シンガポールの金融業界に対するサイバーセキュリティのコンプライアンス要件は、一般的に利用可能で明確です。電子マネーを発行するフィンテック・スタートアップ企業、従来の支払処理業者(例:給与処理業者、会計サービス会社)、国境を越えた送金を行う企業など、この分野の小規模企業であっても、コンプライアンスを管理する一連のポリシーが利用可能です。多くの中小企業は、ビジネス特有のサイバーリスクや脅威を理解することに十分な関心を寄せていませんが、Monetary Authority of Singapore (MAS)が政策と強固な監視・執行メカニズムを備えているため、シンガポールの中堅・中小の規制対象企業は意味のあるレベルのサイバー衛生を確保することが可能です。これらの政策に対してリスクベースのアプローチが取られれば、特にこれらの中堅・中小企業は、コストを最適化した方法でサイバーリスクを管理することが可能になると信じています。

例えば、MASには、Major Payments Institutions (MPI) というライセンス・カテゴリーがあります。このライセンスを取得するための商業的な閾値はそれほど高くはありません。1ヶ月あたり300ドル(単一の決済サービスの場合)から600万ドル(2つ以上の決済サービスの場合)の取引を行う決済事業者であれば、申請できる可能性があります。

サイバーセキュリティの観点から、MPIは「サイバー衛生通知」とMASの「テクノロジーリスク管理」という2つのドキュメントを内製化する必要があります。

要約すると、MPIライセンス保有者のセキュリティ態勢を強化することが目的であり、その処方箋にはMPIに以下を要求する主要な条項が含まれています。

  • マルウェアの脅威からの保護
  • システムの脆弱性をスキャンし、定期的なパッチの適用
  • 不正アクセスを制限するネットワーク境界防御の設定
  • 主要な従業員グループ(顧客データを扱う従業員やシステム管理者権限を持っている従業員など)に対して、多要素認証を使用できるようにすること
  • セキュリティ・オペレーション・センター(SOC)を通じてシステムを監視し、サイバー侵害を調査して対策を講じられるようにする

リスクベースの視点でこれらの処方箋を実行することにより、サイバー災害の発生時にビジネスを破綻させることなく、またサイバーソリューションのための予算を浪費することなく、サイバーリスクを確実に管理するために必要な主要ソリューションの優先順位付けを行うことができます。また、どの活動を社内で行うか、またはマネージド・サービス・プロバイダーを利用するかを決定するための明確な根拠となります。最終的には、MASのモニタリング(監査を通じて)と実施によって、サイバー衛生は改善されるでしょうが、規制当局の先を行くことは非常に価値のあることかもしれません。

 

当社のサイバーセキュリティ専門家、またはマネージドセキュリティサービスチームとのセッションを予約し、お客様の運用ニーズについてお気軽にご相談ください。

スーパーアドミン

著者はPositkaで最新のスマートセキュリティ技術に関する素晴らしいブログを書いている技術ライターです。

お問い合わせ

メッセージの送信

一般的な情報をお探しの方、または特定の質問をお持ちの方、以下のフォームにご記入ください。 または、susan@positka.com まで
ご連絡ください。