複数のメディア報道によると、6月27日、国家金融監督局はこのほど、地方銀行・保険監督管理局、銀行、保険会社、資産管理会社に対し「第三者協力によるネットワークおよびデータセキュリティ管理の強化に関する通知」を発表した。およびその他の機関」(以下「通知」といいます)。「通知」によると、最近、一部の銀行および保険機関のアウトソーシングサービスプロバイダーで多数のセキュリティリスクインシデントが発生し、銀行および保険機関のネットワークとデータのセキュリティおよび事業継続に一定の影響を与えており、そのことが明らかになりました。アウトソーシング サービスの管理における銀行および保険機関の存在、リスク問題を強調します。
「お知らせ」では主に2つの大きなリスクを報告しています。
01 エンタープライズ WeChat サービスのリスク: エンタープライズ WeChat 連携に関する報告を要求する
イベント: WeChat エージェントが複数の銀行に法人 WeChat 関連サービスを提供し、銀行口座管理者と顧客の間のチャット セッションをサービス プロバイダーがレンタルしたパブリック クラウド サーバーにアーカイブしました。セッション アーカイブ データには、一部の顧客名、ID 番号、および携帯電話 携帯電話番号や銀行口座番号などの機密の個人情報。サービスプロバイダーは銀行の同意を得ずに、複数の銀行の600万件以上のセッションアーカイブデータを自社のモデル学習用に私的に使用し、関連会社に提供していた。
「通知」は、銀行が顧客の機密データを保護する責任を果たしていないため、消費者の権利に関する苦情が引き起こされていると指摘した。この事件は主に 2 つの側面でのリスクと問題を明らかにしました。1 つは、デジタルエコロジーシナリオにおける銀行と保険機関の協力が不明確であり、全体的な管理が欠如していることです。第二に、銀行と保険機関は、データセキュリティのリスクと協力における責任の特定について不明確です。
「通知」では次のことが求められています。まず、リスクの自己検査を実行します。関連する問題に対応して、銀行と保険機関は包括的な自己検査を実施して、デジタルエコロジーシナリオ協力におけるネットワークとデータセキュリティのリスクベースを見つけ出し、調査と修正を実行する必要があります。契約合意書におけるデータセキュリティ要件を強化し、違反または契約違反があった場合は、関連するアウトソーシング協力部門の責任を調査する必要があり、問題の是正が完了するまでは協力範囲を拡大することはできません。
2つ目は、技術リスクの全体的な管理を強化することです。デジタルエコロジー協力を銀行・保険機関のアウトソーシングリスク管理範囲に組み込み、全体的な管理を強化し、技術・データ管理部門はアウトソーシング協力のネットワークとデータの安全管理を強化し、リスク評価とインシデント処理を強化する必要がある。
3 番目は、オフサイトアウトソーシングのリスクモニタリングと監督レポートを強化することです。銀行・保険機関は、顧客の重要データやセンシティブな個人情報の一元処理のオフサイトアウトソーシングやセンシティブデータ以上の受託処理を伴うアウトソーシング協力については、重点的に取り組み、リスクモニタリングを強化し、「情報セキュリティ」を遵守する必要がある。 「銀行および保険機関の技術アウトソーシング」リスク監督措置第 37 条および銀行および保険機関のデータセキュリティ措置第 60 条は、銀行および保険機関に対し、リスクの自己検査と是正状況の報告、企業の WeChat 協力の報告を義務付けています。状況を国家金融監督総局または中国銀行保険監督管理局(副局)に報告してください。中国銀行保険監督管理局は7月20日までに概要を国家金融監督総局に提出する。
02 技術アウトソーシングのリスク:アウトソーシング協力終了後はデータを削除する必要がある
「通知」では主に、いくつかの地方団体、保険会社、データセンターホスティングサービスプロバイダーに関係する以下の5件の事件が通知されました。
事件1: 2022年8月、4つの省協会が主催するサービスプロバイダーのオンラインバンキングシステムが不正アクセスの脆弱性により犯罪者に侵入され、大量の顧客情報や口座情報が盗まれた。
事件 2:プログラム起動パッケージのリリースを担当するソフトウェア開発会社の従業員が、外国のメール プロキシ ツールを無断で使用したためにハッキングされ、職場のメールボックスのパスワードが盗まれました。2022年5月、ハッカーがメールボックスにログインしてメール内容の一部をダウンロードし、脅迫に失敗した後、7月には34社の情報システム2社のプログラムのソースコードや設計書の一部を海外サイトで販売した。銀行金融機関やデータベース設定ファイルなどの技術的に機密な情報。
インシデント 3:データ センター ホスティング サービス プロバイダーの顧客サービス システムに SQL インジェクションとファイル アップロードの脆弱性があります。2021年9月にハッカーがシステムに侵入し、70以上の銀行・保険機関の従業員数百件の個人情報を含むデータベースの情報が盗まれ、2023年1月に海外のウェブサイトで販売された。
事例 4:生命保険会社がサードパーティ ソフトウェア製品「Baorong Third-Party Contracting Platform」を購入し導入した際、ネットワーク攻撃と防御演習中に、フロントエンド管理ページの JS ファイルに管理者の名前が含まれていることが判明しました。攻撃者は、このアカウントを使用して、フロントエンドの検証をバイパスしてシステムに直接ログインし、個人の機密情報を含むすべてのデータをクエリするため、機密データの漏洩のリスクが生じます。
イベント 5: 2023 年 2 月、インターネット ドメイン名エージェントが非公開でドメイン名を変更するというミスを犯し、銀行のインターネット ドメイン名解決が失敗し、繁忙期の 68 分間金融取引に影響を与えました。
「通知」は、第一に、銀行および保険機関がサプライチェーンのセキュリティ管理の観点からその責務を適切に遂行していないこと、第二に、アウトソーシングサービスに対する銀行および保険機関の緊急管理メカニズムが完全ではないこと、第三に、セキュリティが確保されていないこと、を指摘した。アウトソーシングサービスプロバイダーの管理能力と技術的保護能力は著しく不十分です。
国家金融監督管理総局は、「銀行と保険機関は『責任をアウトソーシングするのではなく、サービスをアウトソーシングする』という主体意識を強化し、データセキュリティに対する主な責任を真剣に引き受け、テクノロジーリスクの管理を調整し、セキュリティ責任を強化する必要がある」と述べた。アウトソーシング サービス プロバイダーの規制を強化し、予防と管理の全体的なレベルを向上させます。」と述べ、次の 3 つの規制要件を提唱しました。
1 つ目は、ネットワークとデータのセキュリティ保護の義務を真剣に履行することです。銀行と保険機関は、リスク評価とデューデリジェンスを強化し、違反に対する監視と説明責任を強化し、外部委託サービスプロバイダーの監督と管理と現地検査を強化し、協力終了後にオフラインにしてデータを削除する必要があり、契約ネットワークとセキュリティを強化する必要があります。データセキュリティ要件の条件、受け入れ時のセキュリティリスク検査の厳格な実施、および生産の安全性インシデントに対する罰則が契約に従って課されるものとします。
2 つ目は、対象を絞ったセキュリティ保護措置を講じることです。銀行窓販機関は、「ビジネスの必要性、最小限の権限」の原則に従ってデータを外部に提供する必要があり、システムとデータは銀行窓販機関でのローカライズされた導入を優先する必要があります。国境警備と送信保護を強化し、アウトソーシング サービス プロバイダーと隔離ファイアウォールを確立し、インスタント メッセージング、ネットワーク ディスク、インターネット メールボックスなどの安全でないチャネルを介してデータを送信しないようにします。アウトソーシングサービスプロバイダーが取得・保有している銀行・保険機関のデータを整理し、個人情報、プログラムのソースコード、システム文書、その他の社内技術資料の確認、デフォルトのアカウントパスワード、脆弱なパスワード、定期的に更新されていないパスワード、およびパスワードの確認平文などで保存し、システムや外部製品の抜け穴をチェックし、隠れた問題を修正します。
3つ目は、緊急時対応体制の確立・充実です。銀行および保険機関は、アウトソーシング協力シナリオにおけるインシデントへの緊急対応を緊急計画管理に組み込み、アウトソーシングサービスプロバイダーに関わる苦情を苦情管理措置に組み込み、アウトソーシングサービスプロバイダーに自社の安全生産インシデントおよび苦情をできるだけ早く報告するよう要求する必要があります。自社の製品を報告するか、サービスで発見されたセキュリティ上の欠陥や抜け穴について、銀行および保険機関は、関連するリスクイベントを適時に規制当局に報告し、関連する問題を適時に調査して対処する必要があります。
オリジンの安全に関するアドバイス
01 実践的なアイデア
フルリンクの機密データアクセス監査を実装する
銀行や保険機関がアウトソーシングされたサードパーティのテクノロジー サービスを購入する場合、データ アクセス パスや機密データのコンテキスト情報を完全に記録することや、機密データのコンテキスト情報を動的に構築するなど、機密データ アクセスの監査機能を完全に記録できる製品とサービス プロバイダーの選択に注意を払う必要があります。ビジネス ユーザー、ビジネス アプリケーションで構成されるシステム。API パス、オリジン ユーザー、データベース アカウント、アクセス ポイント、データの場所、機密データの種類などのノードで構成されるフローの軌跡は、場所、時間、そして周波数。リンク ノードとコンテキスト情報に基づいて機密データにアクセスできるように監視ボードをカスタマイズして、プロセス内の監視とイベント後のトレーサビリティの効率を向上させます。
柔軟な最小特権制御メカニズムを確立する
銀行および保険機関がデータを外部に提供し、アウトソーシングサービスプロバイダーによって取得および保持されている銀行および保険機関のデータを整理する場合、データアクセス制御、データセルフサービス認証、データ動的非感作化、データなどの多くの機能をサポートすることを選択する必要があります。フロー追跡、データセキュリティ監査、統合された製品とサービス。たとえば、設定をカスタマイズしてアクセス コントロール ポリシーを実装し、特定のデータ セットへの特定のユーザーのアクセスを許可、拒否、警告すること、アクセス権の設定を自動化すること、認可としての承認と認可としてのコミットメントを実現することが可能です。さらに、アプリケーションのシナリオに応じて非感作アルゴリズムと非感作ルールの組み合わせを構成でき、さまざまな条件に応じてデータ配信戦略を構成でき、アプリケーションのフロントエンドに表示される機密データは、ビジネスを変革することなく動的に非感作できます。 。
データセキュリティ戦略統合アーキテクチャを採用
従来のデータ セキュリティ製品はシングルポイント機能であることが多く、複数の製品ポートフォリオ ソリューションによって提供されるデータ セキュリティ ポリシーは、データベース ファイアウォールのアクセス コントロール ポリシーやデータ マスキング製品など、異なるデータ セキュリティ製品で構成された複数の異なるポリシーに分割されることがよくあります。などで 銀行および保険機関は、これらのセキュリティ ポリシーを統合されたデータ セキュリティ ポリシーに統合し、統合されたデータ収集、データ配信ポリシー、およびデータ アクセス ポリシーを構成することでさまざまなデータ ソースの統合セキュリティ管理と制御を実現できる製品の選択に注意を払う必要があります。データセキュリティリスクの範囲。
02 重点施策
マルチテナントモードでのデータセキュリティ管理機能の向上
金融機関は、マルチテナント モードのデータ セキュリティ管理機能を通じてアウトソーシング サービス プロバイダーに権限を与えることが推奨されています。アウトソーシング サービス プロバイダーが、協力プロセスがセキュリティ コンプライアンス要件を確実に満たし続けることを保証するための専門的なセキュリティ機能を備えていることはほとんどありません。自己構築の方法は、アウトソーシングの協力を増やすだけではありません。コストがかかるだけでなく、同時に、期待されるセキュリティ コンプライアンスの効果は短期的には達成できません。クラウドネイティブ フレームワークを採用し、マルチテナントの統合データ セキュリティ プラットフォームをサポートすることにより、テナント環境がさまざまなアウトソーシング サービス プロバイダーに開かれ、それによってアウトソーシング サービス プロバイダーがセキュリティ製品機能を備えるための敷居が低くなります。セキュリティ ベンダーが提供するクラウド ホスティング サービスと組み合わせることで、アウトソーシング サービス プロバイダーがセキュリティの運用および保守機能を備える敷居がさらに低くなります。最も重要なことは、テナント環境はセキュリティ管理責任の分離を自然に満たす一方で、クラウド ホスティング サービスにより、アウトソーシングがセキュリティ コンプライアンスに必要なデータ セキュリティ保証のレベルに迅速に到達できることです。
より包括的なデータ セキュリティ管理プラットフォームを採用する
金融機関は、統合データ セキュリティ管理プラットフォームを使用して、アウトソーシング サービス プロバイダーの規制上の義務を果たすことをお勧めします。統合データセキュリティプラットフォームは、アウトソーシングされたサービスプロバイダーからの監査データの概要を通じて、機密データの発見、識別、保護、監視から識別に至るまでの技術的保護措置を統合および調整し、潜在的な機密データ漏洩のリスクとデータの盗難と悪用を均一に分析できます。リスク。
アウトソーシング協力枠組み協定の改善
国家金融監督総局は、銀行および保険機関に対する明確な責任要件を提示し、金融機関がデータセキュリティに対する主な責任を負い、技術的リスクの管理を調整し、アウトソーシングサービスプロバイダーのセキュリティ責任を強化して、当事者のデータ収集および処理行為は監査されましたが、アウトソーシングされたサービスプロバイダーに対する明確な責任要件は提示されていませんでした。金融機関と外部委託技術サービス提供者は協力枠組みにおける権利と責任の境界を明確にする必要がある。たとえば、アウトソーシング サービス プロバイダーは、金融機関に委託された完全なデータ資産を報告する責任があり、アウトソーシング サービス プロバイダーは、監視プローブやセキュリティ コントローラーなどの適切な展開と安定した動作を保証する責任があります。