マレーシアにおけるマレーシア中央銀行のクラウド・データリスク管理（RMIT）対応

規制の概要

マレーシア中央銀行（BNM）の「テクノロジーにおけるリスク管理（RMiT）」方針は、同国の金融機関がクラウドをはじめとする技術革新を採用する際に使用するリスク管理プログラムを正式化することを意図している。

BNMは2023年6月1日、テクノロジーにおけるリスク管理に関する新しい政策文書（PD）を発表・更新しました。すべての金融機関は、効率の良い金融サービスを安全に提供し、金融システムに対する国民の信頼を維持するために、強固なサイバー要塞化によって、相互接続ネットワークやシステムにおける脆弱なリンクの悪用を防止するために、最低限の規制基準を上回る強固なリスク管理策を実施しなければなりません。

RMiT PDの主な更新点は以下の通りです：

• 金融機関のクラウドリスク管理能力を強化するための追加ガイダンス
• クラウドの協議と通知プロセスにおけるリスクベースのアプローチへの移行、それに対応するリスク評価と提出要件の更新、多要素認証（MFA）セキュリティコントロールの採用が標準要件として示されています。
• 改訂されたポリシー要件の実行に向けた支援として、「FAQ（よくある質問）」が見直されました。

BNMのRMiT政策文書は2020年1月1日に発効しました。更新されたPDは2023年6月1日に公表されて発効し、2024年5月31日まで適用が続く10.49項、10.50項、10.51項、10.52項を除き、2020年1月1日版の旧方針文書に取って代わります。

デジタルセキュリティとアイデンティティのリーダーであるThalesは、Microsoft Azure、Amazon Web Services（AWS）、Google Cloud Platform（GCP）といったクラウドサービスプロバイダーとの統合によって、BNMのRMiTポリシーが定める各要件への対応と遵守を支援することができます。

Thalesのソリューションは、以下の領域において、RMiTポリシーのカテゴリーに対応しています：

システム開発と買収：

• CipherTrust Tokenizationは、特権の少ないプロバイダーやサードパーティプロバイダーが、データ損失リスクなしにセンシティブ情報を処理できるように、テストデータ内のセンシティブ情報を匿名化します。
• CipherTrust Transparent Encryptionは、ソースコードなどの構造化および非構造化データを保護するために、ソースコード全体を暗号化して不正アクセスから保護することができます。

暗号化：

• CipherTrust Data Security Platformは一元化された安全なプラットフォームにおいて、業界標準ベースのアルゴリズムの使用、ハッシュ化、RNGによる署名を提供します。
• CipherTrust Data Security Platform内のCiphertrust Manager（CM）は、一元化されたマルチクラウド鍵管理ソリューションであるCipherTrust Cloud Key Managementと同様に、鍵の全ライフサイクルにわたる鍵管理を提供します。CMは、暗号鍵が漏えいした際の復旧を支援する鍵ローテーションを提供します。また、強固な役割分担機能も備えています。これはSecurity Management Domains（セキュリティ管理ドメイン）によってさらに強化することが可能です。このドメインは、ロールベースの管理を、特定のビジネスグループのポリシー、データ暗号化キー、エージェント設定、監査ログの管理区分機能と組み合わせることができ、さらなる強化を進めることができます。
• CipherTrust Transparent Encryptionは、アプリケーションのダウンタイムなしに自動キーローテーションを実現でき、お客様が必要に応じて簡単に新しい暗号化標準に移行できるようにします。
• Thalesは、ハードウェアセキュリティモジュール（HSM）の世界有数のプロバイダーであり、マレーシアの銀行においてもトッププロバイダーです。Thales HSM は、FIPS 140-2 レベル3、Common Criteria、EIDAS、PCI-PTSといった国際セキュリティ規格の認証を受けています。

データセンターの運用：

• 取り外し可能メディア内のセンシティブデータは、CipherTrust Data Security Platform（データセキュリティプラットフォーム）で保護することができます。このプラットフォームは、保存・転送前にデータが暗号化されることを保証します。CipherTrust Key Management（鍵管理）は、バックアップの暗号鍵を管理し、データと鍵を分離するために、主要なバックアップソリューションベンダーを統合します。また、バックアップおよび取り外し可能メディアへの保存が行われる前のデータも保護します。

クラウドサービス：

• CipherTrust Cloud Key Management（クラウド鍵管理）のHold-Your-Own-Key（HYOK）技術によって、クラウドサービスプロバイダーの顧客は、暗号鍵へのアクセスを制御することによって、データの完全な制御と所有権を保持し、データが外国に流出するリスクを回避できます。
• CipherTrust Data Security Platform（データセキュリティプラットフォーム）は、Hold-Your-Own-Key（HYOK）技術を利用することで、金融機関がクラウドサーバーに保管するデータを暗号化し、クラウドサービスプロバイダからであっても、不正開示やアクセスに対するデータ保護を支援します。

アクセス制御：

• CipherTrust Transparent Encryption（CTE：透過的暗号化）は、サーバ内のセキュリティ管理者とシステム管理者間の職務分離を可能にし、セキュリティ管理者によるデータアクセスを防ぎつつ、システム管理アカウントまたは特権アカウントがセンシティブな暗号鍵にアクセスできないことを確実にします。OSユーザーによるすべてのファイル操作をログに記録し、syslogやSIEMに転送します。

クラウドサービスの主なリスクと制御手段：CipherTrust Data Security Platform（データセキュリティプラットフォーム）、CipherTrust Tokenization（トークン化）ソリューション、CipherTrust Transparent Encryption（暗号化）、CipherTrust Key Management（鍵管理）、CipherTrust Cloud Key Management（クラウド鍵管理）、ハードウェアセキュリティモジュール（HSM）。

• CipherTrust Data Security Platform（CDSP：データセキュリティプラットフォーム）には、BYOE（Bring-Your-Own-Encryption）、HYOK（Hold-Your-Own-Key）、BYOK（Bring-Your-Own-Key）、集中型マルチクラウド鍵管理機能といったお客様がクラウドに保管するデータを保護するためのさまざまなモジュールやアプローチがあり、クラウド上のあらゆる種類のデータとユースケースをカバーする完全で包括的なデータ保護ソリューションを提供します。異なるクラウド間での暗号化データの移行を可能にするため、さまざまなクラウドプロバイダーが使用する特定のフォーマットに依存する必要がなく、お客さまが単一クラウドにロックされることがありません。CDSPは、デジタルシュレッダーを使用することによるクラウド退出時のデータ破壊を完全に保証するほか、クラウド内の保存データを対象とする暗号化のさまざまな選択肢と方法を提供します。
• CipherTrust Transparent Encryption（CTE：透過的暗号化）とCipherTrust Tokenization（CT：トークン化）によって、金融機関はクラウドに移動する前にデータを暗号化することができます。クラウドデータレイクに入れる前に、データを匿名化。CTEは暗号化を提供するだけでなく、特権ユーザーに対して（OSアクセス制御とは別に）きめ細かなアクセス制御を実施し、誤用や悪用を防止します。
• Thales Luna HSMは、デジタル署名ソリューションに不可欠なタンパー性を実証されたハードウェア保護を提供します。
• CipherTrust Key Management（CCKM：鍵管理）は、VMwareと統合し、VM画像の暗号化とVSANの暗号化を可能にします。一方、CipherTrust Transparent Encryption（透過的暗号化）はアプリケーションへの変更を加えることなく、暗号化とアクセス制御によって、VMとコンテナ内のデータを透過的に保護します。CCKMは、顧客が暗号鍵の所有権を保持するクラウドおよびマルチクラウド環境向けのHYOK（Hold-Your-Own-Key）を可能にし、マルチクラウドの鍵管理に包括的かつ一元的なアプローチを提供することで、マルチクラウド環境における鍵の生成、保管、配布の安全な実行を可能にします。これにより、複数のクラウドを利用することの複雑さと高い管理コストを抑えることができます。