Skip to content

金融アプリのセキュリティを実現するための5つの戦術ステップ

顧客の利便性向上(とコスト削減)のため、近年、金融サービスのインタラクションポイントは、実店舗からオンラインプラットフォーム、そして現在はモバイルデバイスへと大きく変化しています。 顧客が組織を信頼するためには、主要なインタラクションポイントを信頼できることが必要です。 つまり、これからは金融およびフィンテック系のモバイルアプリに信頼性を組み込む必要があります。

組織は、セキュリティの境界線が移動したことを受け入れなければなりません。 もはやバックエンドのデータセンターを保護するだけでは十分ではありません。 現在、インタラクションポイントであるアプリ自体を保護することが重要になっています。

セキュリティとユーザーエクスペリエンスのバランスをとる

金融とフィンテックは、バランスを保つのが難しい業界です。 一方で、この分野で活動する組織は、高いセキュリティ基準を維持する必要があります。 しかし、大手テクノロジー企業やベンチャー企業などのデジタルファーストな企業に対抗するには、エンドユーザーを満足させる洗練された便利な顧客体験を提供することが不可欠です。

多面的なサイバーセキュリティのニーズ:

  • ますます厳しくなる要件への対応 – ニューヨークのSHIELD法から欧州のGDRPやPSD2規制まで。
  • 不正行為の防止 – 金融機関やフィンテック企業としては、「顧客を知り」、顧客の取引が承認されていることを信頼できるようにしなければなりません。
  • 金融データと個人データの安全性確保 – お金とデータはハッカーの主な動機であり、金融業界はその両方の財産の安全を確保する必要があります。

上記のいずれかのセキュリティを維持できなかった場合、規制当局から多額の罰金が科せられます。 しかし、顧客の信頼を失うことの方が、より大きなダメージを与えることは間違いありません。 金融業界やフィンテック業界の人たちに話を聞くと、必ずと言っていいほど、一番の資産は「顧客の信頼」だと言います。

信頼を維持するためのセキュリティの構築

 

信頼とセキュリティは同じではありませんが、密接な関係があります。 信頼とは感情であり、約束を果たすことで時間をかけて育まれるものです。 獲得するのは難しいにもかかわらず、簡単に失うものです。 金融機関やフィンテック分野の企業にとって、最も早く信頼を失う方法の一つがセキュリティハックです。 信頼は、お金やデータを安全に保つことで、長期にわたって維持されます。

 

開発者が実践できる5つの戦術的ステップ

 
  1. OWASPs モバイル Top 10: リスクを知ることで、落とし穴を避けることができます。 OWASP(Open Web Application Security Project)は、Verimatrix(ベリマトリックス 社)を含むセキュリティ専門家のオンラインコミュニティで、安全なWebやモバイルアプリケーションの構築に役立つ、自由に利用できる学習教材、ドキュメンテーション、およびツールを作成しています。 中でも、 モバイルアプリケーションに対する10の最も一般的な脅威リストを作成しました。
  2. セキュリティは全員の責任で取り組む セキュリティを後付けするのではなく、最初から組織の一部にしましょう。 問題が起きてから対応するよりも先回りした方が簡単(でより有用)です。 初日から「平常どおりのセキュリティ」の文化を築いておけば、後になって難しい規制の変更を行うことを心配する必要はありません。 これにより、セキュリティは後になって組織に強制されるものではなく、低水準で、秩序を乱すことのない取り組みとなります。
  3. ホリスティックに考える: 細かいところにこだわったり、自分の快適帯にこだわったりするのは簡単です。 セキュリティに関しては通用せず、エコシステム全体を考慮しなければなりません。 「窓を大きく開けたままでは、ドアをロックしても意味がない」というセキュリティの決まり文句は、誰もが耳にしたことがあるでしょう。 セキュリティは、データセンターだけのものではありません。 セキュリティの境界線は、エコシステム全体であり、そこには野放しのアプリも含まれます。これについては、先日のブログ「API(アプリケーション・プログラミング・インターフェイス)の乱用」でご紹介しました。 機密データの流れをマッピングする戦術的なアプローチで、どこでデータが流出しているのかがすぐにわかるようになります。
  4. セキュリティアセスメントの実施: セキュリティは自分だけで対応するものではありません。 あなたのリスクプロファイルを見直すのに有用なツールや会社があります。 これには、自動テスト(アプリを自動的にスキャンして脆弱性を特定するサービスなど)や、セキュリティラボが実施するエンドツーエンドの詳細なレビューなどがあります。 多くの金融業務では、これらのレビューは業界の規制によって義務付けられています。 積極的に要件を先取りすることに意味があります。
  5. アプリケーションのシールド: 最後に、顧客がサービスを利用する際のツール、つまりモバイルアプリの信頼性を高め、維持する必要があります。 これは、アプリディールディングという技術を使ってアプリ自体を保護することで実現しています。 このシールドがないと、アプリはハッカーに悪用されやすくなり、せっかく得た信頼が取り返しのつかないことになってしまいます。

金融業界で実績のあるアプリ保護

Verimatrix(ベリマトリックス 社)では、フレンドリーなセキュリティを信条としています。 これは、顧客が開発チーム、リリーススケジュール、ワークフローを過度に混乱させることなく、実績ある アプリシールディング を適用できるようにすることを意味します。 べりマトリックスアプリシールディングがあれば、顧客のために、新しく、エキサイティングで、信頼できる機能を開発し続けることができます。

Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

This site is registered on wpml.org as a development site.