ブログ

経済的未来を守る：サイバーセキュリティにおけるNYDFSコンプライアンスの包括的ガイド

ジョン・プライス

NYDFSコンプライアンスの理解

NYDFSのサイバーセキュリティ要件は、2017年に23 NYCRR 500規則に基づいて制定されました。これらの規則では、銀行法、保険法、または金融サービス法に基づいて事業を営む組織に対し、堅牢なサイバーセキュリティプログラムを構築し、維持することを義務付けています。このプログラムは、組織の情報システムと非公開情報を保護するように設計される必要があります。

NYDFSコンプライアンスの中核要件

この問題の核心は、各金融機関が「NYDFSコンプライアンス」の一環として遵守しなければならない具体的な要件がいくつかあることです。これには以下が含まれます。

サイバーセキュリティプログラム：金融機関は、サイバーセキュリティリスクを特定、評価、検証、軽減し、効果的に管理できるサイバーセキュリティプログラムを導入する必要があります。また、防御インフラを構築し、サイバーセキュリティに関するポリシーと手順を組み込む必要があります。
サイバーセキュリティポリシー:情報セキュリティ、データガバナンス、ビジネス継続性、インシデント対応などの領域に対応した詳細なサイバーセキュリティポリシーを策定する必要があります。
定期的なリスク評価:組織は、少なくとも年に 1 回、定期的なリスク評価プロセスを実施し、それを文書化して定期的にレビューする必要があります。
指定された CISO:組織のサイバーセキュリティプログラムとポリシーを監督および実装するには、資格のある個人を最高情報セキュリティ責任者 (CISO) に任命する必要があります。

上記の要件は、NYDFSコンプライアンスに必要な中核的な要素です。ただし、機関は、技術の変化や新たな脅威に対応するために、サイバーセキュリティプログラムを随時適応・修正していく必要があります。

コンプライアンスの維持

「NYDFSコンプライアンス」を遵守するには、規定された管理策を実施するだけでは不十分です。機関がコンプライアンスを維持するための方法をいくつかご紹介します。

監査証跡：サイバーセキュリティイベントを検知し、対応するためには、機関は効果的な監査証跡を設計・維持する必要があります。これらの証跡は少なくとも5年間安全に保管する必要があります。
アクセス権限:非公開情報へのユーザーアクセス権限を制限すると、サイバー攻撃が成功する可能性を大幅に軽減できます。
サイバーセキュリティ人材とインテリジェンス:適切なサイバーセキュリティ人材を活用する必要があり、進化するサイバーセキュリティの脅威に対処するために、定期的な最新情報とトレーニングも提供する必要があります。
多要素認証:特に内部ネットワークにリモートでアクセスする個人に対しては、多要素認証 (MFA) を含む安全なアクセス制御を実装する必要があります。
暗号化:非公開情報は、組織のサイバーセキュリティプログラムの一環として、保存時と転送時の両方で暗号化する必要があります。

NYDFSコンプライアンスにおけるサードパーティサービスプロバイダーの役割

金融機関は、情報システムおよびサードパーティサービスプロバイダーがアクセスまたは保有する非公開情報のセキュリティを確保するためのポリシーと手順を実施することが義務付けられています。これらのポリシーには、リスク評価、最低限のサイバーセキュリティ対策、デューデリジェンスプロセス、サードパーティサービスプロバイダーの定期的な評価などが含まれる必要があります。これにより、包括的かつ改ざん防止機能を備えたセキュリティ環境が確保され、お客様の金融の将来が守られます。

結論として、「NYDFSコンプライアンス」のプロセスは複雑ではあるものの、情報システムと非公開情報を保護し、より安全な金融の未来を保証するために不可欠な要素です。包括的なサイバーセキュリティプログラムを確立・維持し、定期的なリスク評価を実施し、アクセス権限を制限し、強力な監査証跡を確保することが重要です。NYDFS規制の要件を常に把握し、それに応じて適応することで、組織のサイバーセキュリティ対策を強化し、金融セクターの安全性を確保し、最終的には安全な金融の未来を実現できます。

お問い合わせ

セキュリティ体制を強化する準備はできていますか?

この記事についてご質問がある場合、または専門家によるサイバーセキュリティのガイダンスが必要な場合は、当社のチームにご連絡いただき、セキュリティに関するニーズについてご相談ください。

相談の予約