パキスタンの銀行業界が進化と発展を続ける中、政府規制当局はリスクと脅威の増大に対応して新たなガイドラインを発行し、業界の勢いを維持する役割を果たしてきました。その最新版である「サイバーセキュリティー・ポリシー2021」では、マルウェア、フィッシング、なりすましといった行為から、ATMカードからのデータのスキミングに至るまで、あらゆる形態のサイバー攻撃を検知し、対応し、最終的には阻止するためのシステムや手順を近代化するよう銀行に求めています。
パキスタン政府にとって、こうした新たなサイバーセキュリティー規則の目的は、それまで主に成長と収益性に重点を置いていた同国の銀行が、ほとんど顧みてこなかった分野での取り組みを強化することでした。中でもこの新しいポリシーでは、銀行に対してセキュリティー・オペレーション・センター(SOC)や24時間365日稼動する自動応答ツールなど、基本的なセキュリティー機能を維持するよう求めています。
2019年初頭、まだポリシーが草案段階だった当時、Askari Bankは、パキスタンの大多数の銀行と同様に、最も基本的なセキュリティー機能しか導入しておらず、セキュリティー・ガバナンスも限定的で、専任のセキュリティー担当者もいませんでした。このギャップを埋めることが、最高情報セキュリティー責任者(CISO)として3月に同行に入社したJawad Khalid Mirza氏の主な使命でした。同氏は、当初から取締役会レベルの強力なサポートが、彼が思い描いていた変革にとって好ましい環境をもたらしたと説明しています。「私たちの取締役会は、世界中の銀行がセキュリティーにどのように投資しているかを認識していました」と彼は言います。「彼らは、適切なサイバーセキュリティー能力と適切な専門家がなければ、前進できないことを認識していたのです」
20件を超えるセキュリティー・インシデント
誤検知の数を大幅に減らすことで、セキュリティー・インシデントの数を1日あたり約700件から20件未満に削減
2分
自動応答の導入により、修復に必要な時間を平均30分から平均5分に短縮
Jawad Khalid Mirza氏が直面している課題の核となる問題は、おそらく、SOCをゼロから構築し、人員を配置する必要があることでした。その問題を解消するには、Askari Bankのコア銀行システムとのソリューションの統合など、技術的なニーズに最も効率的かつコスト効率よく対応できるセキュリティー・ソフトウェア・ソリューションを選択する必要がありました。それに加えて、非常に重要なセキュリティー・インシデントの検出と処理を含む、SOCの日常的な技術運用を確立および管理するチームを配置する必要がありました。この任務には熟練したSOCの経験が必要でしたが、適任だったのがUmair Shakil氏でした。
SOCチームの責任者としてAskari Bankに入社した数日後、Umair Shakil氏は極めて重要なプラットフォームの決定についてJawad Khalid Mirza氏と深いところまで協議を行っていました。Umair Shakil氏は、パキスタン最大の通信プロバイダーの1つでセキュリティー運用を担当していた前職で、IBM Security® QRadar®ソリューションを導入して大きな効果を上げていました。IBM SecurityがMicrosoftやSplunkのセキュリティー・ソリューションとともに最終候補リストに選ばれたのは、その時のポジティブな経験に基づいていました。
各ベンダーから提出された概念検証に基づいて、Umair Shakil氏とJawad Khalid Mirza氏は、システム・パフォーマンス、相互運用性、使いやすさという3つの核となる要素に基づいて厳密なベンチマーク演習を実行しました。これらの要因に加えて、QRadarプラットフォームを選択した理由には、IBMが策定したロードマップが彼らにとって信頼するに足るものだったからだとJawad Khalid Mirza氏は説明します。「IBMは、QRadarプラットフォームで進めようとしている方向性と完全に一致していると思いました」と彼は言います。「優れたセキュリティー・ソリューションをさらに改良するというIBMの取り組みが表れていると感じたのです」
QRadarソリューションが持つ、MicrosoftやSplunkのソリューションよりも優れている特性の中でも、Umair Shakil氏は特に強みの1つとして統合の容易さを挙げています。「QRadarの最も優れている点の1つは、方法が1つではなく、コアの銀行システムと統合するための複数の方法を提供していることです」と彼は述べています。「私たちが期待していた通り、これは導入時に大きな利点であることが判明しました」
このソリューションを提供するために、Askari BankはIBM Business Partner Software Productivity Strategists, Inc.(SPS)と協力し、Umair Shakil氏と彼の成長しつつあるSOCチームと緊密に連携しました。ソリューションの脅威検出に関するコアコンポーネントはIBM Security QRadar SIEMです。これは銀行が単一のリポジトリー内でさまざまなソースからのログを集約できるようにするセキュリティー情報およびイベント管理製品です。これにより、SOCスタッフはさまざまなログの関連付けとエスカレーションを実行して、セキュリティー・インシデントを迅速に特定して優先順位を付けることができます。
セキュリティー・インシデントへの対応に関しては、可能な限り自動化することが銀行における経験則でした。その基本的なアプローチは、IBMのセキュリティー・オーケストレーション、自動化、レスポンス・ソリューションであるIBM Security QRadar SOARに搭載されているプレイブックの機能を採用することでした。導入の初期段階で、SPSは、他の顧客向けに自動応答シナリオを実装した経験から導き出された一連のユースケースを提案しました。これらのユースケースを、各インシデントを上位の対応層にエスカレーションする方法、または必要に応じてSOC対応チームのメンバーによる介入をトリガーする方法のシーケンスを定義する具体的なプレイブックに変換しました。
SPSと協力して10個のプレイブックを導入したAskari Bankのチームは、SPSの指導を受けながら継続的に開発を続けており、最終的には約35個の自動化されたプレイブックを導入することを目標としています。SPSのエンタープライズ・セキュリティー担当副社長補佐であり、この取り組みの中心人物でもあるNayab Akbar氏にとって、銀行の進歩はSOCチームが良好な牽引力を得ていることを示す明らかな印でもあります。「今日、Askariのチームは、セキュリティーのユースケースについて実際に議論を交わし、それをプレイブックに変換する方法を理解しています」とAkbar氏は述べています。「これがまさに、お客様にしてほしいことなのです。自動化するユースケースを考え出す作業に時間と労力を費やしてほしいのです」
脅威によるセキュリティー侵害の発生を阻止することが、最終的なSOCを成功させるための手段ではありますが、運用レベルではその効率も重要です。そして、Askari Bankの自動化への取り組みが本当に成果を上げている点もここにあります。QRadar SIEMの誤検知を排除する機能により、銀行のSOCは、セキュリティー・インシデントの数を1日あたり約700件から20件未満にまで削減しました。さらに、SOCに実装されたQRadar SOARプレイブックにより、担当者はこれらのインシデントを平均5分で解決できるようになりました(セキュリティーの変革前は最大30分かかっていました)。
Umair Shakil氏が指摘するように、こうした自動化による効率改善はすべて、SOC担当者がSOCを圧迫する優先度の低いインシデントや偽陽性をフィルタリングし、代わりに真のリスクへの対処や脆弱性の探索に集中できることを意味します。「SOCが効果的であるためには、最も差し迫ったセキュリティー・リスクへの対応に優先順位を付ける能力が、検出とほぼ同じくらい重要です」と同氏は言います。「その点で、私たちが導入したQRadarソリューションのおかげで、私たちのチームは脅威の状況にはるかに効果的に対処できるようになりました」
重要なのは、銀行の外部と内部の両方からの脅威に対処するということです。また、これは、銀行だけでなくあらゆる組織が直面する重要なセキュリティー問題の1つ、つまり「内部関係者」が引き起こすセキュリティー脅威を管理することにもつながります。多くの場合、内部関係者による脅威は、ログイン試行の失敗や、従業員がアプリケーションやデータベースにアクセスしようとするなど、ネットワーク内での異常と異常な動作の両方に現れます。このようなリスクを検知するために、Askari Bankではユーザー振る舞い析(UBA)アプリを使用しています。QRadarにすでに保存されているログやアクティビティー・データと行動ルールや分析を組み合わせたUBAアプリによって、銀行のSOCスタッフは監視、検知、調査を効率化し、内部脅威管理の効率を向上させることができました。さらに、UBAでは、厳格なルールではなく分析アルゴリズムを使用してユーザーのアクティビティーの逸脱を検出するため、Askari Bankはそれを使用して誤検知インシデントの頻度を減らすことができました。
SPSと協力して新しいQRadarソリューションを導入して以来、Askari Bankがセキュリティー体制をどこまで改善したかを示す単一の指標はありませんが、その証拠はたくさん見つかります。たとえば、3年前には存在すらしなかったSOCには、現在20名を超える専門家からなるチームが配置されています。そして、この銀行では、これまでになかったもう1つの機能が導入されています。それが、脅威の可視性です。QRadar SIEMの相関機能と精度の高いアラート機能のおかげで、Askari Bankは24時間365日、時間を問わず発生する攻撃の数を正確に把握できるようになりました。
脅威の可視性が大幅に向上したことに加え、QRadar SOARによって可能になった自動応答により、SOCの担当者は今日のサイバー脅威と明日の新たな脅威を寄せ付けないために、より効率的かつプロアクティブに作業できるようになったとJawad Khalid Mirza氏は指摘します。「パキスタンのサイバーセキュリティー規制を遵守できるようになったという事実は非常に重要ですが、これはまだ始まりにすぎません」と彼は説明します。「QRadarを導入したことで、当社がどのような急成長を遂げても、絶えず変化するサイバー脅威の状況に適応するための効率性と柔軟性が得られます」
パキスタンのラワルピンディを拠点とするAskari Bank(ibm.com外部へのリンク)は、パキスタン全土に560の支店を展開するほか、バーレーンにホールセール専門の支店を持つホールセール・リテール銀行です。1991年に設立されたAskari BankはFauji Groupの一部門であり、2021年の収益は42億米ドル、従業員数は約7,500人にのぼります。
メリーランド州ロックビルを拠点とし、パキスタンのイスラマバードにオフィスを構えるIBMビジネス・パートナー、SPS(ibm.com外部へのリンク)は、AIとクラウドを活用した業界ソリューションを構築しています。SPSは、製品設計、開発、展開、セキュリティー、運用、監視、サポートのあらゆる段階にわたる専門知識を持つエンタープライズ・クラスのイノベーターおよびソリューション・クリエーターとして、クライアントのアプリケーションの構築、展開、セキュリティー保護を支援します。開発、品質、サイバーセキュリティー、トレーニング、運用、監視、サポートの各チームが連携して、高性能、安全性、信頼性、スケーラブルで管理しやすいシステムを構築しています。
法務
© Copyright IBM Corporation 2023. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
米国製2023年 3月
IBM、IBMのロゴ、IBM Security、QRader は、米国およびその他の国々におけるIBMの商標です。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBMの商標の最新リストは、 ibm.com/tradementでご覧いただけます。
Microsoft、Windows、Windows NT、Windows のロゴは、米国、その他の国、またはその双方におけるMicrosoft Corporationの登録商標です。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
引用または説明されているすべての事例は、一部のクライアントがIBM製品を使用し、達成した結果の例として提示されています。実際の環境でのコストや結果の特性は、クライアントごとの構成や条件によって異なります。お客様のシステムおよびご注文のサービス内容によって異なりますので、一般的に期待される結果を提供することはできません。本書の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティー慣行に関する声明:どのようなITシステムや製品も完全に安全とみなすべきではなく、不適切な使用やアクセスを、完全に実効性のある形で防止できる単一の製品、サービス、セキュリティー対策もありません。いずれかの当事者による不正行為または違法行為の影響がシステム、製品またはサービスに及ばないという保証、またはこうした影響がお客様企業に及ばないようにするという保証をIBMが提供することはありません。
お客様は適用法・規則の遵守を徹底する責任を負うものとします。IBMは法律上の助言を提供せず、IBMのサービスまたは製品を使用することでお客様による法律または規則の遵守が確約されると表明することも保証することもありません。