2026年4月15日、ニューヨーク州金融サービス局(NYDFS)の23 NYCRR Part 500認定の期限を迎えましたが、多くの金融機関にとって本当の課題は期限そのものではなく、それを満たすために必要なインフラストラクチャでした。
多様な金融環境が複雑に入り組む中で、これらの要件を満たすことは困難であり、特にレガシーまたはハイブリッドのアイデンティティ環境に依然として依存している組織にとってはなおさらです。
レガシーなアイデンティティシステムは、最新の多要素認証(MFA)向けに構築されたものではありません。また、その改修は、規制当局が予想していたよりも困難であることも明らかになっています。規制当局は、アイデンティティおよびアクセス管理(IAM)プログラムが成熟し、一貫性を備え、組織と顧客両方のデータを保護できるものと期待していました。コンプライアンスへの取り組みの真っ只中にいるとしても、それは貴社だけではありません。金融サービス機関(FSI)による、ギャップ解消への取り組みをご紹介します。
NYCRRコンプライアンスの重要期日(2024年~2026年)
改正されたNYDFS Part 500規制では、厳格な段階的実装期限が導入されました。これらは、必須のセキュリティコントロールを導入するための固定されたマイルストーンであり、毎年繰り返される期日ではありません。すでにいくつかの期限が過ぎており、対応が遅れている組織は、厳密にはコンプライアンスに違反している状態です。そのため、今後取り締まりが強化されるにつれて、多額の規制上の罰金を科されるリスクにさらされています。
これらの基礎的な実装の期限を守ることは、重要事項のコンプライアンスに関する年次認定を申請するための厳格な前提条件です。組織がこれらの厳しい要件に対応し、従業員、パートナー、AIエージェントを安全に管理できるよう支援することは、Oktaの中核をなす事業です。
業種 | 関連するNYCRRセクション | 期限 | 主要な要件 |
顧客である中小規模企業 | § 500.12(a) | 2024年11月1日 |
|
対象となるすべての事業体(クラスAを含む) | §§ 500.5(a)(2), 500.7 | 2025年5月1日 |
|
対象となるすべての事業体(クラスAを含む) | §§ 500.12, 500.13 (a) | 2025年11月1日 |
|
対象となるすべての事業体(クラスAを含む) | § 500.17(b) | 2026年4月15日 |
|
多要素認証(MFA)導入における一般的な問題
アイデンティティは依然として最大の攻撃ベクトルであり、今日の脅威情勢において、金融サービス機関は認証コントロールの強化を求める圧力の高まりに直面しています。組織がNYDFSコンプライアンスの達成に取り組む中で、いくつかの課題が頻繁に障壁となります。
- レガシーアイデンティティシステム
- サードパーティアクセス
- 脆弱な認証要素
- 一貫性のない適用
最後に、多くの組織が、SaaSアプリケーション、社内システム、リモートアクセス環境全体でMFAポリシーを一貫して適用することに苦労しています。統合されたアイデンティティプラットフォームがないと、多くの場合、セキュリティチームは認証ポリシーやユーザーアクセスに対する適切な可視性を確保できません。
NYDFSのサイバーセキュリティコンプライアンスを戦略的優位性へと転換
組織がNYDFSコンプライアンスのためにアイデンティティインフラストラクチャを最新化するにあたり、アイデンティティについてこれまでとは異なる考え方を持つ必要があります。つまり、アイデンティティを単なるログインボックスとしてではなく、組織内のあらゆるアクセス判断におけるコントロールプレーンとして捉えるべきです。効果的に導入することで、最新のアイデンティティプラットフォームは金融サービス機関(FSI)に次のようなメリットをもたらします。
- さまざまなアクセスシナリオに合わせてコンテキストに基づくリスクシグナルとアダプティブ認証を組み込むことで、セキュリティ態勢が強化される
- アイデンティティインフラストラクチャを統合することで、運用上の複雑さが軽減される
- アクセス管理とオンボーディングの自動化により、俊敏性が向上する
- AIエージェントや自動化システムのアクセスを統制することで、台頭する非人間アイデンティティ(NHI)のセキュリティが確保される
適切なアイデンティティ基盤を導入することで、NYDFSの要件へのコンプライアンスが達成可能になるだけでなく、戦略的なメリットにもなります。
Oktaが金融サービス機関のNYDFSコンプライアンスをどのように支援するか
Okta Workforce Identityは、NYDFS Part 500で概説されている認証およびアクセス制御の要件をサポートすると同時に、組織のアイデンティティセキュリティの最新化を支援します。
Oktaの統合プラットフォームが、認証、ガバナンス、特権アクセス管理(PAM)を集約してリスクを軽減し、これらの要件を満たすために、金融サービス機関(FSI)をどのように支援するか、その具体的な方法をいくつかご紹介します。
Adaptive MFAとフィッシング耐性のある認証
Okta Adaptive MFAは、クラウド、オンプレミス、ワークステーションの各環境で強力な認証を適用します。デバイス、場所、ユーザーの行動といったコンテキストシグナルを使用して、追加のステップが必要なタイミングを動的に判断し、シームレスなエクスペリエンスを維持しながらセキュリティを向上させます。
OktaはパスキーやFIDO2セキュリティキーなどの最新の手法もサポートしており、組織はさまざまなアクセスシナリオでのMFAに対して、標準化されたアプローチとよりカスタマイズされたアプローチのいずれかを選択できます。
Desktop MFAは、これをクラウドアプリケーションだけでなくワークステーションにも拡張します。
さまざまな組織が、セキュリティ態勢と従業員への普及・浸透において、大きな成果を上げています。これにより、堅牢かつ直感的な認証を実現しながら、規制認定に必要な保証を経営層に提供します。
ガイドをダウンロードして、Okta Identity Governanceで規制、フレームワーク、規格の義務を果たす方法について詳しくご覧ください。
Identity Security Posture Management(ISPM)
コンプライアンスを維持するには、アイデンティティリスクを継続的に可視化する必要があります。Okta Identity Security Posture Management(ISPM)は、セキュリティチームが設定ミス、一貫性のないMFA、過剰な特権を持つアカウントを特定し、リスクが規制上の問題になる前に対処できるよう支援します。
エージェントディスカバリーなどの機能は、未承認のAIエージェントとエンタープライズアプリ間のやり取りを管理するのに役立ちます。これは、FSIがAI主導の自動化を試すようになるにつれて、ますます重要になります。
コンプライアンスチームにとって、ISPMは「30日間の駆け込み対応」を継続的な監査対応態勢へと変革します。組織は、アイデンティティのリスクと統制の状況をリアルタイムで可視化し、コンプライアンスを継続的なガバナンスの実践へと変えることができます。
Lifecycle ManagementとIdentity Governance
NYDFS Section 500.7では、組織がユーザーのアクセス権限を制限し、不要なアクセスを速やかに削除することが義務付けられています。Okta Lifecycle Managementは、ユーザーの属性と役割に基づいてプロビジョニングとデプロビジョニングを自動化します。
Okta Identity Governanceと組み合わせることで、組織は承認ワークフローを実装し、アクセスレビューを実施し、規制報告のための明確な監査証跡を維持できます。これらを組み合わせることで、FSIは最小権限アクセスを徹底しながら、NYDFSコンプライアンスを簡素化できます。
ニューヨークの金融機関がNYDFSコンプライアンスを継続的に実践するには
NYDFSのサイバーセキュリティ規制では、FSIに対し、3つの中核的な柱を実践するよう義務付けています。
- 強力な認証を導入する:すべてのアクセスポイントにフィッシング耐性のあるMFAを展開すること。
- システムの可視性を維持する:誰が、いつ、何にアクセスできるかを常に把握しておくこと。
- アイデンティティ関連のリスクを積極的に管理する:アイデンティティガバナンスを、コンプライアンス主導ではなく、継続的なものとして扱うこと。
コンプライアンスは4月15日で終わりではありません。実際には、これはほんの始まりにすぎません。コンプライアンスを「正しく」実践している組織は、コンプライアンスを単なるチェックポイントではなく、継続的なガバナンスとして捉えています。つまり、組織に必要なのは、信頼できるベンダー、すなわち規制当局に対して自社のセキュリティ態勢をすでに証明しているベンダーです。
Oktaでは、共同監査プログラム(pooled audits program)を通じて、お客様がNYDFSの監査人に対してセキュリティコントロールを容易に証明できるようにしています。Oktaの包括的なガイド「Paving the Path: Pooled Audits with Okta Security」では、このアプローチが、金融サービス規制当局が求める厳格性を維持しながら、従来のベンダー監査の負担をいかに軽減するかを詳述しています。これこそが、手厚いベンダーアシュアランスです。規制当局から「ベンダーのセキュリティ態勢はどうなっているのか?」と問われた際に、信頼性が高く、独立して検証された回答を提示できます。ベンダー監査は不要で、規制のグレーゾーンもありません。監査人は、Oktaが監査に対応できる状態にあることを確認できます。お客様は、重要なアイデンティティプロバイダーが規制要件を満たしており、監査において信頼に足るものであるという継続的な保証が得られます。
これこそが、規制当局が期待するベンダーパートナーシップモデルです。
フィッシング耐性のあるMFAの導入、アイデンティティガバナンスの強化、アクセス管理の一元化により、組織は規制要件を満たしながら、より強固なセキュリティ基盤を構築し、AIを活用したシステムのセキュリティ確保など、次世代のアイデンティティの課題に備えることができます。
世界中の何千もの組織が、Oktaを利用して、従業員のアイデンティティを保護し、変化し続ける規制要件に対応しています。コンプライアンスへの積極的な取り組みの最中であっても、次回の監査サイクルの準備中であっても、Oktaがお客様をサポートします。
Oktaがお客様の組織のNYDFS要件への準拠とアイデンティティセキュリティの最新化をどのように支援できるかについて、さらに詳しく知りたい場合は、デモをご予約ください。Okta Platformの仕組みを実際にご覧いただけます。