概要
PSCUは、約700もの信用組合に対し、デビットカードやクレジットカード、電子バンキング、オンラインの支払い、モバイルバンキングなど、競争力のあるサービスを顧客に提供できるよう支援を行う信用組合サービス組織(CUSO)です。PSCUのサポートを通して、信用組合は新たな収益源を獲得し、コストを削減するともに、顧客へ革新的なサービスを提供しています。
金融業は、データ侵害の被害を最も受けやすい産業のひとつです。特に、換金しやすいデータを狙う、組織的で利益重視なサイバー犯罪者の標的にされやすい傾向があります。そのため、金融業では規制対象のデータや機密データに対する最高レベルのセキュリティが求められます。万が一マルウェアがデータセンターに侵入した場合、組織の収益や評判に悪影響が及ぶ可能性があります。そのため PSCUでは、脅威やそれにともなう影響への懸念が高まっていました。
「FireEyeとImpervaの購入を決定したのは、あることに対する価値観が変わったためです。PSCUはかつて、多くの企業と同様、セキュリティの境界を保護することを重視していました。しかし、現代の高度な脅威では、侵入そのものを防ぐことは不可能なのです。」と、ITセキュリティ部門のマネージャーを務めるBradley Walker氏は述べています。「そのため、データセントリックなアプローチを採用し、サイバー犯罪者が重要なビジネスデータにたどり着けないような環境を維持することに努めています」。
ビジネスにおける課題
「金融機関として、我々はPCI規制に準拠する必要があります。また、カード所有者のデータを保護するだけでなく、高度な標的型攻撃を防ぐことができるソリューションを希望していました」と、PSCUのシニアセキュリティアナリストであるRichard Bennett氏は述べます
高度な標的型攻撃とは、セキュリティ境界を迂回するため多段階に仕組まれた攻撃を指します。代表的な手口として、その企業の従業員が侵入口として狙われるケースがあります。PSCUでは、機密情報の保護に向けてトークン化・暗号化技術をすでに導入していました。しかし、より高度なセキュリティ体制を整えるために、機密情報への全アクセスを監視し、リアルタイムで疑わしい動作に対応できるようにする必要がありました。そこで、高度な攻撃の対象である特権ユーザーを監視し、開発者が使用するデータベースの不正コピーを防止することが可能なデータベース監査・保護ソリューションを探していました。
高度な標的型攻撃はレーダーをかいくぐることができるため、PSCUの力だけで検出するのは困難です。こういった攻撃にはマルウェアが活用されていることが多いことから、多層の防御戦略に加えて、専用のマルウェア検出ソリューションが必要でした。
テクノロジーの選択
「他のベンダーと比べても、Imperva Database Firewall が最高の品質だと判断し、購入に至りました」と、Walker 氏はコメントしています。SecureSphere は、 PSCU が保有する全データベースにおける機密データへのアクセスをリアルタイムで監査し、セキュリティ分析を通して高リスクのインシデントを特定します。さらに、自動的にコンプライアンス対応が行われるほか、データベース内の機密データの場所を特定することでセキュリティ対策がとりやすい環境を作り、パッチが適用されていない脆弱性やセキュリティ設定の不備を特定する評価テストも提供します。
PSCU は競合製品をテストした後、堅牢な仮想実行エンジンと使いやすいインターフェースを備えているFireEye のマルウェア検出ソリューションを採用しました。 採用の基準には、多角的な攻撃からの保護や、コマンド&コントロール(C&C)サーバからのデータ流出を防止する機能の有無も含まれていました。「FireEye を実装するまでは、PSCU のネットワーク上にあるマルウェアを把握できていませんでした。
我々には、ベースラインが必要だったのです。」と、Walker 氏は述べます。「今では、マルウェアがどこからネットワークに侵入しているのか、その発生源を把握できるようになりました」。
Imperva Data SecurityとFireEye Malware Protection System は、製品レベルで統合されています。そのため、PSCU はこの 2 つをセキュリティ対策のコンポーネントとして独自に活用することができたのです。
インシデント対応のプロセス
PSCU は、マルウェアに関するインシデント対応プロセスの一環として、修復戦略を取り入れようとしました。効果的な修復戦略を築くためには、データセンターに近い場所に保護のレイヤがあり、マルウェアがデータ資産に到達することを防げるようなシステムが必要でした。FireEye Malware Protection System は、感染したホストにアクセスし、その情報を Imperva SecureSphere に渡します。Imperva SecureSphere はこの実用的なインテリジェンスを活用し、感染したマシンが機密データにアクセスするのを防ぎます。特定のデータへのアクセスを選択的に分離することで、PSCU はエンドユーザーや継続的な業務への影響を最小限に抑えながらセキュリティリスクを大幅に軽減することに成功しました。
「FireEye と Imperva はフロントエンドに位置し、早期警戒システムとして機能しています」Walker 氏は以下のように述べています。「感染したデバイスを FireEye が検出すると、Imperva Data Securityにその情報が伝えられます。我々はそこでセキュリティポリシーを設定し、そのデバイスが機密データにアクセスできないようにブロックします」。
また、SecureSphere の詳細な監査証跡はフォレンジック調査を行うツールとして機能し、インシデントを迅速に処理します。さらに、データベースのアクティビティをリアルタイムに監視することで、正常なユーザーアクセスのベースラインとなるパターンを確立し、第 2 のレイヤとして異常なアクティビティを検出する役割を果たします。このソリューションを通して、ユーザーの行動とデータアクセス状況がともに分析され、疑わしいデータアクセスを特定し、重大な脅威を優先順で把握することができます。さらに、実用的な洞察とデータリスクのコンテキストが提供されることで、セキュリティ担当者は迅速に脅威の調査や対応行うことができます。
FireEyeおよびImpervaと提携することで、PSCU の高度なITセキュリティチームは、エンドツーエンドのソリューションを実現し、マルウェアを検出して標的型攻撃からデータセンターを保護することができるようになりました。