将来における従業員の保護：金融サービスのアイデンティティを活用したセキュリティの事例

金融サービスプロバイダーでは、ワークフォースセキュリティの次なる課題について、深刻な取締役会レベルの話し合いが行われています。あらゆるタイプの金融サービスプロバイダーが、最高レベルのデジタルセキュリティを維持しながら、従業員の生産性と満足度を向上させるという課題に直面しています。特に、情報漏洩の脅威がかつてないほどに高まっていることを考えると、両方のバランスを取ることは難しくなっています。 

これは新しい問題ではありませんが、この問題を緊急に解決する必要性が高まっています。金融サービス機関は、認証情報の盗難やフィッシング攻撃に関連するリスクを軽減するために、強固なワークフォースセキュリティのメカニズムが必要であることを知っています。しかし、レガシーシステムとハイブリッドワークフォースにより、セキュリティ環境は複雑化しています。ワークフォースを積極的に保護し、有効化する「次の対策」を決定することが困難であるため、多くの組織は受身状態になっています。

アイデンティティを活用したセキュリティは、次の対策の秘策として、強力なセキュリティ態勢、従業員UXの改善、生産性向上の基礎を築くことができます。

本ブログでは以下について説明します。

• ワークフォースセキュリティの脆弱性になぜ積極的に対処する必要があるのか
• レガシーまたは自社製のアイデンティティとアクセス管理（IAM）ソリューションは、どのように対応を複雑にしているのか
• アイデンティティを活用したセキュリティはどのように役立つのか 

侵害はますます巧妙になり、より高コストに

データ漏洩の脅威は、金融サービス業界に限ったことではありません。しかし、金融機関はサイバー犯罪の標的として他にはない魅力があります。金融システムの侵害は、PII、パスワード、財務データ、口座番号など、多額の収穫となるデータの鍵を握っています。 

さらに、金融サービス企業にとって、ブランドコストとロイヤルティコストは特に高額です。世間は、自分たちのお金や個人情報の保護が不十分だと思われる金融機関に対して好意的ではありません。2023年度 IBM データ漏洩レポート, によると、金融企業は、データ漏洩1件につき約590万ドルの損失を被っており、平均的な組織よりも28％高くなっています。金融サービスは、2023年には、全業界で2番目に大きい損失を被りました（1位はヘルスケアというありがたくない栄誉を獲得）。
 

内部の危険：従業員からの脅威の全容

フィッシングと認証情報の漏洩は、この迫りくる脅威の主な原因です。 

フィッシング：フィッシングは、犯罪者がランサムウェアをインストールするために使用する第一の方法であり、金融サービスにおける攻撃の66%に関連しています。フィッシング攻撃の総件数は、過去最高を記録しており、 全データ漏洩の36%がフィッシングに起因しています。

認証情報の盗難：2023年、アカウントの乗っ取りや詐欺につながったアプリ攻撃の86%は、認証情報の不正使用によるものでした。主な原因はパスワードにあります。パスワードは様々な問題を引き起こします。ユーザーはさまざまなアカウントで、パスワードを管理することを望まないため、多くの場合、簡単に解読されてしまうのです。 

内部脅威：あまり一般的ではありませんが、内部関係者による脅威は最も大きな損害を与える可能性があるため、最大の懸念事項でもあります。内部関係者による侵害は、平均するとその被害額は世界平均を9.8%上回っています。 

セキュリティ侵害の多層的な影響：

• リソースの枯渇： 侵害によって漏洩する顧客データが多くなればなるほど、そのコストは高くつきます。5,000万件から6,000万件の記録が含まれる情報漏洩の場合だと、金融機関は平均3億ドル以上の損害を被ります。
• ブランドの損傷：小さな侵害であっても、すべての侵害は信頼を損ないます。一度失われた信頼を取り戻すことは非常に難しく、顧客の成長とロイヤルティに長期的な悪影響を及ぼします。
• 新規消費者の見込みが悪化：金融サービス機関のレジリエンスは、ミレニアル世代やZ世代を取り込めるかどうかにかかっています。ハイテクに精通したこの世代の消費者は、安全でないと認識したデジタルサービスには手を出しません。

言い換えると、データセキュリティに対する内部脅威から保護することは、金融機関にとって最重要課題です。悪意があるかどうか、あるいは故意なのか偶発的なのかにかかわらず、内部からのデータ損失はどの企業にとっても莫大な責任となります。 

乗り越えなければならないハードル

金融サービス機関が認証情報の盗難やフィッシング攻撃の台頭を十分に認識しているにもかかわらず、フィッシングや認証情報の盗難がこのような規模で続いているのには理由があります。あまりにも多くの企業が未だに、巧妙で広範なサイバー犯罪に対抗できない自社開発または断片的なセキュリティアプローチに頼っているためです。従業員の日々の生産性は、これらのソリューションと深く関わっています。

しかし、多くのリーダーは、当然のことながら、新しいソリューションが解決策と同じくらい多くの問題を引き起こすことを恐れています。金融サービス企業は、よくある落とし穴に陥ることなく、真に現代的な水準の脅威対策を実現するために、保護を強化するセキュリティパートナーを必要としています。

では、解決策は？アイデンティティを活用したセキュリティへのアプローチです。

金融サービスの未来に向けたアイデンティティを活用したセキュリティ

アイデンティティを活用したセキュリティは、アイデンティティベースの制御をサイバーセキュリティインフラストラクチャの中心に置きます。金融サービスにおいて、このアプローチは既に進行中の変化（例えば、クラウドやマルチクラウドサービスの普及、従業員のリモートアクセスの必要性の増加など）に対応します。これにより、組織は、ユーザーエクスペリエンス、ビジネスの俊敏性、コンプライアンスを優先しながら、ゼロトラスト（NIST SP 800-207 ZT アーキテクチャ）を適切に実装することができます。

では、どうすれば、それを実現できるのでしょうか？
 

このクラウドベースの 従業員のアイデンティティに対するアプローチは、ゼロトラストの「最小特権アクセス」の基盤に加え、次のような多くのコアビジネスの優位性をサポートします。

• レガシーIAMソリューションと比較して、侵害インシデントが減少
• コンプライアンスと監査要件に関するコストの削減
• 余分な摩擦を生むことなくセキュリティを提供する、より優れたユーザーエクスペリエンス
• ITスタッフの負担が軽減され、より戦略的なイニシアチブに取り組めるようになる
   

金融サービス業界は変化し続け、侵害の脅威はより複雑になるため、金融サービス組織は、内部の脅威から組織を保護し、ビジネスへの戦略的かつ機敏なアプローチを可能にするワークフォースセキュリティメカニズムを採用する必要があります。Identity を活用したセキュリティは、金融サービス機関を常に警戒させ、プロアクティブで最新の安全な従業員管理を可能にし、新しい時代の働き方に対応できるようにします。

Okta を使ってみる

Oktaは働く人々をつなぎ、保護する、アイデンティティのリーディングカンパニーです。従業員、契約社員、エージェント、およびパートナーは、Oktaを使用してデバイスを保護しアクセスを管理し、統合プラットフォームソリューションを通じて強力なアイデンティティガバナンスを維持することができます。 

• 悪意のある攻撃の検出と対応にかかる時間を90%短縮（Okta社内）
• 情報漏洩のリスク低減により、年間452,000ドルのセキュリティ経費を節約（保険会社）
• RBACを中心としたセキュリティ強化によりSOX認証を取得し、きめ細かい権限を確保し、潜在的な侵害を最小限に抑えました（Wealthsimple）

Okta内部推定：Okta製品の使用の潜在的な価値を示すOkta内部調査を通じて収集されたデータポイント。

アイデンティティを活用したセキュリティについて詳しい内容をお知りになりたい場合は、 Oktaチームメンバーにお問い合わせの上、デモをご予約ください。