金融サービスにおけるセキュリティ (およびコンプライアンス) とは

金融サービスにおけるセキュリティとコンプライアンスとは、金融サービス会社が顧客のお金と金融情報を保持、管理、保護する責任を指します。これには、顧客データに関するセキュリティ基準を決定する国や地方自治体の規制を遵守することが含まれます。

利便性と顧客の期待

銀行業界は、従来の実店舗モデルから、今日の利便性と機能向上への期待に適応できるよう、進歩を遂げています。しかし、テクノロジーと顧客感情は、拡大する一連のデジタル機能に政府の行政監督が追い付くのを待ってはくれません。銀行は、遅れて変更される規制を遵守しながら顧客の要求に適応していかなければならないという課題に直面しています。さらに、金融サービスの新規参入企業は迅速な対応で既存の大手企業に追いついてきているので、大手企業にとっては競争力の維持が課題になっています。

データ保護

デジタル情報へのアクセスの利便性が高まると、データの不正や漏洩が常にリスクになります。データは最終的な宛先に到達する前に多くの中継点を通ります。そして、各中継点には潜在的なセキュリティリスクがあります。特にターゲットになりやすいのがモバイルアプリです。アプリケーション自体や、アプリケーションが置かれているサーバーに、悪用され得る脆弱性が存在する可能性がありますし、ユーザーの行為がリスクの一因となる場合もあります。

EU 一般データ保護規則 (GDPR) などの政府規制は、データが国境を越えて送信される場合でも、このような脆弱性が伴う多くのポイントに対処することを目指すものです。

業界の意識

金融サービス業界の意識変革も、さらなる課題となります。金融セクターは、確実に機能するビジネスモデルを、金融業界の観点から見ればリスクをもたらすと思われるビジネスモデルに変更することには慎重です。セキュリティリスクに対処せずに消費者の利便性の向上を急げば、悲惨な結果をもたらしかねません。しかし、セキュリティプロセスによってユーザーエクスペリエンスが使いにくくなれば、利用者はもっと簡単に同じことを達成できる別の方法を探すでしょう。この微妙なバランスを維持するのは、最も革新的で先進的な企業にとってさえ、手ごわい課題です。

公衆の信頼

消費者が抱くイメージへの対処は、テクノロジーの導入と同じくらい重要です。データ漏洩が長年にわたって注目を浴び、個人データを扱うあらゆる企業に対する公衆の不信感が生じてきました。信頼は失われやすく、修復も困難です。顧客は、自分たちの情報が安全に保管されているという保証を求めています。金融サービス企業は、信頼を築くためにサイバー犯罪やデータ漏洩から情報をどのように保護しているかについて、可能な限り透明性を保つ必要があります。

消費者の意識と知識供与

自分自身をどのように守るべきかについての情報を顧客に提供することは、おそらく、生産的で安全なバンキング・エクスペリエンスのために最も重要な要素です。消費者が自分の情報を守るために何が必要か、不正が生じた場合はどうするべきかに関する最新情報を提供し続けることによって、銀行と顧客の関係を向上させることができます。この情報は、新しいテクノロジーの導入や脅威の登場に応じて変わります。消費者への情報提供を継続することは、顧客を引き付け、維持するのに大いに役立ちます。

金融サービス業界におけるリスクとコンプライアンスへの対処方法はさまざまです。世界各国の政府機関 (米国連邦準備制度理事会など)、企業、および組織は、マネーロンダリング防止、リスク管理、コンプライアンスプロセスに多額の投資を行っています。 

金融サービスのコンプライアンス要件を満たすために使用されるセキュリティ機能には、次のようなものがあります。

暗号化

機密データは暗号化プロセスにより、正しい解読キーを使用しないと解読できないコードに変換されます。しかし、データの暗号化、照合、復号には、時間と処理能力が必要です。増え続けるデータ処理を高速化するために、銀行は既存の IT インフラストラクチャをアップグレードして拡張するか、より柔軟で堅牢な新しいシステムを実装して、簡単にスケーリングできる高速のデータ暗号化に対応しています。Payment Card Industry Data Security Standard (PCI DSS) は、データの暗号化方法において大きな役割を果たしています。

多要素認証

複数の認証形式を使用したログインは、金融サービスだけでなく、多くの業界の Web サイトで一般的なオプションになりつつあります。ユーザーがパスワードや PIN を入力すると、事前登録したデバイスにテキストメッセージを介してコードを送信する要求が送られます。ユーザーは送られてきたこのランダムな文字列を入力することで、ログインプロセスを完了できます。これにより、ログインプロセスに追加の手順が必要になりますが、犯罪者の侵入がはるかに困難になります。EU の銀行は、改正版決済サービス指令 (PSD2) により、国境を越えて取引する場合でも、すべての取引に多要素認証を実装することが求められています。

データの保存と分散化

GDPR の影響は EU 以外の国々にも及んでおり、データの保存、アクセス、配信方法に関する世界中の金融機関のポリシーを推進しています。データを 1 カ所に保存することは、デジタル情報の保存先としてクラウドサービスに依存している企業にとっても、もはや安全なオプションではありません。単一のプロバイダーに依存すると、集中リスクが発生し、データが侵害されやすくなります。ストレージと機能を複数のプロバイダーに分けて分散すると、リスクが軽減され、犯罪者がアクセスしにくくなります。

人工知能 (AI)

事前定義されたアルゴリズムは、通常のパターンに適合しないトランザクション、たとえば米国に住んでいる顧客のトランザクションがロンドンで発生した場合にフラグを立てることができます。しかし、その顧客が 1 年に数回ロンドンを訪れる場合、そのアルゴリズムは、正当な場合でも、ロンドンでのすべてのトランザクションにフラグを立て続けます。AI を適用して顧客の行動を学習し、それに適応してアルゴリズムを更新すると、このパターンに一致する将来のトランザクションにフラグが立てられる可能性を低減することができます。AI はまた、アカウント情報へのアクセスを取得するために独自の機能を使用する顧客を識別する手法である、バイオメトリクスを推進します。指紋、眼球、顔を使用した生体認証機能は多くのスマートデバイスに搭載されており、モバイルアプリでこれらのオプションを提供する銀行が増えています。これにより、セキュリティがさらに強化され、犯罪者が勝利することは難しくなります。

AI/ML アプリケーション管理の向上

人工知能/機械学習 (AI/ML) アプリケーションのデプロイおよびライフサイクル管理の単純化による ML モデルと AI アプリケーションの構築、コラボレーション、共有の迅速化に関するエキスパートの視点を、Web セミナーシリーズでご紹介しています。 

Red Hat は継続的セキュリティ戦略の効果をお客様に体感していただきたいと考えています。Red Hat はそのために、エンタープライズ向けのオープンソースを提供しています。Red Hat の目標は、各企業がセキュリティ保護とコンプライアンスへの順守を継続しながら、ビジネスの競争力、柔軟性、適応性を維持することです。