金融機関の規制変更への適応をゼロトラストで支援

著者:  Jimmy Nilsson、 Robert Wallos

金融市場では、規制変更、特にセキュリティプロトコル変更への適応は複雑でコストがかかる場合があります。

リスクを考慮し、多くの銀行や金融サービスプロバイダーではゼロトラストモデルへの移行を進めています。

ゼロトラスト（すべてを信用せずに安全性を検証する考え方）は、アセットへのアクセスをより厳しく管理します。

このアプローチにより、組織がセキュリティシステムのギャップを正確に特定して診断し、規制変更に迅速に適応できるようになる方法を以下に示します。

例: 米国証券取引委員会 (SEC) での規制システムの遵守と完全性 (RegSCI) の大幅な改正

まず、規制変更に適応することがなぜそれほど難しいのかを詳しく見ていきます。 近年、米国証券取引委員会 (SEC) は、規制システムの遵守と完全性 (RegSCI) の大幅な改正を提案しました。

RegSCIの目的は、投資家を保護し、市場の安定を促進することで、重要な市場参加者が運用および技術システムの信頼性と安全性を確保し、規制基準に準拠するために従うべき規則と要件を定めています。

提案された改正は広範囲に及び、セキュリティと可用性の標準に対する監視が強化されるだけでなく、SCI事業体に分類される組織の数も拡大することになります。

新規SCI事業体の初期コンプライアンスコストは高額となるのが現実です。 SECの報告によるとコストは4,500万米ドルあたりで、年間請求額は約2,800万米ドルとなっています。¹

しかし、コストは問題の一部に過ぎません。

RegSCIの改正により、資本市場組織は既存のセキュリティプロトコルを満たすだけでなく、それを超えることが求められます。さまざまなリスクシナリオや関連するセキュリティ戦略を実証するために、サードパーティーを含むバリューチェーン全体で机上のシミュレーションを実行する任務が求められる可能性および、サイバー攻撃の潜在的な影響を定量化するよう求められる場合があります。

ここで登場するのがゼロトラストです。

ゼロトラストでエンド・ツー・エンドのアプローチを実現

多くの資本市場組織はすでに堅牢なセキュリティ機能を備えていますが、これらはサイロ化され、注文管理システムやアクセス制御など、保護を最も必要とするアセットに十分な焦点を当てていないことがよくあります。

ゼロトラストでは、組織、ガバナンス、および技術的なサイロを解消し、統一されたセキュリティシステムを構築することが求められます。このエンド・ツー・エンドのアプローチは、規制変更に適応するための強力なツールとなります。

その理由は以下のとおりです。

サイロ化を解消し、組織の既存のセキュリティ機能（実行、意思決定、情報提供ポイントを含む）がマッピングされて明らかになれば、チームは既存のセキュリティアーキテクチャーへの投資を最適化できます。 また、ネットワーク攻撃やサービス拒否攻撃による取引の中断など、重要度や潜在的なリスクに基づいて変革の取り組みに優先順位を付けることもできます。

ゼロトラストで求められるとおり、こうした基盤を統合された多層防御アーキテクチャーと重ね合わせることで、セキュリティインフラストラクチャーをさらに強化するための貴重な洞察が得られ、新しい規制基準に適応できるチームは俊敏性を高められるようになります。

ゼロトラストで報告義務を強化

RegSCI提案などの規制に準拠する必要がある組織にとって、セキュリティ環境内でのトレーサビリティと報告義務は大きな課題です。 このため、ゼロトラストの枠組みの基本となる進捗状況の効果的な測定とコミュニケーションが、規制変更への適応に成功する鍵となります。

ゼロトラストでは、セキュリティアーキテクチャーのパフォーマンスと価値を監視する堅牢な追跡メカニズムを構築しなければなりません。特に資本市場組織であれば、これらのメカニズムにより、コンプライアンスを損ないかねないよくある落とし穴や見落としを回避できます。

ゼロトラストはサードパーティーのリスク管理をも容易に

ゼロトラストのもう1つの重要な側面は、サードパーティーのリスク管理です。これは、SECなどの規制当局も共有している懸念事項です。

サードパーティーのリスク管理では、外部ベンダーに一部の責任を委ねることは可能でも、最終的な説明責任は組織自身にあります。 したがって、社内のセキュリティ、IT、ビジネス部門と同様に、サードパーティベンダーをセキュリティ戦略に密接に統合することが不可欠となります。 つまり、サードパーティーベンダーとその関連リスクを外部要素と見なすのではなく、ゼロトラストエコシステム内で追加の利害関係者グループと見なすということです。

素早く柔軟で適切な対応

コストや労力に関係なく、規制変更への適応は業界を問わず組織にとっての義務であり、ビジネス運営上、不可欠なものです。

ただし、将来起こり得る規制遵守に備えて事前に計画を立てておけば、時間を節約したり、予期しない課題に直面したりすることを回避できます。 予測的コンプライアンスは、健全なセキュリティ慣行と衛生状態を促進し、ビジネスの継続性を支え、不要な監視リスクを最小限に抑えます。 つまり、先手を打っておけば、常に問題解決に追われなくても良くなるということです。

ゼロトラストのアプローチは、一歩先を行く手助けとなるでしょう。

Jimmy Nilssonは、Kyndryl Consultのゼロトラスト担当マネージングディレクター兼グローバルリーダーです。 Robert Wallosは、金融および資本市場担当のチーフアーキテクトです。

1. The U.S. Securities and Exchange Commission (SEC). Proposed rule: Regulation Systems Compliance and Integrity. 2023.