ソリューションの概要
適切な GRC フレームワークでコンプライアンス監査を効率化
ガバナンス、リスク、コンプライアンスの基準から逸脱すると、コストがかかる可能性があります。 2020年8月から10月にかけて、米国 財務省は大手金融機関に6億2500万ドルの罰金を科した。
監査プロセスの合理化
次の監査がいつ始まるかはわかりません。 そうなると、必要な調査とコンプライアンス証明作業を行うフルタイムのエンジニアの時間と労力が最大 6 か月間失われる可能性があります。
残念ながら、 OCC が組織に罰金を科すことができる実例は数多くあり、最近では米国の大手銀行に 8,500 万ドルの罰金を科しました。 彼らの調査結果には次のような記述がある。
-
銀行は、銀行の規模、複雑さ、リスク プロファイルに見合った効果的なコンプライアンス リスク管理プログラムと効果的な情報技術リスク ガバナンス プログラムを導入および維持できていません。
ガバナンス、リスク、コンプライアンスの基準を遵守するのは難しいかもしれませんが、重要なビジネス目標の達成を妨げるものではありません。 F5 を使用すると、成熟したサイバーセキュリティの導入から監査プロセスを合理化できます。
図1: この図は、コンプライアンスの重要な要素である成熟したサイバーセキュリティを実現するための重要な要素を強調しています。
主な特徴
監査リスクベクトルの詳細な可視性
小さな問題は手遅れになるまで隠れたままになることがあります。 そして、そのような事態が発生すると、監査人はすでに高額な罰金を課したり、面倒なコンプライアンス証明作業を割り当てたりしていることになります。 applications全体を視覚化することで、問題がどこに隠れていても、問題が大きくなる前にすばやく見つけて切り分けたり解決したりすることができます。
すぐに使えるコンプライアンス対応ソリューション
監査人は金融サービス機関に対して、より高いサイバー成熟度を期待しています。 コンプライアンス ボックスをチェックするだけでは不十分な場合がよくあります。 F5 ソリューションは、サイバー成熟度を高め、監査人に好印象を与え、監査によって生じる摩擦やストレスを最小限に抑えることを目的として構築されています。
F5の業界で実証されたサポート
F5 の業界で実証されたサポートは、あらゆる種類の監査に対して組織を最適に準備するために必要な重要な標準と手順を作成するためのガイドとなります。 また、監査会議中にお客様のそばにいて、コンプライアンスのテーマをさらに深く理解するお手伝いをすることもできます。
コンプライアンスはチェックボックス以上のもの
監査プロセスを効果的に合理化するには、積極的に取り組む必要があります。 適切なアプローチとアプリ ソリューションが重要です。 F5 には、役立つ幅広い製品とサービスがあります。
製品 |
どのように役立つか |
| BIG-IP アクセス ポリシー マネージャー | アクセス制御、SSL VPN |
| BIG-IP Advanced Firewall Manager | ファイアウォール制御、セグメンテーション、アクセス |
| BIG-IPapplicationセキュリティ マネージャー/Advanced WAF® | applicationのセキュリティ、脆弱性(PCI DSS 準拠には WAF が必須) |
| BIG-IQ Centralized Management | 管理プラットフォーム、構成管理、テレメトリ、ログ |
| クラウドサービス | DNS、DNS ロード バランサ、Essential App Protect は、規制当局や監査人向けのセキュリティ制御、分析、可視性、エクスペリエンス、サポートを提供します。 |
| BIG-IP DNS | DNS セキュリティ (攻撃を受けやすい) |
| NGINX コントローラー | NGINX Ingress Controller は、Kubernetes およびコンテナ化された環境におけるクラウドネイティブ アプリ向けのクラス最高のトラフィック管理ソリューションです。 |
| NGINX プラス | アクセス、ログ、WAF |
| 形 | 詐欺防止、ボット保護、拒否/欺瞞オプション |
| シルバーライン | SOCS、DDoS 緩和、applicationセキュリティ、ボット保護、構成管理 (PCI DSS 準拠には WAF が必須) |
| SSL オーケストレーター | 大規模な可視性と SSL 復号化 |
| セキュア Web ゲートウェイ | Webゲートウェイ、外部アクセス、データ漏洩 |
標準と手順の作成と管理
F5 の業界で実績のある専門家が、あらゆる種類の監査に対して組織を最適に準備するために必要な重要な標準と手順の作成を指導します。 コンプライアンスと継続的な監視に重点を置かないと、組織は、PCI DSS (Payment Card Industry データ セキュリティ Standard) 検証プロセスなどの重要な規制やコンプライアンス標準を満たせなくなることがよくあります。
進化したapplication手法が鍵
レガシー インフラストラクチャを使用して最新の便利なapplicationsを構築および提供しようとすると、特にコンプライアンス要件を考慮すると、課題と制限が生じます。 機関がデジタル トランスフォーメーションを進めるにつれて、柔軟で拡張可能なエンタープライズapplicationアーキテクチャ (EAA) は、一貫性と整合性を推進して大規模な成果をサポートするのに役立ちます。これは、applicationのセキュリティ、パフォーマンス、信頼性に関する期待に応えるための重要な要件です。
進化した EAA アプローチは、イノベーションの取り組みをビジネス戦略と整合させ、新興テクノロジーの容易な統合をサポートして、組織の俊敏性を維持できるようにします。 適切な EAA を導入することで、開発者は場所やデバイスに関係なく、標準や規制に準拠しながら、最新のapplicationsを迅速かつ安全に提供できるようになります。
ステップ1: EAA とビジネス目標を調整し、イノベーション、俊敏性、リスクの適切なバランスを決定します。
ステップ2: applicationインベントリを取得します。 エンタープライズ ポートフォリオ内のすべてのapplicationsを考慮します。
ステップ3: ポートフォリオ内の各applicationのセキュリティ リスクを評価し、適切なソリューションを割り当てます。 例としては次のようなものがあります:
- 標準と規制を満たすために必要なハードウェアとソフトウェアのFIPS認証
- 既存および新たな OWASP 脅威から守るための Web アプリと API 保護
- 複数の検査デバイスを介した動的なポリシーベースの復号化、暗号化、トラフィック ステアリングを備えた SSL オーケストレーション
ステップ4: applicationカテゴリを定義し、それぞれに必要なapplicationサービスを指定します。
ステップ5: applicationの展開と管理のパラメータを設定します。 これには以下が含まれます:
- 展開オプションを理解する
- 関連コスト、消費モデル、コンプライアンス/認証プロファイルの評価
ステップ6: 役割と責任を割り当てます。 次のことを行うとよいでしょう:
- セキュリティを含む EAA 内の各コンポーネントの責任者を明確にします。
- 責任は個々の貢献者、部門、または機能横断的な委員会にある可能性があることを認識します。
ステップ7: セキュリティを最適化するために、組織全体で EAA アプローチを実施します。 これには以下が含まれます:
- ユーザーアクセス制御やコード脆弱性スキャンなどの自動化メカニズムを活用する
- 従業員のトレーニングとコミュニケーションを通じて組織を巻き込む
ステップ8: F5 の専門家と連携して、継続的なサイバー成熟度を実現します。
標準と手順のガバナンスを作成する際に割り当てる重要な役割
構成コンプライアンスチームリーダー
構成管理の実装は難しい場合があるため、リーダーを任命することが不可欠です。 構成標準を維持し、構成のドリフトを最小限に抑えるのに役立つ自動化ツールには、次のものがあります。
- 宣言型オンボーディング
- AS3
- テレメトリストリーミング
- 雲の形成テンプレート
エンタープライズapplicationアーキテクチャ チーム リーダー
この取り組みの進捗と優先順位付けを誰かが監督しなければ、この重要な機能は機能しなくなります。 この専任の役割がなければ、組織全体の標準も揺らぐことになります。
監査所有者
監査ごとに主要な監査トピックに関する継続的な可視性が重要です。 各チームには、F5 ソリューションを所有し、applicationとネットワークからの詳細なデータを活用して、監査関連の問題を迅速に解決するために必要な洞察を提供するチーム リーダーが必要です。
F5 の共有アプリケーション中心のダッシュボードにより、ネットワーク、開発、セキュリティの各チームは必要なデータにアクセスでき、共同で問題を解決できるようになります。
図2: applicationの詳細を一目で確認 - アプリケーション固有のトポロジ、健全性、分析情報、イベントの詳細をすばやく表示します。
F5 を利用すれば、次の監査プロセスで孤独になることはありません。 次回の監査会議でどのような結果が出たとしても、コンプライアンスの話題をさらに深く掘り下げるお手伝いを弊社の専門家に依頼してください。
F5 は次のことに役立ちます:
- 暗号化された脅威を発見
- アクセス制御に関する詳細を提供して、特権ユーザー アクセスをより適切に管理します。
- 特定の監査要件に合わせてエクスポート可能なレポートをカスタマイズする
- セキュリティ管理に関する注意事項を提供する
結論
監査プロセスは時間がかかり、ストレスがかかる場合があります。 金融サービス従業員は、次の監査がいつ始まるか決してわからず、関連する作業にはフルタイムの仕事が必要になることが多く、そのための資金が提供されることもほとんどありません。 適切なソリューションとサポートがなければ、監査は最大 6 か月かかる可能性があり、修復作業と別の監査が必要になります。
F5 は金融サービス機関の監査プロセスの合理化において確かな実績を持っています。 当社のソリューションは、監査によって生じる摩擦とストレスを最小限に抑えることを目的として構築されています。
詳細については、 F5 の銀行および金融サービス ソリューションをご覧いただくか、F5 の担当者にお問い合わせください。