばIBMは、実際にブロックチェーンを監査プロセスに導入し、セキュリティの向上とデータエラーの削減を実現しています。しかし、依然としていくつかの障壁が存在しています。多くの人々は、ブロックチェーンはスケーラビリティに欠けるとか、理解が非常に難しいと感じています。こうした誤解を乗り越えることが、ブロックチェーンが監査にもたらす可能性を広げる鍵となります。そのためには、ブロックチェーンの仕組みについての教育を深めるとともに、技術自体の継続的な改善が求められます。
ゼロトラストアーキテクチャは、特にパンデミックによるロックダウン後に企業が職場復帰を始めた以来、ハイブリッドワークプレースのセキュリティを維持するために不可欠であることが証明されています。この考え方の核心は単純ですが強力です。内部ネットワークが安全なゾーンであると想定するのではなく、各アクセスポイントですべてを検証するというものです。最近の研究によると、このアプローチを採用した企業は、従来の方法を使い続けている企業と比較して、セキュリティインシデントが約半分に抑えられています。ゼロトラストを実践するには、適切な技術ツールを選ぶことが重要です。アイデンティティ管理システムや多要素認証は、ほとんどの実装において必須要素となります。ただし、最適な方法はそれぞれのビジネスの種類によって異なります。製造工場にはオンラインサービスプロバイダーとは異なる保護が必要です。これを正しく実現するには時間と手間がかかり、サイバー攻撃への防御策を構築する前に、組織内で機密データがどのように流れているかを正確に把握する必要があります。
量子コンピュータは急速に進化しており、このことは私たちの既存の暗号技術が脅威にさらされていることを意味します。我々は今、量子攻撃に耐えうる解決策の開発を始める必要があります。サイバーセキュリティ専門家たちは何年も前から、量子コンピュータによる脅威が10年ほどで現実のものになる可能性があると警告してきました。将来に向けて準備するには、世界中で現在進められているさまざまな研究プロジェクトに目を向ける必要があります。例えば、米国国立標準技術研究所(NIST)は、量子コンピュータが登場した後でも重要な情報を保護できる新たな暗号基準の策定に積極的に取り組んできました。先を読んだ企業は、今後自社の暗号システムをどのように管理していくかについて、すでに考え始めるべきです。結局のところ、誰もがより高性能なコンピュータによってデータが安全でなくなった日に目覚めることを望んでいないのですから。
現代のビジネス運用の複雑さに対処しなければならないCFOにとって、サイバー保険は単なる予算項目の一つではなく、リスク管理戦略において必須の要素です。データ漏洩は近年高額な費用がかかる問題となっており、一度の漏洩で数百万ドルもの損害が生じることがあります。2021年のIBMの調査では、データ漏洩の平均コストは約424万ドルとされています。サイバー保険は、弁護士費用やシステムの修復、攻撃発生後の規制上のペナルティなど、予期せぬ費用を補償する手段となります。この保険の費用対効果を検討する際、財務責任者は、他のセキュリティ投資と比較しながら適切にコストを評価する必要があります。保険に加入することで最悪の事態に備えることはできますが、賢い企業は予防策にもリソースを割いて、いざという時のために請求支援を必要としない体制を整えるべきです。何といっても、問題が起こる前に対策を講じておくことが、後で対応するよりはるかに良いのです。
セキュリティ意識向上のトレーニングは、従業員の行動を変え、セキュリティ上の問題を削減するうえで実際に効果を発揮します。こうしたプログラムを導入した企業では、インシデントが大幅に減少するケースが多く、その費用対効果が証明されています。KnowBe4の調査を例に挙げると、トレーニングプログラムを受講した後でフィッシング攻撃が約90%減少したことが確認されています。このような取り組みの成果を検証しようとしている財務担当者は、時間の経過とともにどれだけインシデントが発生しているか、問題が発生した際にチームがどれだけ迅速に対応できるか、またトレーニングセッション中にスタッフが実際にどれだけ関与しているか、といった複数の要素を確認すべきです。成功を測定する別の有効な方法としては、企業内で実際に発生するセキュリティ侵害が減少したことによって、どれだけの費用が節約できたかを単純に確認することも挙げられます。
サイバー関連リスクの報告に関しては、企業が長期的な正しい意思決定を行いたいのであれば、これらの問題について率直に説明することが非常に重要です。優れた報告書とは、複雑な技術上の問題を、経営陣が実際に活用できる形に変えるものです。基本的なアドバイスとしては、わかりやすい言葉を使うこと、最も重要なリスクに最初に焦点を当てること、そして次に何をすべきかを示す提案を忘れないことです。たとえば、マイクロソフトはこれまでボードに対する報告書作成において他社より一歩先んじており、現在直面しているセキュリティ上の脅威とその対応状況を明確に示すダッシュボードを作成しています。このような開示姿勢は、問題が深刻化する前に対応できるようにするだけでなく、投資家や顧客に対して企業が自らの資産保護に真剣に取り組んでいることを示す効果もあります。結局のところ、誰も脆弱性を隠している企業に投資したいとは思わないでしょう。
企業がコンピューターモニターの分析をサイバーセキュリティ対策に組み入れると、脅威を早期に発見する能力が実際に向上します。ユーザーがシステムとどのようにやり取りするかを調べたり、画面での異常なパターンを検出したりすることで、問題が重大な攻撃に発展する前にそれを把握することが可能になります。セキュリティチームは、SIEMシステムなどのツールを活用して画面操作のデータをすべて収集し、疑わしい行動を検出することがよくあります。例えば、ある企業ではモニター分析を導入した結果、潜在的な侵入への対応が最大40%も迅速になったことに気づきました。完璧なシステムは存在しませんが、多くのIT管理者は、ネットワーク全体でリアルタイムに何が起きているかを literally 見えるようになると、防御への信頼感が高まると報告しています。
次のセクションへの接続文:CFOのリーダーシップを通じてセキュリティ運用化に取り組んできた多面的なアプローチを踏まえ、AIやブロックチェーンなどの新興技術がコンピューターセキュリティ機能をどのように再定義しているのか、そしてその他のイノベーションがセキュリティの地平をいかに変革しているかについて詳しく見ていきます。
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
