NYSDFSサイバーセキュリティ規制とは
NYSDFSのサイバーセキュリティ規制(23 New York Codes, Rules and Regulations (NYCRR) 500)は、ニューヨークで事業を行うニューヨーク以外の保険会社を含め、ニューヨークの銀行、金融サービス会社、保険会社に対し、サイバーセキュリティのリスクアセスメントを実施し、リスクアセスメントに基づいてサイバーセキュリティプログラムを作成し、維持することを義務付けています。
このリスクベースのアプローチは、情報システムの機密性、完全性、可用性を保護し、最終的に消費者とニューヨーク州の金融サービス業界を保護することを目的としている。
NYSDFSによるニューヨーク州サイバーセキュリティ規制は、最低基準を概説することにより、NYSDFSのすべての規制対象事業体のリスクに対処することを目的としている。この規制は、顧客データの保護だけでなく、金融機関が機密情報の取り扱いに使用する情報システムの強化を目的としています。
ほとんどの金融機関は、FFIEC、SOX法、GLBAで概説されているガイドラインを満たすことがすでに求められているため、ニューヨークのサイバーセキュリティ規制は、一般的に、より規定的な内容となっている。この規制は、規制を遵守するための具体的な方針、手順、技術の導入を金融機関に求めている。
「Vectra を使って、攻撃行動をゼロから100%可視化することができました。
セキュリティ責任者 グローバル金融サービス企業
NYSDFSサイバーセキュリティ規制における企業のコンプライアンス要件
NYSDFSサイバーセキュリティ規制は、銀行法、保険法、金融サービス法の下でNYSDFSが規制するあらゆる事業に適用されます。
これらの対象事業体には以下が含まれる:
- 州立銀行
- 認可貸金業者
- プライベートバンカー
- サービス契約プロバイダー
- 信託会社
- 住宅ローン会社
- ニューヨークで営業認可を受けた外国銀行
- ニューヨークで事業を展開する保険会社 23 NYCRR 500の財務規制を遵守するために、Vectra AIプラットフォームがサポートする評価カテゴリの詳細は以下の表のとおりです。
23 NYCRR 500
500.02項|サイバーセキュリティ・プログラム
| コントロール |
制御説明 |
Vectra レスポンス |
| b.1 |
対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のある、内部および外部のサイバーセキュリティリスクを特定し、評価する。 |
ホストの自動スコアリングにより、脅威と確実性に基づくネットワーク全体のリスクが明らかになります。Vectra AIがすべての脅威をスコアリングし、対象資産に最大のリスクをもたらす攻撃者の行動とホストに優先順位を付けます。 |
| b.3 |
検知 サイバーセキュリティ・イベント |
Vectra AIプラットフォームは、ローカル環境を継続的に学習し、すべての物理ホストと仮想ホストを追跡して、侵害されたデバイスや内部脅威の兆候を明らかにする。攻撃のライフサイクルの全段階において、以下を含む広範なサイバー脅威が自動的に検出される:
- コマンド・アンド・コントロールおよびその他の隠れた通信
- 内部偵察
- 横方向への移動
- アカウント認証情報の悪用
- データの流出
- ランサムウェア活動の初期指標
- ボットネットの収益化
- 攻撃キャンペーン、すべてのホストと関連する攻撃指標のマッピングを含む
Vectra AIプラットフォームは、権限のある従業員による重要資産への不審なアクセスや、クラウドストレージ、USBストレージ、その他のネットワーク外へのデータ移動手段の使用に関連するポリシー違反も監視および検出する。 |
セクション500.03|サイバーセキュリティ・ポリシー
| コントロール |
制御説明 |
Vectra レスポンス |
| h |
システムとネットワークの監視 |
Vectra AIプラットフォームは、データセンター内の仮想ワークロード間のトラフィックを含め、内部ネットワークトラフィック、インターネット接続トラフィック、データセンタートラフィックを継続的に監視・分析し、システム動作のベースラインを確立し、承認されていないアクティビティを特定する。 |
| n |
事件レスポンス |
Vectra AIプラットフォームは、脅威の検出、イベントの相関関係、デバイスのトリアージ、レポーティングなどの手作業を自動化することで、再現可能なインシデントレスポンス 、セキュリティ運用プロセスを実現します。最もリスクの高い脅威は即座にトリアージされ、侵害されたデバイスと関連付けられ、優先順位が付けられるため、セキュリティチームは進行中の攻撃を阻止し、データ損失を回避するために迅速に対応できる。手作業で時間のかかるセキュリティ・イベントの分析を自動化することで、Vectra AIは数週間から数カ月かかる作業を数分に凝縮し、脅威調査にかかるセキュリティ・アナリストの作業負荷を32分の1に削減します。
|
500.05項|侵入テストと脆弱性評価
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
リスクアセスメントに従って特定された関連リスクに基づき、毎年決定される、対象事業体の情報システムの年次侵入テスト。 |
Vectra AIプラットフォームは、ネットワーク・トラフィックを継続的に監視し、リスクを引き起こしたり、パフォーマンスを低下させたり、攻撃者が身を隠す機会を提供したりする衛生上の問題を自動的に特定する。Vectra AIは、システム更新中に導入された可能性のある気付かないエラーについて、ITセキュリティチームに警告を発します。 |
500.06項|監査裁判
| コントロール |
制御説明 |
Vectra レスポンス |
| a.2 |
対象事業体の通常業務の重要な部分に重大な損害を与える合理的な可能性があるサイバーセ キュリティ事象に、検知 、対応するように設計された監査証跡を含める。 |
Vectra AIプラットフォームは、ランサムウェアの活動、コマンド・アンド・コントロール通信、内部偵察、横移動、データ流出など、攻撃のあらゆる兆候を自動的にログに記録し、報告します。Vectra AIは豊富なメタデータソースを使用して、攻撃者が示した行動、使用されたツール、またはローカルに学習されたベースラインからの逸脱に基づく異常なイベントを検知 。 |
500.07項|アクセス権
| コントロール |
制御説明 |
Vectra レスポンス |
|
サイバーセキュリティプログラムの一環として、対象事業体のリスクアセスメントに基づき、各対象事業体は、非公開情報へのアクセスを提供する情報システムへのユーザアクセス権限を制限し、当該アクセス権限を定期的に見直すものとする。 |
Vectra AIプラットフォームは、内部Kerberosインフラストラクチャを継続的に追跡し、物理デバイス、ユーザーアカウント、および要求されたサービスの観点から通常の使用状況を把握します。Kerberosクライアントの異常は、ユーザーの認証情報が漏洩した場合や、複数のユーザー・デバイスがアクセス情報を共有し始めた場合を特定することができます。さらに、Vectra AIは、RDP、SSH、telnet、IPMI、iDRACなど、ネットワーク上で使用されている管理プロトコルを学習します。Vectra AIは、システム、ワークロード、アプリケーションの管理者アクセスモデルも追跡します。 |
500.09項|リスクアセスメント
| コントロール |
制御説明 |
Vectra レスポンス |
| b.2 |
対象事業体の情報システム及び非公開情報の機密性、完全性、セキュリティ及び可用性の評価基準。 |
Vectra AIプラットフォームは、ネットワーク・トラフィックを継続的に監視し、リスクを引き起こしたり、パフォーマンスを低下させたり、攻撃者が身を隠す機会を提供したりする衛生上の問題を自動的に特定する。Vectra AIは、システム更新中に導入された可能性のある気付かないエラーについて、ITセキュリティチームに警告を発します。さらに、最初の感染後に発生するネットワーク内部での攻撃者の行動を監視することで、Vectra AIは、既存のmalware 検出技術をバイパスする脅威の認識を提供します。 |
| b.3 |
リスクアセスメントに基づき、特定されたリスクをどのように軽減または受容するか、また、サイバーセキュリティプログラムがリスクにどのように対処するかを記述した要件。 |
Vectra AIプラットフォームは、異常と脅威を自動的に識別し、それらを物理的なホストデバイスに関連付け、最大のリスクをもたらす脅威を持つ物理的なホストデバイスに優先順位を付け、ITセキュリティチームにサポートデータと推奨される次のステップを提供する。Vectra AIはまた、PCIアーキテクチャ内のすべてのホスト・デバイスを識別し、それらの重要な資産に関するすべての検出を自動的に報告することができます。 |
第500.10項 サイバーセキュリティ要員とインテリジェンス
| コントロール |
制御説明 |
Vectra レスポンス |
| a.1 |
対象事業体のサイバーセキュリティリスクを管理し、本編の第 500.02 項(b)(1)~(6)に規定される中核的なサイバーセキュリティ機能の実行又はその実行を監督するのに十分な、対象事業体、関連会社又は第三者サービスプロバイダの適格なサイバーセキュリティ要員を活用する。
|
Vectra AIプラットフォームは、人員不足に陥りがちなセキュリティ運用チームに負担をかけず、力を与える。これは、時間のかかるセキュリティイベントの検出と分析を自動化し、隠れた脅威を延々と探し続ける必要性をなくすことで実現します。 |
| a.2 |
サイバーセキュリティ担当者に、関連するサイバーセキュリティリスクに対処するのに十分なサイバーセキュリティの最新情報とトレーニングを提供する。 |
Vectra AIプラットフォームは、若手のセキュリティ管理者のトレーニングツールとしても機能する。リアルタイムのネットワークデータを使用して、特定の攻撃に関連するネットワーク動作の種類や、攻撃のライフサイクルがどのようなものかを学習します。自動化された検出、トリアージ、脅威の優先順位付けは、可能性のあるトリガー、根本原因、ビジネスへの影響、検証ステップなど、各攻撃検出の迅速かつシンプルな1ページの説明を通じて提示されます。 |
第500.11項|サードパーティ・サービス・プロバイダー・セキュリティ・ポリシー
| コントロール |
制御説明 |
Vectra レスポンス |
| a.4 |
そのような第三者サービスプロバイダーがもたらすリスクと、そのサイバーセキュリティ慣行の継続的な適切性に基づいて、そのような第三者サービスプロバイダーを定期的に評価する。
|
Vectra AIプラットフォームは、ネットワーク・トラフィックを継続的に監視し、リスクを引き起こしたり、パフォーマンスを低下させたり、攻撃者が身を隠す機会を提供したりする衛生上の問題を自動的に特定する。Vectra AIは、システム更新中に導入された可能性のある気付かないエラーについて、ITセキュリティチームに警告を発します。 |
500.14項|トレーニングとモニタリング
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
許可されたユーザーの活動を監視し、検知 、そのような許可されたユーザーによる非公開情報への不正なアクセスや使用、または改ざんを監視するように設計された、リスクに基づく方針、手順、および管理を導入する。 |
不審な管理者の挙動: Vectra AIプラットフォームは、IPMIやILO(HP)、iDRAC(DELL)など、OSやBIOSの下でシステムを制御する低レベルの管理プロトコルの不正使用を識別します。さらに、当社のAIは、RDP、SSH、telnetなど、ネットワーク上で使用されている管理プロトコルを学習します。Vectra AIは、システム、ワークロード、アプリケーションの管理者アクセスモデルも追跡します。
疑わしいKerberosアカウント Vectra AIプラットフォームは、Kerberosアカウントが、通常とは異なるドメイン・コントローラーへの接続、通常とは異なるホストの使用、通常とは異なるサービスへのアクセス、または通常のドメイン・コントローラー、通常のホスト、通常のサービスを使用した通常とは異なる量のKerberosリクエストの生成など、1つまたは複数の方法で、学習されたベースラインとは異なる方法で使用されている場合に識別します。 |
500.16|インシデントレスポンス プラン
| コントロール |
制御説明 |
Vectra レスポンス |
| b.1 |
サイバーセキュリティイベントに対応するための内部プロセス。 |
Vectra AIプラットフォームは、自動化された脅威の優先順位付けを提供し、継続的なモニタリングに基づいて、検知 、トリアージ、レポートするための反復可能で測定可能なプロセスを可能にし、ホストデバイスの自動スコアリングと組み合わせて、ネットワークに対する全体的なリスクを明らかにする。ネットワークへの脅威が発生した際に優先順位を付けることで、セキュリティ・オペレーションによる迅速なレスポンス 、被害が発生する前に攻撃を阻止することができる。
|
第500.17項|監督者への通知
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
サイバーセキュリティ事象の通知。各対象事業体は、サイバーセキュリティ事象が発生したと判断されてから72時間以内に、可能な限り速やかに管理監督者に通知するものとする。 |
Vectra AIプラットフォームによる自動検出、トリアージ、脅威の優先順位付けをトリガーとして、セキュリティチームにリアルタイムで通知されます。通知は、各攻撃の検知について、検知に至った基本的なイベントや過去の背景、考えられるトリガー、根本原因、ビジネスへの影響、検証手順などを1ページにまとめた説明として配信されます。 |
