FSI の視点: セキュリティ、プライバシー、コンプライアンス

Google Cloud Well-Architected Framework: FSI の視点のこのドキュメントでは、 Google Cloudの金融サービス業界（FSI）ワークロードのセキュリティ、プライバシー、コンプライアンスの要件に対応するための原則と推奨事項の概要について説明します。推奨事項は、復元力とコンプライアンスに優れたインフラストラクチャの構築、機密データの保護、顧客の信頼の維持、複雑な規制要件への対応、サイバー脅威の効果的な管理に役立ちます。このドキュメントの推奨事項は、Well-Architected Framework のセキュリティの柱に沿っています。

クラウド コンピューティングのセキュリティは、FSI 組織にとって重要な懸念事項です。FSI 組織は、顧客の詳細情報や財務記録など、大量の機密データを管理しているため、サイバー犯罪者にとって非常に魅力的な標的となります。セキュリティ侵害の結果は非常に深刻で、多額の経済的損失、長期にわたる評判の低下、多額の規制上の罰金などが考えられます。したがって、FSI ワークロードには厳格なセキュリティ管理が必要です。

包括的なセキュリティとコンプライアンスを確保するには、お客様（FSI 組織）と Google Cloudの間の責任共有を理解する必要があります。 Google Cloud は、物理的セキュリティやネットワーク セキュリティなど、基盤となるインフラストラクチャの保護を担当します。お客様は、データとアプリケーションの保護、アクセス制御の構成、セキュリティ サービスの構成と管理を行う責任を負います。セキュリティ対策を支援するため、Google Cloud パートナー エコシステムではセキュリティ統合とマネージド サービスを提供しています。

このドキュメントのセキュリティに関する推奨事項は、次の基本原則にマッピングされています。

• 安全性を重視した設計を実装する
• ゼロトラストを実装する
• シフトレフト セキュリティを実装する
• プリエンプティブなサイバー防御を実装する
• AI を安全かつ責任を持って使用し、AI をセキュリティに活用する
• 規制、コンプライアンス、プライバシーのニーズに対応する
• セキュリティ イニシアチブの優先順位付けを行う

安全性を重視した設計を実装する

Payment Card Industry Data Security Standard（PCI DSS）、米国の Gramm-Leach-Bliley Act（GLBA）、さまざまな国の金融データ保護法などの金融規制では、セキュリティを最初からシステムに統合することが義務付けられています。設計によるセキュリティの原則では、開発ライフサイクル全体でセキュリティを統合し、最初から脆弱性を最小限に抑えることを重視しています。

Google Cloudの FSI ワークロードにセキュリティ バイ デザインの原則を適用するには、次の推奨事項を検討してください。

• Identity and Access Management（IAM）で、きめ細かいロールベース アクセス制御（RBAC）を通じて最小権限の原則を適用し、必要な権限のみが付与されるようにします。RBAC の使用は、多くの金融規制で重要な要件となっています。
• VPC Service Controls を使用して、 Google Cloud 内の機密性の高いサービスとデータの周囲にセキュリティ境界を適用します。セキュリティ境界は、規制で義務付けられているように、機密データとリソースをセグメント化して保護し、データの引き出しや不正アクセスを防ぐのに役立ちます。
• Terraform などの Infrastructure as Code（IaC）ツールを使用して、セキュリティ構成をコードとして定義します。このアプローチでは、初期のデプロイ フェーズからセキュリティ制御が組み込まれるため、一貫性と監査可能性を確保できます。
• 静的アプリケーション セキュリティ テスト（SAST）を Cloud Build を使用して CI/CD パイプラインに統合し、アプリケーション コードをスキャンします。自動化されたセキュリティ ゲートを確立して、準拠していないコードのデプロイを防ぎます。
• Security Command Center を使用して、セキュリティ分析のための統合インターフェースを提供します。Security Command Center を使用すると、規制違反につながる可能性のある構成ミスや脅威を継続的にモニタリングし、早期に検出できます。ISO 27001 や NIST 800-53 などの標準の要件を満たすには、ポスチャー管理テンプレートを使用します。
• 本番環境のデプロイで特定された脆弱性の減少と、セキュリティのベスト プラクティスに準拠している IaC デプロイの割合を追跡します。Security Command Center を使用すると、脆弱性とセキュリティ標準への準拠に関する情報を検出して表示できます。詳細については、脆弱性の検出結果をご覧ください。

ゼロトラストを実装する

現代の金融規制では、厳格なアクセス制御と継続的な検証の必要性がますます強調されています。これらの要件は、内部と外部の両方の脅威と悪意のある行為者からワークロードを保護することを目的としたゼロトラストの原則を反映しています。ゼロトラストの原則では、すべてのユーザーとデバイスの継続的な検証が推奨されています。これにより、暗黙的な信頼が排除され、ラテラル ムーブメントが軽減されます。

ゼロトラストを実装するには、次の推奨事項を検討してください。

• IAM 制御と Chrome Enterprise Premium を組み合わせることで、ユーザー ID、デバイスのセキュリティ、場所などの要素に基づいてコンテキストアウェア アクセスを有効にできます。このアプローチにより、財務データとシステムへのアクセスが許可される前に継続的な検証が実施されます。
• Identity Platform（または Workforce Identity 連携を使用する場合は外部 ID プロバイダ）を構成して、安全でスケーラブルな ID とアクセス管理を提供します。ゼロトラストの実装と規制遵守の確保に不可欠な多要素認証（MFA）などの制御を設定します。
• すべてのユーザー アカウント、特に機密データやシステムにアクセスできるアカウントに MFA を実装します。
• ユーザー アクセスとネットワーク アクティビティの包括的なロギングとモニタリングを確立することで、法令遵守に関連する監査と調査をサポートします。
• Private Service Connect を使用して、Google Cloud 内のサービスとオンプレミス環境間のプライベートで安全な通信を有効にします。これにより、トラフィックが公共のインターネットに公開されることはありません。
• VPN トンネルなどのネットワーク ベースのセキュリティ メカニズムに依存するのではなく、Identity-Aware Proxy（IAP）を使用して、きめ細かい ID 制御を実装し、アプリケーション レベルでアクセスを承認します。このアプローチは、環境内のラテラル ムーブメントを減らすのに役立ちます。

シフトレフト セキュリティを実装する

金融規制当局は、予防的なセキュリティ対策を推奨しています。開発ライフサイクルの早い段階で脆弱性を特定して対処することで、セキュリティ インシデントのリスクと、コンプライアンス違反による罰則の可能性を軽減できます。シフトレフト セキュリティの原則は、早期のセキュリティ テストと統合を促進し、修復のコストと複雑さを軽減します。

シフトレフト セキュリティを実装するには、次の推奨事項を検討してください。

• Cloud Build を使用して、コンテナの脆弱性スキャンや静的コード解析などのセキュリティ スキャンツールを CI/CD パイプラインに統合し、開発プロセスの早い段階で自動化されたセキュリティ チェックを確実に実施します。

• Artifact Registry を使用して、ソフトウェア パッケージとコンテナ イメージ用の安全で一元化されたリポジトリを統合された脆弱性スキャンとともに提供し、安全なアーティファクトのみがデプロイされるようにします。仮想リポジトリを使用して、リモート リポジトリよりもプライベート アーティファクトを優先することで、依存関係の混乱攻撃を軽減します。

• Security Command Center の一部である Web Security Scanner を開発パイプラインに統合して、ウェブ アプリケーションを自動的にスキャンし、一般的な脆弱性を検出します。

• ソフトウェア アーティファクトのサプライ チェーン レベル（SLSA）フレームワークを使用して、ソースコード、ビルドプロセス、コードの出所に対するセキュリティ チェックを実装します。Binary Authorization などのソリューションを使用して、環境で実行されるワークロードの出所を適用します。Assured Open Source を使用して、ワークロードが検証済みのオープンソース ソフトウェア ライブラリのみを使用するようにします。

• 開発ライフサイクルで特定および修復された脆弱性の数、セキュリティ スキャンに合格したコード デプロイの割合、ソフトウェアの脆弱性によって発生したセキュリティ インシデントの減少を追跡します。 Google Cloud には、さまざまな種類のワークロードの追跡に役立つツールが用意されています。たとえば、コンテナ化されたワークロードの場合は、Artifact Registry のコンテナ スキャン機能を使用します。

プリエンプティブなサイバー防御を実装する

金融機関は、高度なサイバー攻撃の格好の標的です。規制では、堅牢な脅威インテリジェンスとプロアクティブな防御メカニズムが求められることがよくあります。予防的なサイバー防御は、高度な分析と自動化を使用して、脅威のプロアクティブな検出と対応に重点を置いています。

以下の推奨事項を参考にしてください。

• Mandiant の脅威インテリジェンス、インシデント対応、セキュリティ検証サービスを使用して、潜在的な脅威を事前に特定して軽減します。
• Google Cloud Armor を使用して、ネットワーク エッジでウェブ アプリケーションと API をウェブ エクスプロイトと DDoS 攻撃から保護します。
• Security Command Center を使用して、セキュリティの検出結果と推奨事項を集計して優先順位を付けます。これにより、セキュリティ チームは潜在的なリスクに事前に対処できます。
• 定期的なセキュリティ シミュレーションとペネトレーション テストを実施して、予防的な防御とインシデント対応計画を検証します。
• セキュリティ インシデントの検出と対応に要する時間、DDoS 軽減策の有効性、防止されたサイバー攻撃の数を測定します。必要な指標とデータは、Google Security Operations SOAR と SIEM のダッシュボードから取得できます。

AI を安全かつ責任を持って使用し、セキュリティに AI を活用する

AI と ML は、不正行為の検出やアルゴリズム取引などの金融サービス ユースケースでますます使用されています。規制では、これらのテクノロジーを倫理的、透明性、安全性の高い方法で使用することが求められています。AI はセキュリティ機能の強化にも役立ちます。AI の使用に関する次の推奨事項を検討してください。

• Vertex AI を使用して、安全で管理された環境で ML モデルを開発してデプロイします。モデルの説明可能性や公平性指標などの機能は、責任ある AI に関する懸念に対処するのに役立ちます。
• Google Security Operations のセキュリティ分析と運用の機能を利用します。この機能は、AI と ML を使用して大量のセキュリティ データを分析し、異常を検出し、脅威対応を自動化します。これらの機能は、全体的なセキュリティ体制の強化とコンプライアンス モニタリングの支援に役立ちます。
• セキュリティと倫理に関する考慮事項を含め、AI と ML の開発とデプロイに関する明確なガバナンス ポリシーを確立します。
• セキュア AI フレームワーク（SAIF）の要素に沿って、AI システムのセキュリティとリスクに関する懸念に対処するための実践的なアプローチを提供します。
• AI を活用した不正検出システムの精度と有効性、セキュリティ アラートの誤検知の削減、AI を活用したセキュリティ自動化による効率の向上を追跡します。

規制、コンプライアンス、プライバシーのニーズに対応する

金融サービスは、データ所在地要件、特定の監査証跡、データ保護基準など、さまざまな規制の対象となります。センシティブ データが適切に識別、保護、管理されるようにするには、FSI 組織は堅牢なデータ ガバナンス ポリシーとデータ分類スキームが必要です。規制要件を満たすために、次の推奨事項を検討してください。

• Assured Workloads を使用して、機密性の高いワークロードと規制対象のワークロードのデータ境界を Google Cloud に設定します。これにより、FedRAMP や CJIS などの政府や業界固有のコンプライアンス要件を満たすことができます。
• Cloud Data Loss Prevention（Cloud DLP）を実装して、財務情報などの機密データを特定、分類、保護します。これにより、GDPR や CCPA などのデータ プライバシー規制を遵守できます。
• Cloud Audit Logs を使用して、管理アクティビティとリソースへのアクセスの詳細を追跡します。これらのログは、多くの金融規制で規定されている監査要件を満たすために不可欠です。
• ワークロードとデータの Google Cloud リージョンを選択する場合は、データ所在地に関連する現地の規制を考慮してください。 Google Cloud グローバル インフラストラクチャを使用すると、データ所在地の要件を満たすのに役立つリージョンを選択できます。
• Cloud Key Management Service を使用して、保存時と転送時に機密性の高い財務データの暗号化に使用される鍵を管理します。このような暗号化は、セキュリティとプライバシーに関する多くの規制の基本的な要件です。
• 規制要件に対応するために必要な制御を実装します。コントロールが想定どおりに機能することを確認します。外部監査人によってコントロールを再度検証し、ワークロードが規制に準拠していることを規制当局に証明します。

セキュリティ イニシアチブの優先順位付けを行う

セキュリティ要件の幅広さを考慮すると、金融機関はリスク評価と規制要件に基づくイニシアチブを優先する必要があります。次の段階的なアプローチをおすすめします。

1. 強固なセキュリティ基盤を確立する: ID とアクセス管理、ネットワーク セキュリティ、データ保護など、セキュリティのコア領域に焦点を当てます。この重点的な取り組みにより、堅牢なセキュリティ ポスチャーを構築し、進化する脅威に対する包括的な防御を確保できます。
2. 重要な規制に対応する: PCI DSS、GDPR、関連する国内法などの重要な規制の遵守を優先します。これにより、データ保護を確保し、法的リスクを軽減し、顧客との信頼関係を構築できます。
3. 高度なセキュリティを実装する: ゼロトラスト、AI を活用したセキュリティ ソリューション、プロアクティブな脅威ハンティングなどの高度なセキュリティ対策を段階的に導入します。