アプリ検出
12.Jul.2022
フィンテックのセキュリティリスクの排除のため、Onward Security がAPPとSWIFT CSPのコンプライアンスを提案
近年、世界的な疫病が蔓延し続け、デジタル化の進展を加速させています。それにつき、金融技術(FinTech)は触媒のようなリソースをシフトする必要があります。しかし、これはもろ刃の剣のようなものであり、より頻繁なハッキング攻撃を引き起こし、金融業界で情報セキュリティをホットな話題にしています。
金融情報システムのセキュリティ監査に深い経験を持つOnward Security情報セキュリティコンプライアンス室の楊士賢(ヤン・シーシェン)コンサルタントは、情報セキュリティ法のコンプライアンス、金融APPセキュリティテスト、SWIFT CSPコンプライアンス.アセスメントなど、すべてが注目のポイントであると考えています。
金融情報システムのセキュリティ監査に深い経験を持つOnward Security情報セキュリティコンプライアンス室の楊士賢(ヤン・シーシェン)コンサルタントは、情報セキュリティ法のコンプライアンス、金融APPセキュリティテスト、SWIFT CSPコンプライアンス.アセスメントなど、すべてが注目のポイントであると考えています。
モバイルアプリの情報セキュリティテストの範囲がOWASPチェックリストL2項目まで拡張
楊士賢(ヤン・シーシェン)コンサルタントによると、当初、インターネットは未発達であり、金融事業環境は閉じたネットワークにあり、セキュリティリスクは比較的軽微でした。今日の金融取引とは対照的に、銀行はそれらの一部を制御でき、独自のバックエンドデータベースとトランザクションシステムのみを残しており、フロントエンドはスマートフォンアプリに置き換えられています。所轄官庁はセキュリティ上の懸念を認識しており、すべての金融機関にAPPを第三者の資格のある試験所に提出して、そのセキュリティを確保するためのテストを行うよう求めています。資格のある試験所は、セキュリティ検査を実施するためのテスト操作の基礎として、モバイルアプリの基本的な情報セキュリティテストベンチマークを引用します。
一つ特筆に値するのは、所管官庁が公布した「金融機関の携帯端末アプリ提供運用規定」の最新版にある第9条の改正です。金融機関の顧客に提供するAPPを標準化するとともに、基本的なテストを毎年実施するように義務付けています。関連するアプリケーションやサーバーに対してソースコードのスキャンやブラックボックステストを実施するほか、「OWASP Mobile APP Security Checklist L2」への合格も要求し始めました。
このチェックリストL2 は、モバイルアプリケーション自体のセキュリティに重点を置いていた以前の焦点とは異なる8つの主要なリンクをカバーしています。最初の項目では、モバイルアプリケーションの開発プロセスにおけるアーキテクチャ、設計、および脅威モデリング分析を必要としています。モバイルアプリケーションのセキュリティ要件が大幅に強化されました。
コンサルタントは、金融機関が試験データを試験所に提出するために窓口担当者に割り当てるとき、「アーキテクチャ、設計、および脅威モデリング分析」の内容に不慣れなため、情報提供に窮して行き詰まって「全く無策」になることもしばしばです。これを考慮して、Onward Securityは検出サービスの提供に加えて、コンサルタントチームを通じてThreat Modelingの分析教育を行い、顧客が関連する疑問を明確にするのを支援します。安全なアプリケーション開発プロセスとは、APPを作成する前にシステム分析を行ってセキュリティ要件を明確にし、詳細な仕様に従って開発することです。セキュリティ分析作業が省略された場合、MSTG-ARCH-6「モバイルアプリケーションおよび関連するリモートサービスの脅威モデルは、潜在的な脅威と対策を特定するために開発されました」への準拠が困難になります。
実際、Thread Modelingは、従来の構造化分析のデータフローダイアグラム(Data Flow Diagram, DFD)に似ています。唯一の違いは、追加の「セキュリティ境界」があることです。セキュリティ境界とは、制御可能と制御不可能の間の境界線を指し、セキュリティ境界を越えたデータフローが存在する限り、可能性のあるすべてのリスクを分析して、APP関連のリスクに注意を払う必要があります。
市場には、モバイルアプリに対してOWASP Mobile Top 10スキャンを実行できるツールがいくつかありますが、OWASP Mobile Top 10とChecklists L2のコンテンツにはまだ違いがあります。APPを第三者の資格のある試験所に提出してテストを行うことが規定されているため、最終的に試験所の発行した試験報告書に基づくことになり、手順に厳しさが求められています。ただし、これはツールが役に立たないことを意味するものではありません。ツールは金融機関内でのセルフテストに引き続き使用できます。
5つのステップに従ってSWIFT CSPコンプライアンス評価を促進
SWIFTの「Customer Security Program」(CSP) は毎年更新される仕様であり、多くの金融機関はコンプライアンス要件を満たす方法を知りません。SWIFTは国際的な金融協会です。そのシステムにより、銀行は相互に認証し、 外国為替取引を行い、取引限度額を設定してリスク管理をします。その後、メンバーシップ形態が変わり、会員同士での外国為替取引の便利さのため、国境を越えた取引のニーズが多数ある企業や組織の参加が認められましたが、システムのセキュリティの抜け穴により、2016年に世界的なセンセーションを巻き起こした偽造取引が偶発しました。
トランザクションのセキュリティを向上させるために、SWIFTは事件が発生した2016年に、CSPのセキュリティフレームワークであるセキュリティガイドラインをすぐに発表しました。当初、SWIFTはメンバーがCSPのセキュリティ評価を自分で実施することを許可していましたが、2021年以降は独立した第三者によるセキュリティ評価を実施するように求めています。つまり、SWIFT会員はその後、CSP Control Framework(CSCF)のコンプライアンスの有効性について第三者による評価を受ける必要があり、自己評価モデルでは相手方からの信頼を得ることは困難です。
毎年7月、SWIFTは新年に向けて新しいバージョンのCSCFドキュメントを発行します。まとめてみると、2020年から2022年にかけてCSCFで必要なプロジェクトは21、22から23へと徐々に増加し、異なる情報システムアーキテクチャによって必要とする項目も区別され始めています。そのため、アイテム数の増加はわずかですが、内容はより厳格になりました。コンサルタントは、SWIFT CSPコンプライアンス評価を実施する場合、通常は「セキュリティ管理範囲」を確認することがファーストステップであると結論付けました。セカンドステップは、「CSCFの適用バージョンを確認する」ことです。SWIFTは今年の7月に2023仕様を発表しましたが、最新バージョンの採用を義務付けていないため、2022または2021バージョンでもまだ受け入れられています。サードステップは「SWIFT CSP Security Assessmentの実行」で、第三者の独立した評価者がSWIFT標準を使用して原稿(チェックシート)をチェックし、シートに記載されている項目を1つずつ記入します。詳細なアセスメントが完了すると、第4ステップの「CSCF Assessment Completion LetterをSWIFTに提出する」に進みます。最後に、セキュリティ評価レポートをまとめてKYC-SAアンケートに記入し、ケースを完了してクローズします。
要約すると、近年、上場OTC企業の頻繁なハッキング事件により、ほとんどの企業は、金融取引のセキュリティ保護のため、セキュリティの脆弱性を効果的に評価し、防御動向と情報セキュリティ戦略の把握を加速して、セキュリティを改善しなければならないというプレッシャーにさらされています。Onward Securityは、複数の認証に合格した認定ラボで、FinTech APPやSWIFT CSPなどの主要なビジネスプロジェクトのセキュリティテストの実施を協力することができます。必要に応じて、さまざまな試験規格の意味を明確にするためのコンサルティングサービスを提供することも可能です。企業が国内外の証明書を取得するとともに、金融取引システムのセキュリティを最適化するのに役立つようご支援いたします。
