BNK釜山銀行は、「セキュリティを革新的に再設計する(REDesign SECurity)」という目標のもと、過去2年以上にわたり統合情報保護プラットフォームを構築してきた。より正確に言えば、情報セキュリティリスク評価に基づいた統合プラットフォームである。
昨年、ビッグデータ分析に基づいた統合セキュリティ監視プラットフォームと情報保護ポータルを構築し、効率的な情報保護の運用環境を整えた後、リスク管理システムとの連携事業も完了させ、最近から本格的な運用を開始した。
BNK釜山銀行の情報保護部のチョン・ソンイン部長は、「従来の場当たり的なサイバー侵害対応を超え、リスク評価に基づいた効果的な情報保護リスク管理を行うための環境を整えた」と述べ、「潜在的リスクや問題を事前に把握して迅速に対応するだけでなく、最終的には情報保護活動と投資の効果を定量的に評価するための第一歩を踏み出した」と語った。
サイバー脅威はますます多様化・高度化・知能化しており、企業で運用するセキュリティソリューションの数も増え続けているが、セキュリティ人材は不足している。これは韓国国内に限らず世界中の企業が共通して直面している課題だ。
数多くのセキュリティシステムから発生するログやイベントを分析し、優先的に対処すべき重要な脅威を抽出して素早く対応するのは非常に困難だ。セキュリティ製品が数十種導入されていても、複雑さばかりが増し、肝心のセキュリティ効果が低下しているという指摘もある。
BNK釜山銀行も同様の課題に直面していた。情報保護部は、侵害対応から内部統制、個人・信用情報保護、異常取引の検出・対応、セキュリティ企画・教育・コンプライアンス対応業務などを担いながら、160のシステムを運用しており、セキュリティ製品だけでも50種を超える。毎日150GBのログが生成される環境だ。
約10人の内部セキュリティ担当者だけで、脅威や侵害状況を素早く把握して分析・対処するのは容易ではない。
チョン部長は、「担当者の専門スキルやノウハウ、手作業だけでは限界がある時代になった。技術は活用しているが、製品数やIT環境の規模拡大に伴い管理ポイントも増えている」とし、「統合された情報保護プラットフォームを構築し、標準化された指標に基づいて可視化し、脅威をフィルタリングし、精緻化されたリスク要因に迅速に対応する必要がある」と述べた。
釜山銀行は以前から統合セキュリティ管理システム(ESM)を長期間運用しており、ネットワークから監視体制まで拡張してきた。ESMをセキュリティソリューションだけでなく、脅威管理システム(TMS)、システム管理(SMS)、ネットワーク管理(NMS)システムなどと連携して分析していたが、ネットワークからアプリケーション、ユーザー領域までを包括的に分析するには限界があった。
そこで釜山銀行はSWOT(強み・弱み・機会・脅威)分析を実施し、必要な要素を抽出した上でセキュリティインフラの革新的な再設計作業に着手した。
チョン部長は、「ビッグデータ分析などの新技術を活用し、既存システムと融合させて統合プラットフォームを構築することができた。ここで重要なのは、ベンダー提供のソリューションだけでは完成しないという点だ」とし、「組織内のセキュリティ認識、情報資産、内部規程、脅威環境をよく理解した上で、ソリューションと融合し、継続的に高度化していく必要がある」と強調した。
最適化された統合プラットフォームの構築のため、独自で脅威シナリオを定義し、脅威管理プロセスや監視状況の構成を設計。脅威シナリオは業務ベースの脅威モデル分析(TMA)手法を応用した。
現在、釜山銀行の情報保護統合プラットフォームでは、ビッグデータベースのログ分析を通じて、情報保護機器全体のイベントログを収集・保管・分析している。可視化システムを適用し、相関分析やデータ追跡が可能になった。統合監視システムと可視化システムの間には、状況情報(Context)DBおよび相関分析機能を備えたミドルウェアが配置され、データの円滑な連携を支援する。ミドルウェアはアラート通知による脅威検知や障害伝播機能も持つ。
統合セキュリティ監視システムは、外部脅威インテリジェンスサービスやすべてのアラート・事案履歴の分析が可能なネットワークフォレンジックシステムと連携しており、深層的な事故調査も可能である。情報保護リスク管理システムは、可視化システム、情報保護ポータルとも連携しており、情報保護ポータルでは多次元グラフのダッシュボードでセキュリティ状況とレベルが一目で把握でき、必要な情報にも簡単にアクセスできる。
チョン部長は「対応が必要な脅威のみをフィルタリングして担当者に通知し、通知を受け取った担当者は自動化されたプロセスに従って対応を実施する」と述べ、「必要な情報だけをリアルタイムに可視化して提供する」と説明した。
さらに「ビッグデータ技術を導入する前は、大容量ログを希望通りに分析するのは困難だった。元データの整合性を保ったまま、必要な状況情報を精製して統合でき、すべてのプロセスが標準化されているため、セキュリティ担当者だけでなく経営層や現場責任者もセキュリティ状況を視覚的に把握できるようになった」とし、「全ての組織構成員がセキュリティ関連の役割を例外なく担えるようになった」と語った。
情報保護リスク管理システムとの連携により、資産価値と脅威・脆弱性の評価を経て、発生し得るリスクレベルを把握し、即時に対処が必要な高リスク事案を識別し、対応時期や方法も提示されるようになった。これは、セキュリティ事項を定量化して測定可能な指標として具現化し始めたという意味だ。
釜山銀行は、ビッグデータベースの統合監視システムと状況認識技術を通じて導き出された脅威に対して、自動化されたリスク評価プロセスを経る。その結果を基に、情報保護リスク管理システムが動作する。現在保有する情報資産の重要度、脅威要因、脆弱性などを考慮して、ビジネス視点でリスク度をランク付け・評価し、客観的かつ定量的な指標で提示可能となった。これが「KRI(Key Risk Indicator、重要リスク指標)」である。
チョン部長は「組織が保有する情報資産の価値に応じてリスク度を測定可能な指標とリスク評価額を算出している」とし、「被害額を標準的かつ客観的に算定・数値化し、分析を通じて継続的に標準化・改善する過程を経れば、より正確なセキュリティ投資対効果(ROI)を提示できるだろう」と期待を示した。
このような情報保護統合プラットフォーム構築の効果として、手作業で対応していた侵害対応手順を自動化し、脅威検知・識別・フィルタリング・事後対応・検証までを標準化されたプロセスで実現できるようになった。データ分析レベルも向上し、より良い脅威の可視性が確保され、相関分析により多様な脅威を迅速に判断できるようになり、業務効率性も向上した。
釜山銀行は、ビッグデータベースの統合監視システムにEidiom社の「Logpresso(ログプレッソ)」を、情報保護リスク管理システムにはRSA Archerを活用している。
このプロジェクトを進める中で、迅速なインシデント対応と効率的な統合監視環境を実現するため、監視室や状況室も構成された。
釜山銀行は、知能型脅威を検知し、その精度を高めるために、機械学習技術をセキュリティ監視に適用するための研究も行っている。
このようなビッグデータ可視化分析技術を適用した情報保護統合プラットフォーム構築事例は、昨年の金融セキュリティ院が主催した「金融情報保護および金融ビッグデータ活用アイデア公募展」にて、「金融セキュリティ優秀事例」部門で最優秀賞を受賞した。提出された論文は、情報保護部のウ・ソンフン課長、キム・ミンジュン係長ら計5名が執筆した。
