金融セクターの厳格なセキュリティ要件を満たす Netwrix Auditor

金融セクターの厳格な
セキュリティ要件を満たす
― Netwrix Auditor ―

Meet the Stringent Security Requirements
in the Financial Sector with Netwrix Auditor

世界の金融機関は、密接に関連した2つの課題に直面しています。

セキュリティ

ますます多様化する情報セキュリティの脅威から、すべての財務記録や個人情報を安全に保つ必要があります。これらの脅威からのリスクの大きさと、セキュリティ対策の強化は直接的に関連しています。

コンプライアンス

対象となる多くの規制へのコンプライアンスを定期的に証明する必要があります。例えば、米国の金融機関は、通貨監督室、連邦預金保険公社、連邦準備制度、国家信用組合庁などの多くの機関によって監督、監査されており、他の国の金融機関も同様に関連当局によって、厳格に監督、監査されています。

これらの2つの課題は深く絡み合っています。なぜなら、規制されている金融機関のセキュリティを強化するために、多くの法的要件が具体的に設計されているからです。しかし、法律は複雑であり、適切な管理を実施し、監査中にコンプライアンスを証明することは困難に感じられます。

しかし、必ずしもそうではありません。
Netwrix Auditorは、ITインフラセキュリティの見える化プラットフォームであり、低コストで効率的なIT活動をサポートし、世界中の金融業界の600を超える企業がすでに内部および外部の脅威から超機密情報を保護し、コンプライアンス監査にパスしています。

このホワイトペーパーは、Netwrix Auditorが、カード所有者データ、支払いカード番号、損益計算書、社会保障番号など、機密性の高い財務データを危険にさらすサイバー脅威に対して、金融機関の防御力を高める方法を詳しく説明しています。そして、コンプライアンス監査の準備、パスをサポートします。

次の重要な質問に対する回答が見つかります:

  • アカウントの誤用、個人情報の盗難、特権の昇格のリスクをどのように軽減できますか?
  • 内部や外部エージェントによる攻撃やなりすまし行為を迅速に検出する方法はありますか?
  • コンプライアンス監査の準備に必要な時間と労力を削減すると同時に、優れた成果を収め、等級を改善するにはどうすればよいですか?
  • ユーザーの責任感を確立し、ビジネスの混乱を回避し、問題のトラブルシューティングをより迅速に行う方法を教えてください。

1. アカウント制御の強化によるセキュリティホールの排除

ユーザーとコンピュータアカウントの厳格な制御は、金融機関のセキュリティの柱です。

悪意のある脅威は、有効または無効、アクティブまたは期限切れ、ロックまたはロック解除のいずれかのアカウントの背後に隠れる可能性があります。

たとえば、ある従業員が会社を退職した後でもそのユーザーアカウントが有効になっている場合、その人または他の人のいずれかによって悪意を持って使用される可能性があるため、そのようなすべてのアカウントを特定して管理する必要があります。 ユーザーアカウントが作成されてすぐに削除された場合は、その理由を知る必要があります。 これらのデバイスは定期的なセキュリティ更新プログラムやパッチを取得しない可能性があり、セキュリティリスクが増大する可能性があるため、すべての無効または非アクティブなコンピュータアカウントについて知っておく必要があります。

Netwrix Auditorは、金融機関のユーザーとコンピュータアカウントの厳格な管理を支援します。 IT管理者は、既存のユーザーおよびコンピュータアカウントのインベントリを簡単に作成し、一時的、最近有効となった、非アクティブ、期限切れ、ロックされた等のアカウントを特定できます。 このような徹底的な管理により、IT環境はより安全になり、銀行カードデータ、損益計算書、個人情報、その他の重要な資産に対するリスクが軽減されます。

機密データへのアクセスを制御することは、
我々が遵守しなければならない当社の優先事項の1つです。
Netwrix Auditorは、
機密データを危険にさらして、
情報を侵害する可能性のある不正行為の余地がないことを
証明するのに役立ちます。


外国為替取引

1.1. 非アクティブなアカウントを追跡してリスクを減らす

アカウントが非アクティブになるたびにアラートを受信し(任意の設定で定義が必要)、すべての非アクティブなユーザーとコンピュータに関する詳細なレポートを取得します。 情報取得後、これらのアカウントを手動で処理する面倒な作業を後回しにしたり、つい忘れてしまうこともあります。
Netwrix Auditorは、必要なプロセスを自動化します。非アクティブなアカウントを自動的に無効にしたり、ランダムなパスワードを割り当てたり、指定されたOUに移動したり、削除することができます。

1.2. ユーザーアカウントのロックアウトを監視して早期にマルウェアを検出する

異常に多数のユーザーアカウントのロックアウトは、コンピュータワームやその他のマルウェアプログラムがネットワークコンピュータに感染している兆候となります。 ロックされたユーザーアカウントの総数を定期的にチェックすることで、潜在的な脅威を早期に発見することができます。 Netwrix Auditorレポートは、各アカウントのパス名とログオン名を含むすべての重要な詳細を提供します。

1.3. ユーザーアカウントの目的、関連性、ステータスを確認する

有効なアカウントと無効なアカウントの合計数と、パス、ログオン名、ステータス、最後のログオン時間など、それぞれの重要な情報を簡単に確認できます。

ユーザーアカウントのステータス(ロック、ロック解除、無効、または有効)に対するすべての変更を確認してください。

1.4. 個人情報を守る

最近有効になったアカウントや一時的なアカウントを確認して、なりすましやデータ破損の可能性がある潜在的に侵害されたアカウントや悪質なアカウントを迅速に特定します。

2. 企業全体の見える化で機密データを保護する

IT環境で何が起こっているのか、起こりそうかについての見える化は、金融サービス組織にとっての堅実なセキュリティ戦略の中核要素です。 機密性の高いデータに対するリスク、違反行為、潜在的なシステムの欠陥、従業員または外部からの悪意のある行為および悪意のあるロボットの活動を識別し、測定する必要があります。 これを行うには、企業全体の見える化と詳細な監査証跡が必要です。

Netwrix Auditorは、金融機関のIT環境の中核システム全体で起こっているすべてのことを完全に把握できます。 データ保護の脆弱性を迅速に検出し、進行中の潜在的な攻撃、内部の脅威およびポリシー違反を容易に検出します。

私たちにとって最大の価値は、
Netwrix Auditorは法医学のようなものということです。
それは何が起こったのかを伝えるように設計されており、
貴重な洞察はしばしば、さらに謎を解く鍵となります。
Netwrix Auditorがなければ、
根拠もなく、ただ単にすべてが正しいと推測し、すべてが正しいはずと期待するだけです。
Netwrix Auditorがなければ、
私たちは盲目に走る古い方法に戻るでしょう。


銀行

2.1. 複数の重要なITシステム間で見える化を有効にする

IT環境で何が変化しているのかを高いレベルで把握し、より詳細なレベルへ簡単にドリルダウンできます。

重大なITシステム間で、アクティビティの失敗などの異常なアクティビティに関する統合統計を含むレポートを確認します。

2.2. セキュリティインシデントのための「Critical」マークを確認する

新しいメンバーがDomain Adminsグループに追加されるなど、潜在的に濫用的な動作の警告兆候について通知されます。

2.3. 重要なデータベースをデータ損失から守り、正しく機能させる

インタラクティブ検索を使用すると、重要な財務記録を含むデータベースなどの不当な役割の割り当てや変更をすばやく検出できます。

不正な内部者の活動を抑止し、不正な操作を検出するために、特定の金融アプリケーションや運用データベースなどの操作時のビデオ録画を設定します。

グループメンバーシップの変更について通知を受け、権限昇格や金融アプリケーションへの不適切なアクセスを検出します。

2.4. ログオン状況を確認し、不正な行動を特定する

最も重要なデータベース、オンプレミスおよびクラウドベースのActive Directory、およびWindows OSのすべてのログオン状況に関するレポートを確認します。

3. コンプライアンス遵守の実証で、企業価値を向上させる

金融機関は定期的に監督当局によって監査され、評価付けされており、監査人の要求に効果的に対応する能力が求められています。 監査人は、企業の方針が何なのかを述べだけでは満足しません。 言い換えれば、監査をパスするには、コンプライアンスを実証できる必要があります。

Netwrix Auditorは金融機関の監査の準備や、評価の向上をサポートします。 このソリューションを使用することで、ITスタッフは監査の前と監査中の両方でより効率的に作業し、監査人が必要とする情報をより迅速に、より少ない労力で提供できるようになります。

私たちは、監査人が私たちに求める情報をすべて入手しようとすると、
最低2週間は必要でした。
それでも私たちは評価だけは維持しました。
Netwrix Auditorを導入した後、
そのデータを取得するのに週の半分ですみました。
さらに重要な点は、評価も上げることができるということです。


銀行

3.1. 監査の準備に必要な時間を大幅に削減

インタラクティブな検索機能を使用して、監査人の質問や要求に対する回答をクリアにできるため、監査の準備時間を短縮します。 この機能は、Netwrix Auditorの定義済みレポートに加えて監査人が要求する可能性のあるセキュリティ関連情報をすばやく見つけ出すのに役立ちます。 後で使用できるように検索条件を簡単に保存することができ、読みやすいレイアウトでPDFまたはCSVファイルに書き出すことができます。 これまで監査の準備、報告に何週間、何日も費やしていた作業が、ほんの数時間または数分で済みます。

3.2. 監査の審査員の期待に応える

Netwrix Auditorには、様々なコンプライアンス要件に対応するために、すぐに使用できるコンプライアンスレポートが用意されています。 レポートにより、セキュリティポリシーとコントロールが正常に運用されており、顧客の個人情報、財務記録、銀行カード情報を保護するのに十分であることを証明できます 。 Netwrix Auditorは、監査証跡を10年以上保管でき、過去の監査証跡にも簡単にアクセスできます。

セキュリティ担当やIT管理者などが、ITシステム上の重要な更新、変更をセキュリティポリシーに則り、 定期的に監査していることを証明します。レポートの配信機能は、管理しやすく、重要な情報の配信を自動化します。

3.3. コンプライアンス監査の複雑さとストレスを最小限に抑える

金融機関が直面している複雑な規制に対応するコンプライアンスプログラムを運用し始めたばかりの場合、Netwrix Auditorが強力なサポート役になります。 この製品には、特定のコンプライアンスコントロールにマッピングされたすぐに使用できるレポートが含まれており、特定の要件を満たすベストプラクティスの情報を提供します。

4. 社内のサービスレベルを満たし、説明責任を確保する

社内のサービスレベルが低下すれば、自社の損失にも繋がります。 したがって、ITチームは誰もが必要なリソースにアクセスできるようにする必要があり、問題が発生した場合、迅速に解決されるようにする必要があります。 また、一般社員とITスタッフを含め、すべての人がIT環境全体で行うすべてのことに対して、責任を持って対応できるようにする必要もあります。

Netwrix Auditorは、ITスタッフが、重要なシステム構成の変更、ユーザーパスワードの変更、アカウントのロックアウトやアカウントの期限切れ等、ビジネス操作を妨げる可能性のある諸々の問題を積極的に検出できるようにすることで、 ユーザーがサポートを求める前に、問題をすばやく解決するのに役立ちます。 また、監視対象のシステムで誰が何をしたのかを知ることができ、説明責任を果たします。

Netwrix Auditorの導入により、
何が行われたのか、いつ実行されたのか、誰がそれをしたのか
を簡単に把握することができます。
また、検出されたものが社員からの要求やプロジェクト、サポートと相関関係がある場合は、
なぜそれが行われたのかを判断することもできます。
間違いなく私たちはより効率的になることができます。


銀行

4.1. 重大な構成変更を認識して、サービスの中断やダウンタイムを防ぐ

変更されたシステム、変更されたサーバーまたは変更されたユーザーによってグループ化されたITインフラストラクチャ全体の変更を一覧表示するレポートをレビューします。 または、監査対象のシステムの特定の変更をリストするレポートをレビューします。

4.2. 問題を積極的に解決して生産性を最大化し、ヘルプデスクのコストを最小限に抑える

すべての期限切れのアカウントを定期的にレビューして、ユーザーが要求したり、ヘルプを呼び出す前に問題を解決できるようにします。

パスワードの有効期限が近づいているユーザーアカウントを把握して、業務の中断を防ぐことができます。

4.3. 社員のセキュリティ意識を向上させてセキュリティポリシーを強化する

ユーザーが自分の行動に対して責任を負っていることを知っているユーザーは、セキュリティポリシーに従う可能性が非常に高くなります。 Netwrix Auditorを使用すると、ITインフラストラクチャ全体、特定のITシステム内、または1つのシステム内の特定の部分内のいずれにおいて、どのアクションが実行されたのか、いつどこで行われたのかを簡単に確認できます。

ホワイトペーパーをご提供しています<無料>

各種サーバーの変更ログをエージェントレスで収集・一元管理し、さらに容易にレポートを自動生成することで、企業のコンプライアンスを見える化し、企業の“安心”を構築できるITシステム変更管理ソフトウェアが「Netwrix Auditor(ネットリックスオーディター」です。

※本ホワイトペーパーは資料請求にて無料でダウンロードできます。

お問い合わせ・資料請求

Netwrix Newsとは?

Netwrix News はハイブリッドIT環境の構成・変更・アクセスの見える化を実現する Netwrix Auditor(ネットリックス オ―ディター)のメーカーであるNetwrix社のホームページ・ホワイトペーパー等で提供している、ITシステム監査に役立つ情報や、Netwrix Auditorを活用した効率的な監査方法をご紹介するコーナーです。最新の海外セキュリティ事情などお客様の検討課題や対策の参考にしてください。

Netwrix Newsとは?