ホーム ケーススタディ KBC Group Security Soar KBC Group
サイバーレジリエントな多国籍銀行・保険グループを構築する方法
サイバー・レジリエントな多国籍銀行・保険グループについて話す2人の男性

KBCは、IBM Security SOARプラットフォーム(旧Resilient)を実装したことで、サイバーセキュリティー・インシデント対応のための中央ハブを導入しました。同社は現在、事業体内の脅威を可視化し、多くの規制で義務付けられているローカル・レベルおよびグループ・レベルでの対応を開始しています。

ビジネス上の課題

多国籍銀行・保険会社であるKBC Groupは、サイバーセキュリティーへの対応を監督および調整し、サイバー・インシデントに対する規制当局の厳しい報告要件を満たす必要がありました。

概要と経緯

KBCは、ヨーロッパの事業体全体のサイバーセキュリティーの脅威を包括的に把握し、タイムリーな対応を調整するために、 Resilient SOAR Platformを選択しました。

結果 一元的なビューを提供
異なる国の複数の事業体にまたがるサイバー・インシデントを把握します
ローカライズされたアクションを追加できる柔軟性
インシデント対応のための包括的な標準化されたフレームワークを維持しながら実現します
法的な通知要件の遵守を管理
欧州レベルの数多くの規制に対応します
ビジネス上の課題の詳細
多層的なサイバーセキュリティーの課題

KBCは、ベルギー、チェコ共和国、スロバキア、ハンガリー、ブルガリア、アイルランドを中核市場とし、高度な地方自治権を有する全額出資の銀行および保険会社を通じて、ヨーロッパ全土で事業を展開しています。金融サービス規制は主に国レベルで推進されていますが、こうしたKBC事業体も欧州連合(EU)および欧州中央銀行(ECB)の管轄下にもあります。一般データ保護規則(GDPR)や改正決済サービス指令(PSD2)など、いくつかの新しい規制や更新された規制に加え、ECBのサイバー・レジリエンスの監督上の期待により、サイバー・インシデントやデータ侵害の報告と対応に関して、グループとその子会社に対する要件が厳格化されました。

2016年、KBCはベルギーのブリュッセル本社にサイバー専門知識対応チーム(CERT)を設立しました。このチームの任務は、ヨーロッパ全土にあるグループの複数の事業体全体で、サイバー脅威への対応を指揮することでした。CERTはインシデント対応プロセスを一元的に監督する必要がありましたが、そのために大規模な集中管理部門を設立することは望んでいませんでした。グループのヨーロッパおよび海外のさまざまな組織には、セキュリティーおよびインシデント対応チームが確立され、ほぼ自律的に運営されていました。KBC CERTは、重複した対策を行うのではなく、それらを補完し、最終的にはグループ・レベルでの意識の向上と対応の調整を通じて、グループ全体のサイバーセキュリティーの取り組みを改善しようとしていました。

KBCは、CERTがグループのさまざまな事業体における脅威を記録・可視化し、各種の規制で義務付けられているローカル・レベルおよびグループ・レベルでの報告と対応を開始できるメカニズムを模索していました。

CERTの危機およびインシデント管理責任者であるKris Caron氏は、同チームと国レベルのセキュリティー・オフィスとの関係についてこう語っています。「インシデントが複数の国にまたがる場合、あるいは現地や本部の管理者から指揮を執るよう要請された場合は指揮を執りますが、そうでない場合はサポートに徹します。そのため、すべてのインシデントを概観すること、一目で見渡せることが必要でした。」

KBCは、インシデントの種類に応じたインシデント対応プレイブックを導入し、グループ全体で一貫した対応を可能にするテクノロジー・ソリューションを求めていました。これらのプレイブックは、特定のインシデントに対応するための段階的なプロセスを提供し、その一部は自動化される場合があります。一例として、銀行のPCでマルウェアが検出された場合、プレイブックにはエスカレーション、封じ込め、修復の手順がまとめられています。

「CERTが対応を調整し、既存の技術ツールと統合し、一部の対応を自動化できるソリューションが必要でした」と Caron 氏は言います。「それに加えて、スピードも必要でした。私たちにはさまざまな報告規制がありますが、その1つとして、サイバー・インシデントを2時間以内に報告することがECBによって義務付けられています。」

Resilientプラットフォームは、銀行グループ内のどこにいても、危機管理タスクと通知を自動的にトリガーします。 Kris Caron CERT、危機およびインシデント管理責任者 KBC Group
概要と経緯の詳細
サイバーセキュリティーのオーケストレーションと可視化

KBCは、多くのセキュリティー・レポート・プラットフォームのデモを含む提案依頼書(RFP)プロセスを実施し、IBM Security SOAR Platform(旧Resilient)を選択しました。IBM Security SOARソリューションは、KBC組織の複数のレベルにおいて、幅広い種類のインシデントに対する対応計画、管理、緩和のための強力な基盤を提供します。

「私たちがResilientを選んだ大きな理由は、担当者がサイバーセキュリティーのことをよく理解しており、私たちの具体的なニーズに合わせて一緒に取り組んでくれたことでした」とCaron氏は言います。「ボストンに行き、現地の人々に会い、握手をして組織を知ったことも重要な要因の1つです。この個人的なつながりが、私たちが現在築いているパートナーシップの土台となり、導入したResilientをさらに発展させる結果につながっています。」

IBM Security SOARチームは、プラットフォームを顧客の既存のセキュリティーおよび ITインフラストラクチャーと統合することに貢献しました。KBCは、マルウェア、サービス妨害、フィッシングなど一般的な種類のインシデントに対応した、標準のプリロードされたプレイブックを使用して、KBCのプレイブックをIBM Security SOARプラットフォームに適合するように変換しました。IBM SecurityコンサルタントはKBCと協力して、プレイブックに特定の法的報告トリガーを追加しました。これらには、GDPR、ECB、PSD2、重要なインフラストラクチャーに関するEUネットワークおよび情報セキュリティー(NIS)指令の要件が含まれています。さらにチームは、CEO詐欺やKBCに特化したものなど、より多くのサイバーセキュリティー脅威のプレイブックを導入しました。

IBM Security SOARチームとの作業は2017年10月に始まり、2018年2月にCERTとブリュッセルの組織によって初の稼働が開始しました。2018年2月から5月にかけて、IBM Security SOARとCERT は他の組織と協力して人材を訓練し、IBM Security SOARのプレイブックをセキュリティー・インフラストラクチャーに統合しました。その間に、KBCは国家レベルの組織から要求されたローカル・コンテンツを追加しました。

Caron氏は、KBCが柔軟なSOARプラットフォームを使用して、グループのプレイブックをローカル・コンテンツで補強する方法について次のように説明しています。「現地事業体にはある程度の自主性を与えましたが、これらのプレイブックには共通の分類法と一連の基本的なタスクを組む込むことを求めました。ローカルのプロセスや規制に関して独自のタスクを作成することもできますが、同じインシデントに対して複数のチームが協力できるようにするには、共通のフレームワークにこだわる必要がありました。そのため、登録の共通言語も英語に切り替えました。」

スピードが必要でした。さまざまな報告規制がありますが、その1つとして、サイバー・インシデントを2時間以内に報告することがECBによって義務付けられています。 Kris Caron CERT、危機およびインシデント管理責任者 KBC Group
成果の詳細
一元化されたビュー、ローカルな仮想応答

IBM Security SOAR Platformは、KBC CERTに、さまざまな国の複数の事業体におけるサイバー・インシデントの統合ビューを提供しています。「すべてのサイロの橋渡しをすることが、私たちにとって最大のメリットだと思います」とCaron氏は言います。「一元化されたビューを持つことで、他の国で何が起きているのかをより的確に把握し、それらのチームと対応を調整することができます。」

柔軟性と拡張性を考慮して設計されたこのプラットフォームにより、KBCはインシデント対応のための包括的な標準化されたフレームワークを維持しながら、ローカライズされた対応をプレイブックに追加することができます。セキュリティー・アラートを直ちに実行できるようにし、貴重なインテリジェンスとインシデントのコンテキストを提供し、複雑なサイバー脅威に対する適応型の対応を可能にします。

Caron氏は次のように述べています。「Resilientプラットフォームは、警報を発するために『break-the-glass』の原則を導入しました。そのため、銀行グループ内のどこにいても、危機管理タスクと通知が自動的にトリガーされます。」

KBCは、GDPR、ECB、PSD2、NISの法的通知要件の遵守により適切に対応できるようになりました。IBM Security SOAR Platformは、KBCのサイバー・アナリストの分析作業を大幅に軽減することで、インシデント対応時間を短縮することができます。多くのプロセスを自動化することで、サイバー・チームは、新しい法律で規定されているように、最も重大なインシデントに優先順位を付けて迅速に対応できるようになります。

このシステムをテストするため、CERTは銀行の執行委員会が実施したグループ全体の金融危機演習の中にサイバー脅威訓練を採り入れました。CERTはこのケースをIBM Security SOARソリューションに入力し、対応を求めました。「それはすぐに使える新しいもの、しかもサイバーに関連するものでした。私たちは以前よりもはるかに少ない労力で、迅速な対応を得ることができました」とCaron氏は言います。「私たちは危機の軽減に集中でき、海外のチームに連絡して時間をロスする代わりに、グループに対して追加の中間対応を迅速に要請することができました。」

KBCは、小規模な局地的なイベントから大規模なグループ全体のインシデントに至るまで、すべてのサイバーセキュリティー・インシデントをIBM Security SOAR Platformに登録します。このグループは同プラットフォームに60人のユーザーを追加し、詐欺、電子詐欺、脆弱性管理問題などのインシデントを管理するために利用を拡大し続けています。「Resilient SOAR Platformを導入したので、今度は危機管理とインシデント管理を専門とするオフィスが他のチームにサービスを提供できるようにしたいと考えています」とCaron氏は説明します。「私たちはニューヨークから香港、そしてヨーロッパ全土につながっており、次に取り組むべき分野は事業継続性と危機管理です。」

KBCロゴ
KBC Group

ベルギーのブリュッセルに本社を置くKBC(ibm.com外部へのリンク)は、1998年にベルギーの銀行2行とベルギーの保険会社1社が合併して設立されました。銀行・保険グループは、ベルギー、チェコ共和国、スロバキア、ハンガリー、ブルガリア、アイルランドを中核市場とし、ヨーロッパ全土の1,100万人の顧客にサービスを提供しています。また、主に中核市場の顧客にサービスを提供するために、米国とアジアにも限定的に進出しています。KBCの42,000人の従業員は、1,400以上の支店とさまざまな電子チャネルを通じて、グループの顧客にユニークでパーソナライズされた銀行取引および保険体験を提供するよう努めています。

次のステップ

この記事で紹介されているIBMソリューションの詳細については、IBMの担当者またはIBMビジネス・パートナーにお問い合わせください。

PDFで表示する 次へ:
脚注

© Copyright IBM Corporation 2020. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21

米国製作、2021年2月

IBM、IBMロゴ、ibm.com、およびResilientは、世界中の多くの管轄区で登録されたInternational Business Machines Corporationの商標です。その他の製品名・サービス名はIBMまたは他社の商標である可能性があります。IBMの登録商標の現在のリストは、Webページ「著作権および登録商標情報」( www.ibm.com/jp-ja/legal/copytrade.shtml)でご確認いただけます。

本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。

お客様は、自己の責任で関連法規および規則を順守しなければならないものとします。IBMは法律上の助言を提供することはなく、また、IBMのサービスまたは製品が、いかなる法規もしくは規則をお客様が順守していることの裏付けを、表明ならびに保証するものでもありません。

適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざんや、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品や、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。