ゼファーネットのロゴ

生成的データ インテリジェンス

Fintech

MAS パブリック クラウド ガイドライン: クラウド セキュリティへの影響の詳細 – Fintech Singapore

プラトン再発行
プラトン再発行

日付:

閲覧数: 130

新型コロナウイルス感染症のパンデミックによってさらに加速し、急速にデジタル化する世界の中で、クラウド テクノロジーは世界中のビジネスにとって極めて重要な基盤となっています。 最近、シンガポール金融管理局 (MAS) は、その導入に関連するサイバー リスクに関するパブリック クラウド ガイドラインを記載した回覧を導入し、金融セクターとテクノロジー セクターの両方に影響を与えました。 

クラウド テクノロジーの進化により、これまで内陸部にあった企業の運営方法が変わりました。 特に広範囲に影響を与える可能性がある厳しく規制されたフィンテック業界において、強化されたクラウド セキュリティのニーズはかつてないほど高まっています。 

「」というタイトルの最近のウェビナー新しい MAS パブリック クラウド ガイドラインが与える影響」では、サイバーセキュリティの専門家であるHorangiのCEOであるPaul Hadjy氏が司会を務め、業界の専門家を集めてシンガポール金融管理局(MAS)が定めた最新のガイドラインについて明らかにしました。 

パネリストには、決済フィンテック CardUp の CTO である Anand Nirgudkar 氏と、AWS プロフェッショナル サービス ASEAN のセキュリティ責任者である Ivy Young 氏が含まれていました。

この極めて重要なディスカッションでは、業界の第一線の専門家が参加し、 MASが定めたガイドライン、その意味とそれが組織にとって何を意味するかを詳しく掘り下げます。

クラウドの力を活用する

近年のクラウドの遍在性は、パネリストの間でも失われていません。 年中無休の稼働時間の確保から市場データへのアクセスの提供に至るまで、クラウド インフラストラクチャは業務のバックボーンです。

一方、Anand 氏は CardUp の経験について語り、同社のクラウドファーストの精神を強調し、PCI DSS の順守、アーキテクチャのベスト プラクティス、および地域の成長がクラウド依存の主な動機であると指摘しました。

クラウドセキュリティの課題

クラウド テクノロジーによってもたらされる多大なメリットにもかかわらず、特にセキュリティの分野でクラウド テクノロジーがもたらす固有の課題は注目に値します。 そのような課題の XNUMX つは構成ミスです。 Anand 氏は、クラウド セキュリティのダイナミズムを強調し、単純な構成ミスが重大な侵害につながる可能性があることをはっきりと思い出させるものとして、悪名高い Capital One 事件を挙げています。

ただし、構成ミスだけが原因ではありません。 MAS ガイドラインで指摘されているように、アイデンティティとアクセスの管理は依然として最重要です。 ポール氏は、特にオンボーディングとオフボーディングの実践において、堅牢な管理を導入することの重要性を強調しました。

を振り返って 最近の違反 DeFiプロトコルHarborとExactlyの別々の攻撃について、パネルは攻撃者を駆り立てた動機を思い出させた。 さらに得るものがあれば、必ず攻撃者の注意が集まります。 このように、クラウド インフラストラクチャは比類のない利点を提供しますが、そのリスクはかつてないほど高くなります。

責任共有モデル

議論の中心となるトピックは「責任共有モデル」を中心としたものです。 アイビー・ヤング氏は、「セキュリティを考えるときの基礎となるのは、責任の共有モデルです。」と述べました。 

このモデルは、クラウド プロバイダーとそのクライアントの間の責任の分担を強調しています。 クラウドプロバイダーはクラウドのセキュリティを確保しますが、顧客はデータであれアプリケーションであれ、クラウドに置くものを保護する必要があります。

新しい MAS パブリック クラウド ガイドラインが与える影響

アイビー氏はさらに、責任共有モデルを理解することが不可欠であると指摘しました。 ただし、この理解が日常の業務やプロセスに反映されない場合、問題が発生します。 その結果、構成ミスやガバナンスのギャップが生じる可能性があります。

クラウドインフラストラクチャの可視性

Anand 氏は、クラウド インフラストラクチャにおける可視性の重要性を強調しました。 「データを保護したいのか、何かを阻止したいのかの基本的な側面は、可視性の側面です」と彼はコメントしました。 

包括的な監視を行うことで、クラウドに合わせた効果的な予防、検出、インシデント管理が保証されます。 AWS のインシデント マネージャー、Azure Sentinel などのツールは、この可視性を提供する上で極めて重要な役割を果たし、組織が構成ミスを早期に検出し、堅牢なガバナンス モデルを実装できるように支援します。

クラウドセキュリティ用語の解読

クラウド テクノロジーの急速な進化により、新しい用語や頭字語が頻繁に導入されます。 パネリストは、CWPP (Cloud Workload Protection Platform) から始まり CSPP (Cloud Security Posture Management)、そして最後に CNAPP (Cloud Native Application Protection Platform) まで、参加者を目まぐるしく巡るツアーに連れて行きました。 それぞれの包括的なテーマは、急速に進化するクラウド環境におけるセキュリティとコンプライアンスの確保でした。

委員会は「中核となるユースケースを理解する」ことを強調し、頭字語に関係なく、データ、コントロールプレーンの保護、堅牢なクラウドセキュリティの確保に常に焦点を当てるべきであると付け加えた。

アラート疲労チャレンジ

ツールを導入することは不可欠ですが、アナンド氏は、「警戒疲れは現実のものです」と本当の課題を指摘しました。 

セキュリティ システムからチームにアラートが殺到し、大量の誤検知の中で真の脅威に焦点を合わせることができなくなる可能性があります。 したがって、ツールを実装するだけでなく、セキュリティ担当者の負担をかけずに実用的な洞察を提供できるようにツールを調整することも重要です。

クラウド導入に関する MAS 回覧を詳しく調べる

シンガポール金融庁によるシンガポールの組織向けのクラウド導入に関する新しい通達が、ウェビナーの主な焦点でした。 この回覧では、シンガポールの金融サービス業界のクラウド プラットフォームへの急速な移行が強調されています。 

Paul Hadjy 氏が述べたように、MAS 回覧はすべての頭字語を詳しく説明しているわけではありませんが、効果的な解決策、プロセス、緩和戦略を整備することの重要性を強調しています。 この回覧の目的は、規制対象事業体が最高水準のクラウド セキュリティを維持することを保証することと一致しています。

MAS パブリック クラウド ガイドラインが企業に与える影響

Paul は、クラウド開発における構成ミスを理解することの重要性を強調し、 MAS パブリック クラウド ガイドライン。 同氏は、「多くの設定ミスがどこから来たのかを知っている開発者は、非常に影響力があり、重要になる可能性がある」と述べた。 Paul 氏によると、このガイドラインは業界関係者、特にクラウドの技術的側面に携わる人々にとって必読の内容です。

新しい MAS パブリック クラウド ガイドラインが与える影響

パネリストは、ガイドラインの広範な影響について明らかにします。 同氏は、現在の業界関係者だけでなく、フィンテック分野の新進気鋭の起業家もこれらのガイドラインをよく理解することが重要であると指摘した。 

パネルはフィンテック業界の急成長​​について、「ビジネスの方向性は間違いなくクラウドに向かっている」と述べた。 彼らは、投資がクラウドのセキュリティ手順に向けられるべきであり、情報の処理、ワークフロー、請求に関係するかどうかにかかわらず、クラウドベースの作業の重要性を強調する必要があると考えています。

ASEAN の AWS プロフェッショナル サービスのセキュリティ責任者である Ivy 氏は、セキュリティ体制の強化について語りました。 彼女によれば、規制要件はほんの始まりにすぎないと考えるべきです。 

企業は、長期的には利益となるため、早い段階でセキュリティ文化の構築を目指す必要があります。 同氏は、現在多くの企業がセキュリティを販売促進要因として捉えており、その見方がアジアでますます広まりつつあると述べた。

Ivy 氏は、規制対象の金融機関がクラウド セキュリティ プログラムを開始するための XNUMX つの最初のステップを列挙しました。 XNUMX つは、ビジネス目標をクラウドのセキュリティ成熟度に合わせることです。

XNUMX つ目は、クラウド サービス プロバイダーが提供する広範なリソースを活用することです。 そして XNUMX 番目に、リスクをタイムリーに検出して対処するには、最初から可視性を確立することが重要です。

CardUp の CTO である Anand Nirgudkar 氏は、クラウド移行の経験を初めてジェット コースターに乗ることに例えて、全体的な見解を示しました。 同氏は、徹底的な発見プロセスとクラウド サービス プロバイダーが提供する支援を活用することの重要性を繰り返し述べました。 

さらに、アナンド氏は、脅威モデリングの必要性と、「ゲート」ではなく「ガードレール」を作成する利点を強調しました。

また、同氏は、使用している特定のクラウド サービス プロバイダーに関係なく、有益となる包括的なガイダンスを提供する 2016 年からの AWS のクラウド導入フレームワークをコミュニティに検討するよう奨励しました。

クラウドセキュリティの柱を理解する

パネルディスカッションは、効果的なクラウド セキュリティ プログラムの基礎となる XNUMX つの柱を特定することから始めました。 まず、エンドポイントのセキュリティは、特に暗号通貨分野など頻繁に攻撃を受けやすい業界では最も重要です。 

次に、データ損失防止 (DLP) に焦点を当てました。 従業員が拡大し、リモートで業務を行うようになるにつれ、データ漏洩が大きな懸念事項となっています。 シングル サインオンや XNUMX 要素認証などのメカニズムを通じて、セキュリティを損なうことなく重要な情報に確実にアクセスできるようにすることが重要です。

最後の柱はサイバー衛生を中心に展開されました。 組織が成長するにつれて、適切なサイバーセキュリティ慣行の文化を浸透させることが不可欠になります。 新旧を問わず従業員の健全性を確保する 潜在的な脅威について十分な情報を得ることが重要です.

クラウドへの移行: どこから始めればよいでしょうか?

クラウドへの移行を検討する際、「どこから始めればよいか」という質問に、Anand Nirgudkar 氏と Ivy Young 氏の両方が答えました。 Anand 氏は、移行を決定する前に資産を理解し、ランク付けすることの重要性を強調しました。 同氏は、各資産の潜在的な移行に伴うリスクとビジネスへの影響に基づいて評価を行うことを提唱しました。 

同様の意見を反映して、アイビー氏もビジネス目標の重要性を強調しました。 経験を積むために重要度の低い資産を移行することから始め、その後徐々に重要度の高いワークロードに移行することで、自信を育み、実践的な学習環境を育むことが推奨されました。

MAS パブリック クラウド ガイドライン: 重要なポイント

最も差し迫った質問の XNUMX つは、MAS パブリック クラウド ガイドラインによってもたらされた変更に関連するものでした。 Anand は、ガイドラインの重要な要素の明確な要約を提供しました。 

同氏は、さまざまなサービス モデルの導入、責任の共有、ID とアクセスの管理、ワークロード セキュリティ アプローチ、ゼロトラスト セキュリティ原則に至るまでのさまざまな側面を掘り下げた包括的な回覧で MAS を賞賛しました。 

このガイドラインでは、継続的なテスト、データ セキュリティ、キー管理なども推奨されています。 リスクベースのセキュリティ アプローチの強調が回覧全体の根幹を成しており、クラウド セキュリティに対するバランスの取れた実用的なアプローチの重要性を強調しています。

ビジネスとしてのクラウドの必須性

時間の制約によりすべての質問に答えることはできませんでしたが、パネリストが共有した洞察は貴重な学びを提供します。 の 「新しい MAS パブリック クラウド ガイドラインが与える影響」ウェビナー 同氏は、クラウドの導入とセキュリティが単なる IT 上の決定ではなく、今日のデジタル時代において重要なビジネス上の義務であることを強調しました。 

新しい MAS ガイドラインでは、さらに複雑な層が導入されていますが、セキュリティ、透明性、信頼性が強化された時代の到来も告げています。 組織がこれらのガイドラインに従う際には、クラウドの導入とセキュリティに対する包括的、戦略的かつ積極的なアプローチが推奨されるだけでなく、不可欠です。

オンデマンドのウェビナーを見る このリンクで 洞察を得るために。

Horangi は、15 月 17 日から XNUMX 日まで開催されるシンガポール フィンテック フェスティバルに参加します。 ブースへの参加について詳しくはこちら こちら.

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.