最近、国家金融監督総局は「第三者協力によるネットワークとデータのセキュリティ管理の強化に関する通知」を発表し、事業継続に一定の影響を及ぼし、銀行や保険機関のアウトソーシングサービス管理に存在する顕著な問題が明らかになった。すべての銀行および保険機関は、報告された問題に従ってサプライチェーンの隠れたリスクを徹底的に調査し、効果的に是正を強化する必要があります。
「通知」に記載された5件のテクノロジーアウトソーシングリスクインシデントのうち、3件はアウトソーシングサービスプロバイダーが提供するシステムやサードパーティツールのセキュリティの抜け穴によるハッカー攻撃によって引き起こされました。例: 2022 年 8 月、サービス プロバイダーの 4 つの州協会がホストするオンライン バンキング システムが、不正アクセスの脆弱性により犯罪者によって侵害され、大量の顧客情報と口座情報が盗まれました。金融機関は、サプライチェーンのセキュリティ管理に関する深刻な課題に直面しています。
01金融機関のサプライチェーンセキュリティ管理の課題
サードパーティのテクノロジーサプライヤーへの依存度が高く、供給の削減と情報セキュリティのリスクが急増
デジタルトランスフォーメーションの継続的な深化に伴い、銀行、保険、その他の金融機関は外部情報テクノロジーに対する需要が高まっています。情報技術アウトソーシングサプライヤーは、従来の金融機関の情報技術の欠点を補う専門部隊として、金融機関のデジタル変革においてますます重要な役割を果たしています。
ほとんどの中小規模の商業銀行は、すべての情報技術インフラストラクチャを外部組織に委託していますが、これにより、攻撃者がサプライヤーを踏み台として企業を攻撃し、データ漏洩やビジネスへの影響、さらには規制要件への違反が発生する可能性があります。それに応じて。
金融機関はサイバー犯罪者の標的にされることが増えている
金融業界は国の重要な情報インフラの 1 つであり、金融テクノロジー システムのセキュリティはユーザー、社会、そして国全体の安定に関係します。金融機関の情報化の度合いが高まるにつれ、情報の相互接続は効率性をもたらす一方で、金融機関は大きなセキュリティ上の脅威にさらされることになります。
National Internet Financial Risk Analysis Technology Platform のデータによると、2021 年 10 月末時点で、インターネット金融 Web サイトに対する合計 7,476 万 8,000 件の攻撃が発見されています。金融機関に対するAPT攻撃や精密サイバー攻撃は日々増加しています。インターネット攻撃による金融犯罪の実行は金融犯罪の重要な手段となっており、金融機関もサイバー犯罪の好ましい標的となっています。
サードパーティサプライヤーのレベルにはばらつきがあり、セキュリティリスクが大きい
サプライヤーは製品のセキュリティに十分な注意を払っておらず、開発者のセキュリティ開発能力も限られているため、製品のセキュリティとサードパーティのサプライヤーの品質が不均一になります。犯罪者による研究開発システムのセキュリティの抜け穴や、外部委託サービス担当者のセキュリティ管理の欠如により、銀行の顧客データ情報が漏洩することは珍しいことではありません。
ソフトウェアのソースが複雑で、包括的なセキュリティレビューが困難
ソフトウェアの調達、開発のアウトソーシング、サードパーティのリソースの活用に対する金融機関の需要が高まるにつれて、ソフトウェアのサプライチェーンが延長され、実装参加者の数が増加し、より多くのセキュリティリスクのつながりが導入されます。同時に、各支店がソフトウェアの調達、受け入れ、運用、保守において独自に戦っており、ソフトウェアのセキュリティへのアクセス基準も異なるため、金融機関全体のソフトウェアのセキュリティ管理がより困難になっています。
02 金融機関のサプライチェーン・セキュリティ・ガバナンスを考える「2つの言葉」
最初の単語: フル
ソフトウェア サプライ チェーン攻撃が今日のハッカー攻撃の重要な手段となっている主な理由は、それらが組織的で高度に結びついているためです。上流、中流、下流は連動しており、ソフトウェア サプライ チェーンの弱いリンクを「切断」することで、端末のエンタープライズ ソフトウェア システムの運用に影響を与える可能性があります。このような 4 ストロークまたは 2 ストロークの攻撃効果により、サイバー犯罪者が「次から次へとやってくる」ようになります。
したがって、金融機関のサプライチェーンのセキュリティガバナンスを考えるとき、私たちの主な考え方は「フル」です。「フル」とは、社内および社外のすべてのソフトウェアシステム(アウトソーシング、外注、自社開発などを含む)を指します。例外なく、ソフトウェア サプライ チェーンの主要ノードで厳格なセキュリティ レビューを実施し、ソース コード、コンポーネント、アプリケーション機能、動作環境、ポート、バイナリ ファイルなどからソフトウェア システム内部の包括的かつ詳細なセキュリティ検査も実施します。
「ネットワーク セキュリティ クラウド ソフトウェア セキュリティ オンライン テスト サービス」は、多くの大手 A 企業に専門的かつ標準化されたセキュリティ テスト サービスを提供し、ソフトウェア サプライヤー向けにカスタマイズされたセキュリティ アクセス テスト標準を提供し、中小規模の金融機関向けにソフトウェアに関するワンストップ サービスを提供してきました。サプライチェーンのセキュリティ検出要件。また、脆弱性の検証を支援し、修正後に無料の再テストを提供する金メダルを獲得したセキュリティ専門家のチームもあり、お客様がクローズドループ セキュリティを実現できるよう支援します。
2番目の単語: 明
今日、ソフトウェア セキュリティ攻撃手法は絶えずアップグレードされており、特にソフトウェア サプライ チェーンに対するセキュリティ攻撃は機密性が高く追跡が困難であり、金融業界のセキュリティにとって大きな脅威となっています。同時に、金融機関の内部ソフトウェアコンポーネントのソース、依存関係、オープンソースライセンスなどの情報が不透明かつ不明確であるため、セキュリティリスクの発見、追跡、明確化がより困難になり、セキュリティの制御性が脆弱になります。システムセキュリティリスクの緊急対応作業がより困難になります。したがって、ソフトウェア サプライ チェーンのセキュリティ ガバナンスの 2 番目の考え方は「明確」です。
「明」とは、ソフトウェア資産の「ブラックボックス」を開いて、ソフトウェアのバージョン、サプライヤー、内部コンポーネント情報などの基本情報とそれらの関連性を整理して視覚的に提示し、ソフトウェア資産の「あいまいさ」を大幅に軽減することを指します。金融機関は、家族の背景をすぐに調べて、システム セキュリティの独立した制御可能な力を把握できます。
Net Security Cloud ソフトウェア部品表管理プラットフォームは、ソフトウェア/コンポーネントのソースやバージョン、ソフトウェアの内部コンポーネント情報などの基本情報に基づいて、外部のセキュリティ脆弱性インテリジェンスを動的に関連付け、企業ソフトウェア資産のセキュリティ追跡と管理を実行します。強力なデータ分析、処理およびマイニング技術、多次元データ視覚化機能を使用することで、ソフトウェア資産のセキュリティ状況が明確になり、ソフトウェアのセキュリティ問題が見えなくなります。
ソフトウェア サプライ チェーン内のすべてのリンクのセキュリティ問題は、ハッカー攻撃の入り口となる可能性があります。千マイルの堤防はアリの巣によって破壊され、ソフトウェアサプライチェーンのすべてのチェックポイントは管理されるべきであり、小さな抜け穴が惨劇になるべきではありません。
以上が本号の全内容です。
上記のサービスにも興味があり、さらに詳しく知りたい場合は、プライベートメッセージを送信するか、コメント欄にメッセージを残してください〜
参考文献
China Business News/Qin Yufang: 「データセキュリティリスクを防止し、銀行はアウトソーシングビジネスを是正する」
21世紀ビジネス・ヘラルド/Li LanqingとWu Liyang: 「接続とセキュリティの両方が必要であり、金融機関はサプライチェーンのセキュリティ管理において新たな課題に直面している」