タイ銀行(BOT)による情報技術リスク管理ガイドライン(แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ)は、進化するサイバーセキュリティの脅威、デジタルトランスフォーメーションのリスク、タイの金融機関に対する規制コンプライアンス要件に対処するため、2023年11月に改訂されました。改訂されたガイドラインには、モバイルバンキングチャネルをサポートするシステムの維持、ITリスク自己評価を30日以内にBOTに報告すること、ITリスク管理の実装とサードパーティのリスク管理に関するガイドラインを提出することなどが含まれています。
コンプライアンス概要
タイ銀行(BOT)のITリスク管理ガイドラインへの準拠
当社の包括的なソリューションを通じて、金融機関が情報技術リスク管理ガイドラインにどのように準拠しているかをご覧ください。また、要件の詳細もご確認いただけます。
タイ銀行(BOT)のITリスク管理ガイドラインへの準拠達成のためにThalesがお手伝いできること
Thalesのサイバーセキュリティソリューションは、コンプライアンスを簡素化し、可視化と制御によってセキュリティを自動化し、セキュリティおよびコンプライアンスチームの負担を軽減することで、金融機関が第2章「情報技術セキュリティ」の8つの要件に対応できるよう支援します。
BOTコンプライアンスソリューション
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品スイートには、Webアプリケーションファイアウォール(WAF)のほか、分散型サービス妨害(DDoS)攻撃や悪意のあるボット攻撃に対する保護機能が含まれています。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
BOTのITリスク管理ガイドラインへの対応
Thalesがお手伝いできること:
- Webアプリケーションファイアウォールでサイバー脅威を検知・防御し、シームレスな運用を実現して安心感をもたらします。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- 非推奨、未認証、BOLAになりやすいAPIや、OWASPのトップ10のAPI脅威の多くに対する検出・対応機能が組み込まれており、ビジネスロジックの乱用やAPIの脅威をリアルタイムで阻止し、統合された保護を提供します。
- 詳細な検出と分類を使用してすべてのパブリックAPI、プライベートAPI、シャドウAPIを検出し、すべてのAPIを継続的に保護します。
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- データベース内の機密情報を仮名化します。
- 高度に安全な環境内で暗号化システムの信頼の基点を保護します。
- 高速暗号化によって転送中データを保護します。
- 機密コンピューティングを活用して、使用中のデータを保護します。
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
Thalesがお手伝いできること:
- 生成、ローテーション、破棄、インポート、エクスポートなどの鍵のライフサイクル管理タスクを一元化します。
- FIPS 140-2レベル3環境で暗号鍵を保護します。
- 256ビットの高度暗号化標準(AES)、3072ビットのRSAなどの暗号化アルゴリズムをサポートし、暗号アジリティを維持するためにポスト量子アップグレード向けに設計されています。
- 標準ベースの強力な暗号化プロトコルに対応する透過的暗号化を導入します。
- すべてのシークレットと機密情報を管理し、保護します。
Thalesがお手伝いできること:
- データ暗号化には高度暗号化標準(AES)を、鍵交換には楕円曲線暗号(ECC)などの標準ベースの強力な暗号化プロトコルを採用しています。
- FIPS検証済みの耐タンパーハードウェアで暗号鍵を保護します。
Thalesがお手伝いできること:
- 生成、ローテーション、破棄、インポート、エクスポートなどの鍵のライフサイクル管理を一元化します。
- 暗号鍵を管理し、きめ細かなアクセス制御を提供し、セキュリティポリシーを構成します。
- CipherTrust Managerからキーを削除し、データのすべてのインスタンスをデジタル的に細断処理することで、安全な削除を保証します。
- 高度暗号化標準(AES)256ビット、RSA 3072ビットなどの暗号化アルゴリズムをサポートします。
- TLS/SSL(相互認証)、PKCS#11、KMIP、REST API(over TLS)、楕円曲線ディフィー・ヘルマン(ECDH)、鍵ラッピング(AES-KW、RSA-KW)などの安全な鍵交換プロトコルを提供します。
- 強力な多要素認証を使用してHSMを厳密に制御します。
- FIPS 140-3レベル3環境で暗号鍵を保護します。
- 機密性の高い暗号鍵を、FIPS 140-3レベル3認証取得済みのバックアップHSMに簡単かつ安全にバックアップおよび複製できます。
- すべてのシークレットと機密情報を管理し、保護します。
Thalesがお手伝いできること:
- 多要素認証(MFA)を導入し、承認された個人のみがシステムにアクセスできるようにします。
- シングルサインオン(SSO)を導入して、ユーザーが単一の認証で複数のシステムに安全にアクセスできるようにします。
- ユーザーの役割、責任、リスクに基づいてアクセス制御ポリシーを設定します(適応型アクセス制御)。
- 監査システムへのアクセスを提供し、使用状況データ(アクセスログ)を保存して、遡及監査をサポートします。
- 不要になったアクセス権を自動的に取り消します(委任ユーザー管理と自動デプロビジョニング)。
Thalesがお手伝いできること:
- 不正なネットワークアクセスを防ぐために多要素認証(MFA)を提供します。
- ユーザーの役割とリスクに基づいてネットワークアクセス制御ポリシーを作成します。
- ネットワークの使用状況を監視・分析し、リスクが発見された場合に警告を発します。
- セキュリティ目的でネットワークにアクセスする必要がある外部ユーザーの権限を管理します。
Thalesがお手伝いできること:
- APIアクティビティを監視し、使用状況を追跡し、異常を検出し、潜在的な不正アクセスの試みを特定します。
- 継続的な監視を有効にして、すべてのデータストアのアクティビティをキャプチャおよび分析し、誰がいつどのデータにアクセスし、データに対して何が行われたかを示す詳細な監査証跡を提供します。
- データの種類とユーザーの役割に基づいてユーザー権限管理を実施し、監査証跡のレポートを作成します。
- 監査の目的で詳細なデータアクティビティを自動的にキャプチャします。
- 権限のすべての変更を、加害者のIDとセッションの詳細とともに記録します。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
IDおよびアクセス管理
Thalesがお手伝いできること:
- リアルタイムまたはほぼリアルタイムのユーザー行動とコンテキスト要因に基づいて、アクセス権限を調整します。
- 複数のハイブリッド環境に対するアクセスポリシーと適用を1つの画面で一元管理します。
- 後で確認できるように、特権ユーザー(システム管理者など)のアクセスとアクティビティをログに記録します。
- 特権ユーザーの行動と監査ログを分析して、管理者が勤務時間外にログインしたり、異常な権限を変更したりするなどの異常を検出します。
- レビューをサポートするために、権限を要求し、承認を記録するためのワークフローを作成します。
Thalesがお手伝いできること:
- APIアクティビティを監視し、使用状況を追跡し、異常を検出し、潜在的な不正アクセスの試みを特定します。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- データベース攻撃や異常なアクセス要求をリアルタイムで警告またはブロックします。
- ファイルのアクティビティを長期にわたって監視し、金融機関を危険にさらす可能性のあるアクティビティに関するアラートを設定します。
- 異常なI/Oアクティビティがないかプロセスを継続的に監視し、悪意のあるアクティビティを警告またはブロックします。
- ランサムウェアを検出するためにアクティブなプロセスを監視して、過剰なデータアクセス、流出、不正な暗号化、悪意のあるユーザーなりすましといったアクティビティを特定し、そのようなアクティビティが検出された場合に警告またはブロックします。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 複数のハイブリッド環境に対するアクセスポリシーと適用を1つの画面で一元管理します。
- データ/アプリケーションの機密性に基づいて適応型認証ポリシーを構築し、展開します。
- 新しい場所/IPからの管理者ログインや不正なシステムアクセスパターンなどのユーザー行動を監視し、警告を発して攻撃を防止します。
- ユーザー行動分析(UBA)と、時間/デバイス/ネットワークなどのコンテキストを分析して、認証を追加したり、アクセスをブロックします。
- 関係者のインシデント管理を警告、承認、チェックするためのワークフローを作成します。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
IDおよびアクセス管理
Thalesがお手伝いできること:
- 高度なAPI検証機能を提供して、潜在的な脆弱性に対する防御を強化します。
- MySQLなどのデータストアに対して評価テストを実行し、既知の脆弱性をスキャンします。
- CISおよびPCI-DSSベンチマークに基づく1,500を超える定義済み脆弱性テストを使用してデータベースをスキャンし、最新の脅威からデータベースを保護します。
Thalesがお手伝いできること:
- ID検証と多要素認証(MFA)を使用して、企業デバイスとBYODデバイスの両方からのシステムアクセスを管理します。
- 未登録デバイスや高リスクデバイスからのアクセスを拒否するなど、デバイスとユーザーの役割のリスクに基づいてコンテキストアクセスポリシーを適用し、システムとデータのアクセス権を制御します。
- BYODの登録、更新、終了のためのワークフローを作成します。
- 接続を許可する前に、デジタル証明書または信頼できる機関を使用してデバイスのIDを検証します。
- ルート化/ジェイルブレイクされたデバイスなどの不正なデバイスを検出し、直ちにアクセスをブロックします。
Thalesがお手伝いできること:
- テスト用の実際のデータが公開されるのを防ぐため、データベース内の機密情報を仮名化します。
Thalesがお手伝いできること:
- システムや機密データへのアクセスを許可する前に、外部サービスプロバイダーのIDを検証・確認することで、外部サービスプロバイダーのIDを管理します。
- プロバイダーの役割とリスクに基づいてアクセスポリシーを適用し、アクセスを必要な作業範囲のみに制限します。
- アクセス権を管理し、管理者またはスーパーバイザーに管理権限を割り当てます。
- 契約サイクルに応じて外部サービスプロバイダーの権限を登録、検証、取り消すためのワークフローを作成します。
- 遡及監査をサポートするために、外部サービスプロバイダーのアクセスアクティビティのログを追跡して保存します。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。