NYSDFSサイバーセキュリティ規制とは
NYSDFSのサイバーセキュリティ規制(23 New York Codes, Rules and Regulations (NYCRR) 500)は、ニューヨークで事業を行うニューヨーク以外の保険会社を含め、ニューヨークの銀行、金融サービス会社、保険会社に対し、サイバーセキュリティのリスクアセスメントを実施し、リスクアセスメントに基づいてサイバーセキュリティプログラムを作成し、維持することを義務付けています。
このリスクベースのアプローチは、情報システムの機密性、完全性、可用性を保護し、最終的に消費者とニューヨーク州の金融サービス業界を保護することを目的としている。
NYSDFSによるニューヨーク州サイバーセキュリティ規制は、最低基準を概説することにより、NYSDFSのすべての規制対象事業体のリスクに対処することを目的としている。この規制は、顧客データの保護だけでなく、金融機関が機密情報の取り扱いに使用する情報システムの強化を目的としています。
ほとんどの金融機関は、FFIEC、SOX法、GLBAで概説されているガイドラインを満たすことがすでに求められているため、ニューヨークのサイバーセキュリティ規制は、一般的に、より規定的な内容となっている。この規制は、規制を遵守するための具体的な方針、手順、技術の導入を金融機関に求めている。
Vectra、攻撃行動をゼロから100パーセント可視化できるようになりました。
セキュリティHead of グローバル金融サービス企業
NYSDFSサイバーセキュリティ規制における企業のコンプライアンス要件
NYSDFSサイバーセキュリティ規制は、銀行法、保険法、金融サービス法の下でNYSDFSが規制するあらゆる事業に適用されます。
これらの対象事業体には以下が含まれる:
- 州立銀行
- 認可貸金業者
- プライベートバンカー
- サービス契約プロバイダー
- 信託会社
- 住宅ローン会社
- ニューヨークで営業認可を受けた外国銀行
- ニューヨーク州で事業を行う保険会社企業が23 NYCRR 500財務規制を順守できるよう支援するため、Vectra AI が対応する評価カテゴリーを以下の表に詳述します。
23 NYCRR 500
500.02項|サイバーセキュリティ・プログラム
| コントロール |
制御説明 |
Vectra レスポンス |
| b.1 |
対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のある、内部および外部のサイバーセキュリティリスクを特定し、評価する。 |
ホストの自動スコアリングにより、脅威と確実性に基づいてネットワーク全体のリスクが明らかになります。Vectra AI 全ての脅威Vectra AI 、対象資産に最大のリスクをもたらす攻撃者行動とホストを優先順位付けします。 |
| b.3 |
検知 サイバーセキュリティイベント |
Vectra AI 、ローカル環境を継続的に学習し、すべての物理ホストと仮想ホストを追跡することで、侵害されたデバイスの兆候や内部者脅威を明らかにします。攻撃ライフサイクルの全フェーズにおいて、以下を含む幅広いサイバー脅威が自動的に検出されます:
• コマンドアンドコントロールおよびその他の隠蔽通信
• 内部偵察
• 横方向移動
• アカウント認証情報の悪用
• データ流出 データ流出
• ランサムウェア活動の初期兆候
• ボットネットの収益化
• 攻撃キャンペーン(全ホストのマッピング及び関連攻撃指標を含む)
Vectra AI 、許可された従業員による重要資産への不審なアクセス、ならびにクラウドストレージ・USBストレージ等のネットワーク外データ移動手段に関連するポリシー違反も監視・検知します。 |
セクション500.03|サイバーセキュリティ・ポリシー
| コントロール |
制御説明 |
Vectra レスポンス |
| h |
システムとネットワークの監視 |
Vectra AI 、内部ネットワークトラフィック、インターネット向けトラフィック、データセンタートラフィック(データセンター内の仮想ワークロード間のトラフィックを含む)を継続的に監視・分析し、システム動作の基準値を確立するとともに、承認されていない活動を特定します。 |
| n |
事件レスポンス |
Vectra AIプラットフォームは、脅威の検出、イベントの相関関係、デバイスのトリアージ、レポーティングなどの手作業を自動化することで、再現可能なインシデントレスポンス 、セキュリティ運用プロセスを実現します。最もリスクの高い脅威は即座にトリアージされ、侵害されたデバイスと関連付けられ、優先順位が付けられるため、セキュリティチームは進行中の攻撃を阻止し、データ損失を回避するために迅速に対応できる。手作業で時間のかかるセキュリティイベントの分析を自動化することで、Vectra AIは数週間から数カ月かかる作業を数分に凝縮し、脅威調査にかかるセキュリティアナリストの作業負荷を32分の1に削減します。
|
500.05項|侵入テストと脆弱性評価
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
リスクアセスメントに従って特定された関連リスクに基づき、毎年決定される、対象事業体の情報システムの年次侵入テスト。 |
Vectra AI ネットワークトラフィックを継続的に監視し、リスクをもたらす可能性のある衛生上の問題、パフォーマンスを損なう問題、攻撃者が潜伏する機会を提供する問題を自動的に特定します。Vectra AI 、システム更新時に導入された可能性のある気づかれなかったエラーについて、ITセキュリティチームにVectra AI 。 |
500.06項|監査裁判
| コントロール |
制御説明 |
Vectra レスポンス |
| a.2 |
対象事業体の通常業務の重要な部分に重大な損害を与える合理的な可能性があるサイバーセ キュリティ事象に、検知 、対応するように設計された監査証跡を含める。 |
Vectra AIプラットフォームは、ランサムウェアの活動、コマンド・アンド・コントロール通信、内部偵察、ラテラルムーブ、データ流出など、攻撃のあらゆる兆候を自動的にログに記録し、報告します。Vectra AIは豊富なメタデータソースを使用して、攻撃者が示した行動、使用されたツール、またはローカルに学習されたベースラインからの逸脱に基づく異常なイベントを検知 。 |
500.07項|アクセス権
| コントロール |
制御説明 |
Vectra レスポンス |
|
サイバーセキュリティプログラムの一環として、対象事業体のリスクアセスメントに基づき、各対象事業体は、非公開情報へのアクセスを提供する情報システムへのユーザアクセス権限を制限し、当該アクセス権限を定期的に見直すものとする。 |
Vectra AI 、物理デバイス、ユーザーアカウント、要求されたサービスという観点から通常の使用状況を把握するため、内部Kerberosインフラストラクチャを継続的に追跡します。Kerberosクライアントの異常は、ユーザーの認証情報が侵害された場合や、複数のユーザーデバイスがアクセス情報の共有を開始した場合を特定できます。 さらにVectra AI 、RDP、SSH、telnet、IPMI、iDRACなどネットワーク上で使用される管理プロトコルをVectra AI 。システム、ワークロード、アプリケーションに対する管理者アクセスVectra AI 追跡しますVectra AI |
500.09項|リスクアセスメント
| コントロール |
制御説明 |
Vectra レスポンス |
| b.2 |
対象事業体の情報システム及び非公開情報の機密性、完全性、セキュリティ及び可用性の評価基準。 |
Vectra AIプラットフォームは、ネットワーク・トラフィックを継続的に監視し、リスクを引き起こしたり、パフォーマンスを低下させたり、攻撃者が身を隠す機会を提供したりする衛生上の問題を自動的に特定する。Vectra AIは、システム更新中に導入された可能性のある気付かないエラーについて、ITセキュリティチームに警告を発します。さらに、最初の感染後に発生するネットワーク内部での攻撃者の振る舞いを監視することで、Vectra AIは、既存のmalware 検出技術をバイパスする脅威の認識を提供します。 |
| b.3 |
リスクアセスメントに基づき、特定されたリスクをどのように軽減または受容するか、また、サイバーセキュリティプログラムがリスクにどのように対処するかを記述した要件。 |
Vectra AI 、異常や脅威を自動的に識別し、それらを物理ホストデバイスに関連付け、最も重大なリスクをもたらす脅威のある物理ホストデバイスを優先順位付けし、ITセキュリティチームに裏付けデータと推奨される次の対応手順を提供します。Vectra AI 、PCIアーキテクチャ内のすべてのホストデバイスを識別可能にし、それらの重要資産に関するすべての検知結果を自動的に報告します。 |
第500.10項 サイバーセキュリティ要員とインテリジェンス
| コントロール |
制御説明 |
Vectra レスポンス |
| a.1 |
対象事業体のサイバーセキュリティリスクを管理し、本編の第 500.02 項(b)(1)~(6)に規定される中核的なサイバーセキュリティ機能の実行又はその実行を監督するのに十分な、対象事業体、関連会社又は第三者サービスプロバイダの適格なサイバーセキュリティ要員を活用する。
|
Vectra AI 、人員不足に陥りがちなセキュリティ運用チームの負担を軽減し、能力を強化します。これは、時間のかかるセキュリティイベントの検知と分析を自動化し、隠れた脅威を延々と探し続ける必要性を排除することで実現されます。 |
| a.2 |
サイバーセキュリティ担当者に、関連するサイバーセキュリティリスクに対処するのに十分なサイバーセキュリティの最新情報とトレーニングを提供する。 |
Vectra AI 、若手セキュリティ管理者のトレーニングツールとして活用できます。リアルタイムのネットワークデータを用いて、特定の攻撃に関連するネットワーク行動の種類や攻撃ライフサイクルの様相を教示します。自動化された検知、トリアージ、脅威の優先順位付けは、各攻撃検知について、可能性のあるトリガー、根本原因、ビジネスへの影響、検証手順を含む簡潔な1ページの説明で提示されます。 |
第500.11項|サードパーティ・サービス・プロバイダー・セキュリティ・ポリシー
| コントロール |
制御説明 |
Vectra レスポンス |
| a.4 |
そのような第三者サービスプロバイダーがもたらすリスクと、そのサイバーセキュリティ慣行の継続的な適切性に基づいて、そのような第三者サービスプロバイダーを定期的に評価する。
|
Vectra AI ネットワークトラフィックを継続的に監視し、リスクをもたらす可能性のある衛生上の問題、パフォーマンスを損なう問題、攻撃者が潜伏する機会を提供する問題を自動的に特定します。Vectra AI 、システム更新時に導入された可能性のある気づかれなかったエラーについて、ITセキュリティチームにVectra AI 。 |
500.14項|トレーニングとモニタリング
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
許可されたユーザーの活動を監視し、検知 、そのような許可されたユーザーによる非公開情報への不正なアクセスや使用、または改ざんを監視するように設計された、リスクに基づく方針、手順、および管理を導入する。 |
不審な管理者の挙動: Vectra AIプラットフォームは、IPMIやILO(HP)、iDRAC(DELL)など、OSやBIOSの下でシステムを制御する低レベルの管理プロトコルの不正使用を識別します。さらに、当社のAIは、RDP、SSH、telnetなど、ネットワーク上で使用されている管理プロトコルを学習します。Vectra AIは、システム、ワークロード、アプリケーションの管理者アクセスモデルも追跡します。
疑わしいKerberosアカウント Vectra AIプラットフォームは、Kerberosアカウントが、通常とは異なるドメイン・コントローラーへの接続、通常とは異なるホストの使用、通常とは異なるサービスへのアクセス、または通常のドメインコントローラー、通常のホスト、通常のサービスを使用した通常とは異なる量のKerberosリクエストの生成など、1つまたは複数の方法で、学習されたベースラインとは異なる方法で使用されている場合に識別します。 |
500.16|インシデントレスポンス プラン
| コントロール |
制御説明 |
Vectra レスポンス |
| b.1 |
サイバーセキュリティイベントに対応するための内部プロセス。 |
Vectra AI 自動化された脅威優先順位付け機能を提供し、継続的な監視に基づく検知、トリアージ、報告を反復可能かつ測定可能なプロセスとして実現します。これに加え、ホストデバイスの自動スコアリングによりネットワーク全体へのリスクを可視化します。脅威発生時の優先順位付けにより、セキュリティ運用部門は迅速に対応し、攻撃が損害をもたらす前に阻止することが可能となります。
|
第500.17項|監督者への通知
| コントロール |
制御説明 |
Vectra レスポンス |
| a |
サイバーセキュリティ事象の通知。各対象事業体は、サイバーセキュリティ事象が発生したと判断されてから72時間以内に、可能な限り速やかに管理監督者に通知するものとする。 |
Vectra AI 自動検知・トリアージ・脅威優先順位付け機能は、セキュリティチームへのリアルタイム通知をトリガーします。通知は各攻撃検知に関する1ページの解説として配信され、検知に至った根本的な事象と歴史的背景、可能性のあるトリガー要因、根本原因、ビジネスへの影響、検証手順を含みます。 |
