CSA 金融業界におけるサイバーレジリエンス 2024年調査報告書 (2024.12.09)

こんにちは、丸山満彦です。

2024年の宿題シリーズはまだまだ続く...(^^;;

Cloud Security Allianceが金融業界におけるサイバーレジリエンス 2024年調査報告書を公表していますね...

金融業界は製造業の工場にあたるのが、情報システムという感じですから、過去から情報システムの管理については企業努力もしてきているし、社会的な影響も踏まえて、規制当局も適切な規制を心掛けてきているしで、他の業界に比べて、サイバーセキュリティ対策も含めた情報システム関連んのリスク対応はできているイメージですね...

この調査報告書は、参考になる部分も多いように思いました...

 

● Cluod Security Alliance

・2024.12.09 Cyber Resiliency in the Financial Industry 2024 Survey Report

 

主な調査結果...

• 複雑な金融規制環境による運用戦略の簡素化
• 金融機関、運用レジリエンスのためにクラウドを活用
• 金融機関のクラウド利用における最大の懸念は顧客管理
• 生成的AIで最も懸念されるのはデータ・プライバシーと完全性

 

・本文

 

・プレゼン

 

Executive Summary	エグゼクティブサマリー
• Data Resiliency Priorities	・データレジリエンスの優先事項
• The financial industry’s digital transformation highlights data resiliency and operational security challenges, especially given strict regulations and rising cyber threats.	・金融業界のデジタルトランスフォーメーションは、特に厳しい規制やサイバー脅威の高まりを踏まえ、データレジリエンスと運用セキュリティの課題を浮き彫りにしている。
• Survey Insights	・調査結果
• Based on responses from 872 security practitioners, the report compares data resiliency between financial institutions (FIs) and non-financial institutions (non-FIs), focusing on frameworks, cloud strategies, and regional challenges.	・本報告書では、872名のセキュリティ実務者からの回答に基づき、金融機関（FIs）と非金融機関（non-FIs）のデータレジリエンスを、枠組み、クラウド戦略、地域別の課題に焦点を当てて比較している。
• Confidence in Regulatory Compliance	・規制遵守への自信
• FIs show higher confidence in meeting regulatory requirements than non-FIs, though they emphasize continuous improvement.	・金融機関は非金融機関よりも規制要件への対応に高い自信を示しているが、継続的な改善を重視している。
• Cloud Adoption Trends	・クラウド導入の傾向
• FIs are adopting cautious yet evolving cloud strategies, with growing interest in multi-cloud setups to avoid vendor lock-in and enhance data sovereignty.	・金融機関は慎重ながらも進化するクラウド戦略を採用しており、ベンダーロックインを回避し、データ主権を強化するためのマルチクラウドセットアップへの関心が高まっている。
• Generative AI Concerns	・生成的AIへの懸念
• While generative AI is promising, FIs remain cautious about data accuracy, privacy, and potential misuse. Governance frameworks are essential to ensure regulatory compliance and mitigate risks.	・生成的AIは有望であるが、金融機関はデータの正確性、プライバシー、悪用の可能性について慎重な姿勢を崩していない。ガバナンスの枠組みは、規制コンプライアンスを確保し、リスクを緩和するために不可欠である。
• Regional Challenges	・地域別の課題
• North America faces significant cloud data resiliency challenges despite advanced infrastructure, while Europe benefits from GDPR’s stringent regulations. Asia’s challenges vary due to differing regulatory environments.	・北米は先進的なインフラにもかかわらず、クラウドデータのレジリエンスという大きな課題に直面しているが、欧州はGDPRの厳しい規制の恩恵を受けている。アジアでは規制環境が異なるため、課題も様々である。
• Technological Integration	・技術的統合
• FIs are enhancing resiliency with advanced technologies like containerization and serverless computing, emphasizing regular policy reviews and security assessments beyond regulatory mandates.	・金融機関は、コンテナ化やサーバーレス・コンピューティングのような先進技術でレジリエンスを強化し、規制の義務付けを超えて、定期的なポリシー・レビューやセキュリティ・アセスメントを重視している。
• Key Findings Summary	・主な調査結果の概要
• Regulatory Frameworks Simplify Operations: Regulatory guidelines streamline operations and reduce complexity for FIs.	・規制の枠組みは業務を簡素化する: 規制ガイドラインは業務を合理化し、金融機関の複雑さを軽減する。
• Cloud for Operational Resiliency: FIs use cloud for disaster recovery and continuity, favoring multi-cloud for flexibility and risk management	・業務レジリエンスのためのクラウド: 金融機関はディザスタリカバリと継続性のためにクラウドを利用し、柔軟性とリスクマネジメントのためにマルチクラウドを好む。
Key Finding 1: Complex Financial Regulatory Environments Simplify Operational Strategies	主な調査結果1：複雑な金融規制環境が運用戦略を簡素化する
• Regulatory Frameworks Simplify Resiliency Strategies	・規制枠組みがレジリエンス戦略を簡素化する
• Financial institutions (FIs) predominantly use frameworks like NIST Cybersecurity Framework (67%) compared to non-FIs (39%), due to its comprehensive approach to security and risk management.	・金融機関（FIs）は、NISTサイバーセキュリティ・フレームワーク（67％）のような枠組みを主に使用している。
• ISO 27001 (49%) and PCI DSS (43%) are also widely adopted frameworks with FIs showing higher adoption rates than non-FIs, indicating the importance of standardized frameworks for payment processing and data protection.	・ISO 27001（49％）やPCI DSS（43％）も広く採用されている枠組みで、FIは非FIよりも高い採用率を示しており、決済処理やデータ保護における標準化された枠組みの重要性を示している。
• Regional Regulatory Impact	・地域規制の影響
• Europe’s DORA and GDPR regulations have reduced operational difficulties for FIs, while Australia's Prudential Standard CPS 230 emphasizes third-party risk management.	・欧州のDORA規制とGDPR規制はFIにとって業務上の困難を軽減し、オーストラリアのプルデンシャル・スタンダードCPS230はサードパーティリスク管理を重視している。
• 59% of FIs operate in North America, where 55% face cloud resiliency challenges despite mature infrastructure. Europe shows fewer issues (52%) due to stringent regulations, while Africa and the Middle East struggle with infrastructure gaps.	・59％の金融機関は北米で事業を展開しており、55％が成熟したインフラにもかかわらずクラウドレジリエンスの課題に直面している。ヨーロッパでは、厳しい規制のために問題が少ない（52％）が、アフリカと中東ではインフラのギャップに苦慮している。
• Cloud Adoption Strategies	・クラウド導入戦略
• 78% of FIs use a single cloud provider for simplicity, with multi-cloud strategies gradually gaining traction to enhance resiliency and avoid vendor lock-in.	・78％の金融機関はシンプルさを求めて単一のクラウドプロバイダーを利用しているが、レジリエンスを強化しベンダーロックインを回避するため、マルチクラウド戦略が徐々に浸透しつつある。
• Challenges in cloud adoption include misconfiguration risks, integration complexity, IAM, and cost management.	・クラウド導入の課題としては、設定ミスのリスク、統合の複雑さ、IAM、コストマネジメントなどが挙げられる。
• Cloud Data Resiliency	・クラウドデータのレジリエンス
• North America faces significant cloud resiliency challenges despite advanced infrastructure.	・北米は、先進的なインフラにもかかわらず、クラウドのレジリエンスという大きな課題に直面している。
• Europe benefits from strong regulations like GDPR, while Asia has robust infrastructure but varying regulatory demands.	・欧州はGDPRのような強力な規制の恩恵を受け、アジアは強固なインフラを持つが、規制上の要求は様々である。
• Africa and the Middle East face notable challenges due to gaps in cloud infrastructure.	・アフリカと中東は、クラウドインフラストラクチャの格差により、顕著な課題に直面している。
• Advanced Technologies for Resiliency	・レジリエンスのための先進技術
• FIs are increasingly adopting containerization and serverless computing to improve operational efficiency and workload portability.	・金融機関は、運用効率とワークロードのポータビリティを改善するため、コンテナ化とサーバーレス・コンピューティングの採用を増やしている。
• Multi-cloud strategies help mitigate risks by distributing workloads and reducing single points of failure, enhancing disaster recovery.	・マルチクラウド戦略は、ワークロードを分散し単一障害点を減らすことでリスクを緩和し、ディザスタリカバリを強化するのに役立つ。
• Executive Insights	・経営幹部の洞察
• CISOs note the regulatory landscape (e.g., EU Artificial Intelligence Act) and cost factors as driving forces behind cautious cloud adoption. Multi-cloud may gain popularity in response to concentration risk and regulatory scrutiny.	・CISOは、クラウド導入に慎重である原動力として、規制の状況（EU人工知能法など）やコスト要因を指摘している。マルチクラウドは、集中リスクや規制の監視に対応するために普及する可能性がある。
• Regional differences in operational challenges suggest a need for tailored strategies in cloud resilience and compliance.	・運用上の課題における地域差は、クラウドのレジリエンスとコンプライアンスにおいて、個々の企業に合わせた戦略が必要であることを示唆している。
• Confidence in Meeting Regulatory Requirements	・規制要件を満たす自信
• FIs maintain moderate confidence (3.5/5) in meeting regulatory requirements, but continuous improvement, budget allocation, and regional compliance are necessary to ensure resiliency.	・金融機関は、規制要件を満たすことに中程度の自信（3.5/5）を維持しているが、レジリエンスを確保するためには、継続的な改善、予算配分、地域ごとのコンプライアンスが必要である。
Key Finding 2: Financial Institutions Embrace Cloud for Operational Resiliency	主な調査結果2：金融機関はオペレーショナル・レジリエンスのためにクラウドを採用している。
• Cloud Adoption for Operational Resiliency	・オペレーショナル・レジリエンスのためのクラウド導入
• Financial institutions (FIs) are increasingly using cloud technologies to improve disaster recovery (60%) and infrastructure scalability (58%) compared to non-financial institutions (36% and 41%, respectively).	・金融機関（FIs）は、非金融機関（それぞれ36％、41％）と比較して、ディザスタリカバリ（60％）とインフラのスケーラビリティ（58％）を改善するためにクラウドテクノロジーの利用を増やしている。
• FIs face regulatory pressure to audit and demonstrate cloud operational resiliency, leading to more cautious and adjusted cloud security strategies.	・金融機関は、クラウドの運用レジリエンスを監査し、実証するよう規制当局から圧力を受けており、クラウドのセキュリティ戦略をより慎重に調整するようになっている。
• Cloud Adoption Challenges in Cloud Resiliency	・クラウド・レジリエンスにおけるクラウド導入の課題
• FIs struggle with cloud architecture misconfigurations (62%), integrating third-party services (52%), and managing identity and access systems (35%).	・金融機関は、クラウドアーキテクチャの誤設定（62％）、サードパーティ・サービスの統合（52％）、アイデンティティとアクセス・システムの管理（35％）に苦慮している。
• Encryption of data at rest and in transit is a greater challenge for FIs (26%) than non-FIs (16%).	・静止時および転送時のデータの暗号化は、非金融機関（16％）よりも金融機関（26％）の方が大きな課題となっている。
• Sector-Specific Customer Challenges	・セクター特有の顧客の課題
• FIs emphasize audit and compliance (44%), focusing on regulatory requirements, while non-FIs face more challenges with privacy concerns related to personally identifiable information (PII) and staff expertise.	・金融機関は監査とコンプライアンスを重視し（44％）、規制要件に重点を置いているが、非金融機関は個人を特定できる情報（PII）やスタッフの専門知識に関連するプライバシーへの懸念がより大きな課題となっている。
• Cost and legal enforcement are significant challenges across both sectors when working with cloud service providers.	・クラウド・サービス・プロバイダとの協業においては、コストと法的強制力が両セクターに共通する大きな課題となっている。
• Proactive and Collaborative Approach	・積極的かつ協力的なアプローチ
• The financial industry relies on pre-planning, collaboration, and participation in groups like FS-ISAC to tackle cloud security challenges, ensuring effective security and integration with third-party CSPs.	・金融業界は、クラウドセキュリティの課題に取り組み、効果的なセキュリティとサードパーティCSPとの統合を確保するために、事前の計画、コラボレーション、FS-ISACのようなグループへの参加を頼りにしている。
• Executive Perspective	・経営者の視点
• Industry leaders recognize the need for continuous improvement in managing third-party CSP risks, even when meeting existing compliance standards like PCI DSS and FedRAMP, highlighting a need for vigilance in the evolving cloud landscape.	・業界のリーダーたちは、PCI DSSやFedRAMPといった既存のコンプライアンス標準を満たしている場合でも、サードパーティCSPのリスクマネジメントを継続的に改善する必要性を認識しており、進化するクラウド・ランドスケープにおける警戒の必要性を強調している。
Key Finding 3: Top Concerns for Cloud are within the Customer’s Control	主な調査結果3：クラウドに関する最大の懸念事項は顧客の管理範囲にある
• Internal Cloud Security Challenges	・社内のクラウドセキュリティの課題
• FIs face internal challenges such as cloud and cybersecurity skills gaps (49%), lack of internal security strategies (33%), and inadequate Identity and Access Management (IAM) systems (31%), all critical to data resiliency.	・金融機関は、クラウドやサイバーセキュリティのスキル格差（49％）、社内セキュリティ戦略の欠如（33％）、ID・アクセス管理（IAM）システムの不備（31％）といった社内の課題に直面しており、これらはすべてデータのレジリエンスに不可欠なものである。
• Addressing these gaps involves continuous training, recruiting specialized talent, and enhancing security strategies through automated configuration management and threat intelligence integration.	・これらのギャップに対処するには、継続的なトレーニング、専門人材の採用、自動化された構成管理と脅威インテリジェンスの統合によるセキュリティ戦略の強化が必要である。
• Key Security Practices	・主なセキュリティ対策
• FIs use robust security strategies, including encryption, Security Information and Event Management (SIEM), and Data Loss Prevention (DLP) solutions to safeguard data.	・金融機関はデータを保護するために、暗号化、セキュリティ情報・イベント管理（SIEM）、データ損失防止（DLP）ソリューションなど、堅牢なセキュリティ戦略を使用している。
• Misconfigurations are a top concern, necessitating automated tools and continuous monitoring to prevent vulnerabilities.	・設定ミスは最大の懸念事項であり、脆弱性を防ぐための自動化ツールと継続的なモニタリングが必要である。
• Incident Response & Policy Review	・インシデント対応とポリシーの見直し
• Regular risk assessments and incident response drills are essential for maintaining operational resiliency.	・定期的なリスクアセスメントとインシデント対応訓練は、オペレーションのレジリエンスを維持するために不可欠である。
• FIs conduct more frequent policy reviews than non-FIs to align with evolving threats and regulatory mandates, with 60% of FIs conducting annual reviews compared to 44% of non-FIs.	・金融機関は、進化する脅威や規制上の義務に対応するため、非金融機関よりも頻繁にポリシーの見直しを行っており、非金融機関の44％に対し、金融機関の60％が毎年見直しを行っている。
• Data Localization & SLAs	・データのローカライズとSLA
• Data localization requirements influence cloud deployment strategies, especially in regulated environments.	・データのローカライゼーション要件は、特に規制環境におけるクラウド展開戦略に影響を与える。
• FIs emphasize SLAs to ensure operational continuity and compliance, with increased flexibility in SLAs noted in recent years to address recovery time objectives and availability requirements.	・金融機関は、業務の継続性とコンプライアンスを確保するためにSLAを重視しており、近年は復旧時間の目標や可用性要件に対応するためにSLAの柔軟性が高まっていると指摘されている。
• Cybersecurity in Contract Negotiations	・契約交渉におけるサイバーセキュリティ
• 81% of FIs report that cybersecurity professionals are involved in contract negotiations, particularly for new applications, to strengthen third-party risk management and security posture.	・81％の金融機関は、サードパーティのリスクマネジメントとセキュリティ体制を強化するために、特に新しいアプリケーションの契約交渉にサイバーセキュリティの専門家が関与していると報告している。
• Continuous Auditing & Monitoring	・継続的な監査とモニタリング
• Regular audits and monitoring are essential for regulatory compliance, with a focus on maintaining data integrity and operational resilience.	・定期的な監査とモニタリングは、データの完全性とオペレーションのレジリエンスの維持に重点を置いた規制遵守のために不可欠である。
• Incident response planning, annual IRP testing (40% of FIs), and continuous monitoring allow FIs to adapt to security threats proactively.	・インシデント対応計画、年次IRPテスト(金融機関の40%)、継続的なモニタリングにより、金融機関はセキュリティの脅威にプロアクティブに対応することができる。
• Executive Insights	・経営幹部の洞察
• Misconfiguration and IAM remain top threats in cloud environments, highlighting the need for vigilance in cloud security strategies.	・クラウド環境では、設定ミスやIAMが依然として最大の脅威となっており、クラウドセキュリティ戦略における警戒の必要性が浮き彫りになっている。
• Proactive measures like industry collaboration (FS-ISAC) and continuous improvement are key to navigating third-party cloud security challenges.	・業界連携（FS-ISAC）や継続的改善のような積極的な対策が、サードパーティーのクラウドセキュリティの課題を乗り切る鍵となる。
Key Finding 4: Data Privacy and Integrity is the Top Concern with Generative AI	主な調査結果4：データ・プライバシーと完全性は生成的AIにおける最大の懸念事項である。
• Primary Concern: Data Privacy and Integrity	・主な懸念事項 データ・プライバシーと完全性
• For financial institutions (FIs), data privacy and integrity are critical when using generative AI, with 26% citing this as their top issue, alongside concerns about AI misuse for cyber attacks (20%).	・金融機関（FIs）にとって、生成的AIを使用する場合、データ・プライバシーと完全性は非常に重要であり、サイバー攻撃へのAIの悪用に関する懸念（20％）と並んで、26％がこれを最重要課題として挙げている。
• Challenges of Generative AI	・生成的AIの課題
• Generative AI poses risks of biased outputs, regulatory compliance issues, and heightened vulnerability to cyber threats, requiring strong data governance to avoid biased or inaccurate AI-driven decisions.	・生成的AIは、偏った出力、規制遵守の問題、サイバー脅威に対する脆弱性の高まりといったリスクをもたらすため、AI主導の偏った、あるいは不正確な意思決定を回避するための強力なデータガバナンスが必要となる。
• AI Misuse Risks	・AIの悪用リスク
• AI can enable sophisticated phishing and deepfake attacks, making cyber threats more difficult to detect and defend against.	・AIは高度なフィッシング攻撃やディープフェイク攻撃を可能にし、サイバー脅威の検知と防御をより困難にする。
• Mitigation Strategies	・緩和戦略
• FIs use AI to enhance fraud detection, customer service, risk modeling, and document processing but emphasize the need for diverse datasets, human oversight, and robust security measures like data anonymization.	・金融機関はAIを不正検知、顧客サービス、リスクモデリング、文書処理の強化に活用しているが、多様なデータセット、人間による監視、データの匿名化などの強固なセキュリティ対策の必要性を強調している。
• Future AI Trends	・今後のAI動向
• Key trends include the need for explainable AI, AI-driven compliance tools, advanced cybersecurity measures, and a strong focus on ethical and transparent AI practices.	・主なトレンドとしては、説明可能なAI、AI主導のコンプライアンス・ツール、高度なサイバーセキュリティ対策、倫理的で透明性の高いAIプラクティスの重視などが挙げられる。
• Privacy Management Frameworks	・プライバシー管理の枠組み
• Tools like the NIST AI Risk Management Framework provide structured approaches to manage privacy, security, and regulatory compliance in generative AI.	・NIST AIリスクマネジメントフレームワークのような枠組みは、生成的AIにおけるプライバシー、セキュリティ、規制コンプライアンスを管理するための構造化されたアプローチを提供する。
• Executive Perspective	・経営幹部の視点
• Data privacy remains the top concern for FIs as regulatory and technology landscapes evolve, requiring continuous strategy updates to balance privacy with AI benefits.	・規制やテクノロジーの進化に伴い、データ・プライバシーは金融機関にとって依然として最大の関心事であり、プライバシーとAIのメリットのバランスを取るための継続的な戦略の更新が必要である。
Conclusion	結論
• Core Focus Areas for Data Resiliency	・データレジリエンスの中核となる分野
• FIs prioritize regulatory compliance, cloud strategy, regional considerations, and continuous security improvements to enhance operational resiliency in a complex regulatory environment.	・金融機関は、複雑な規制環境の中でオペレーションのレジリエンスを強化するために、規制遵守、クラウド戦略、地域的配慮、継続的なセキュリティ改善を優先する。
• Executive Priorities	・経営幹部の優先事項
• C-level executives in FIs focus on regulatory compliance, disaster recovery, and infrastructure scalability, with strong reliance on frameworks like NIST CSF and PCI DSS for streamlined compliance.	・金融機関のCレベル幹部は、規制コンプライアンス、災害復旧、インフラの拡張性に重点を置いており、コンプライアンスを合理化するためにNIST CSFやPCI DSSのような枠組みに強く依存している。
• Cloud Adoption Strategies	・クラウド導入戦略
• FIs generally prefer single-cloud provider (CSP) strategies for simplicity and cost-effectiveness, while non-FIs adopt multi-cloud to avoid vendor lock-in and leverage regional flexibility.	・一般的に、金融機関はシンプルさと費用対効果の観点からシングル・クラウド・プロバイダー（CSP）戦略を好むが、非金融機関はベンダーのロックインを回避し、地域の柔軟性を活用するためにマルチクラウドを採用している。
• Top Cloud Security Threats	・クラウドセキュリティの脅威
• Key risks include data breaches, misconfigurations, and insecure interfaces, as highlighted in CSA’s Top Threats to Cloud Computing report. Comprehensive cloud security strategies and regular security assessments are essential to address these.	・主なリスクには、CSAの「クラウド・コンピューティングの主な脅威（Top Threats to Cloud Computing）」レポートで強調されているように、データ漏洩、設定ミス、安全でないインターフェースなどがある。これらに対処するには、包括的なクラウドセキュリティ戦略と定期的なセキュリティアセスメントが不可欠である。
• Resilience Planning Framework	・レジリエンス計画の枠組み
• The CISA Infrastructure Resilience Planning Framework (IRPF) supports FIs in building resilient infrastructures capable of withstanding and recovering from cyber attacks.	・CISAのレジリエンス・プランニング・フレームワーク（IRPF）は、金融機関がサイバー攻撃に耐え、回復できるレジリエンス・インフラを構築することを支援する。
• Industry Balance of Compliance and Innovation	・コンプライアンスとイノベーションの業界バランス
• The financial industry's approach requires balancing regulatory adherence, tech adoption, and strategic planning to manage evolving cyber threats and operational challenges effectively.	・金融業界のアプローチでは、進化するサイバー脅威と業務上の課題を効果的に管理するために、規制の遵守、技術導入、戦略的計画のバランスをとることが必要である。
Survey Creation and Methodology	調査の作成と方法
• Survey by CSA and DTCC	・CSAとDTCCによる調査
• The Cloud Security Alliance (CSA) and DTCC co-developed a survey to understand cyber resiliency challenges, focusing on the financial industry's response to cloud security and operational threats.	・クラウド・セキュリティ・アライアンス（CSA）とDTCCは、クラウドセキュリティと運用上の脅威に対する金融業界の対応に焦点を当て、サイバーレジリエンスの課題を理解するための調査を共同で実施した。
• Survey Purpose	・調査の目的
• The survey aimed to evaluate operational resilience frameworks, analyze cloud adoption strategies, and assess key cybersecurity challenges, including the impact of AI and generative AI on financial institutions.	・本調査の目的は、運用レジリエンスの枠組みを評価し、クラウド導入戦略を分析し、AIや生成的AIが金融機関に与える影響など、サイバーセキュリティ上の主な課題を評価することである。
• Participants	・参加者
• Conducted in April 2024, the survey gathered responses from 872 IT and security professionals across organizations of various sizes and regions, comparing insights from financial institutions (FIs) and non-financial institutions (non-FIs).	・調査は2024年4月に実施され、金融機関（FIs）と非金融機関（non-FIs）の知見を比較しながら、さまざまな規模・地域の組織のITおよびセキュリティの専門家872人から回答を得た。
• Data Analysis	・データ分析
• The CSA Financial Leadership Committee, Research Team, and Data Security Working Group performed data analysis to highlight key trends and differences between FIs and non-FIs in cyber resiliency practices.	・CSA 金融リーダーシップ委員会、調査チーム、データセキュリティ作業部会は、サイバーレジリエンスの実践における金融機関と非金融機関の主な傾向や相違点を浮き彫りにするため、データ分析を実施した。