レガシーシステムのセキュリティを最新の状態に保つことが重要な理由
レガシーシステムは、保険会社にとって重要な情報を格納していますが、セキュリティリスクをもたらす可能性もあります。 レガシーシステムが古くなると、新しい技術開発に追いつく能力が低下し、デジタルの脅威に対して脆弱になります。 また、古いレガシーシステムでは、元の開発者やドキュメントを参照できる可能性も低くなります。
レガシーシステムとは、開発者によってサポートされなくなったシステム、または現在のコンプライアンス基準を満たせないシステムであると、Heimdal SecurityのコミュニケーションおよびPRオフィサーである Miriam Cihodariu氏は述べています。 これらは、内部使用のために設計されたオペレーティングシステムまたはプラットフォーム、および顧客向けソフトウェアである可能性があります。
保険会社は、レガシーシステムを完全に捨てる必要はありません。 ただし、保険会社は、適用される規制に準拠し、専用のレガシーシステムセキュリティで顧客と会社を危険から保護する必要があります。
保険会社がレガシーシステムのセキュリティに対処する必要がある理由
サイバー犯罪はビッグビジネスです。 ハッキングや同様の行為は、2015年に世界経済に3兆ドルの損害を与え、2021年までに年間最大6兆ドルの費用がかかると予測されていると、Cybersecurity Venturesの創設者である Steve Morgan氏は述べています。 メリーランド大学の ミシェル・クキエ 准教授の研究によると、ハッカーは平均して39秒ごとに世界のどこかでコンピューターシステムを攻撃していると推定されています。
レガシーシステムは、設定が古いか準拠していないため、保険会社のデータを盗んだり、デジタルのいたずらを引き起こしたりしようとしている人にとって、より簡単にアクセスできます。
なぜ組織はレガシーシステムを愛するのでしょうか?
レガシーシステムは、世界中の企業やその他の組織で一般的に使用されています。 多くの場合、組織は古いソフトウェアを使用し続けますが、それはそのソフトウェアが重要なシステムや情報の生命維持装置として機能するためです。
たとえば、Microsoftが2014年にWindows XPのサポートを終了すると発表したとき、米国国防総省は、国防総省がWindows 10に移行している間に支援を求めました。 技術ジャーナリストの ジェレミー・スー氏によると、2014年には世界中のコンピューターの約30%がまだWindows XPを実行しており、その中には多くの重要な米軍システムが含まれていました。
また、組織は、ソフトウェアとそのメンテナンスへの投資価値を最大化するために、レガシーシステムを引き続き使用することもできます。 「インフラストラクチャに投資するとき、組織は製品から一定の期間を引き出すことを期待して投資します。このライフサイクルは、複数年にわたる償却予算や事業計画の一部となり、財務責任者は絶対に必要な場合を除き、手を引くことを嫌います」と、情報セキュリティ研究者で Venkon.us の創設者である Jaime Manteiga氏は述べています。
最後に、レガシーシステムは、ビジネスのニーズを正確に実行するカスタムビルドのソフトウェアであるため、保守できる可能性があるとManteiga氏は付け加えます。 これらのカスタムシステムの交換は、費用がかかり、困難な場合があります。
しかし、レガシーシステムが一般的で、価値があり、不可欠であるという事実は、リスクがないという意味ではありません。 多くの場合、保険会社は、これ以上の選択肢がないため、重大なセキュリティリスクをもたらすレガシーシステムを使用していることに気づきます。 たとえば、主要なプラットフォームに機能的な代替品がない場合や、ソフトウェアの一部は動作するが最新のセキュリティ法や規制に準拠していない場合があります。 このような場合、レガシーシステムのセキュリティに注意を払う必要があります。
イージーイン。
レガシーシステムの古いセキュリティが、そのシステム内に保存されている情報を危険にさらす可能性があることは容易に理解できます。 ただし、これらのシステムは、保険会社のネットワーク上の他のすべてのシステムにもリスクをもたらします。
たとえば、情報システムに既知の脆弱性を含む 15 年前のオペレーティング システムを搭載したサーバーが含まれている保険会社を想像してみてください。 この脆弱性に対処しないままにしておくと、不正アクセスの扉を開くことになります。
「攻撃者がパッチが適用されていないこの1台のマシンにアクセスできると(パッチが適切に適用された最新のサーバーをハッキングするよりもはるかに簡単です)、ネットワークに横方向に深く侵入できます」と、データセンターおよびクラウドセキュリティ企業Guardicoreの製品担当バイスプレジデントである Lior Neudorfer氏は説明します。
この例は、完全に想像上のものではありません。 2019年5月、MicrosoftはWindowsXPおよびWindowsServer2003のパッチをリリースしました。 どちらのオペレーティングシステムも20周年を迎えようとしているが、まだ多くの組織のITシステムの一部として実行されていると、Guardicoreの Daniel Goldberg氏とOphir Harpaz 氏は書いている。
ハッカーは、アクセスを得るために、すでにネットワーク上の最も安全性の低いノードを探しています。 有名な例としては、ハッカーがスマート水槽のセンサーを使用してラスベガスのカジノのネットワークにアクセスし、最終的にカジノの常連客に関する情報に関するデータベース(カジノが安全だと思っていたデータ)に侵入しました。
「誰かが水槽を使ってネットワークに侵入し、水槽に入るとスキャンして他の脆弱性を見つけ、ネットワーク内の他の場所に横移動しました」と、サイバーAI企業であるDarktraceのサイバーインテリジェンス&分析担当ディレクターである Justin Fier氏は述べています。
魚の水槽のように、レガシーシステムは保険会社のネットワークの最も弱い部分を表し、ITインフラストラクチャ全体を脆弱にする可能性があります。
レガシーシステムにおけるデータセキュリティの課題
レガシーシステムは、データセキュリティの課題の中心にあることがよくあります。 「レガシーITシステムは、多くの場合、サイバー侵害インシデントの中心であり、通常、廃止措置は選択肢にないため、情報セキュリティの専門家はリスクを管理する必要があります」と、ユニリーバのバイスプレジデント兼グローバル最高情報セキュリティ責任者である ボビー・フォードは述べています。
レガシーシステムは、ITチームに多くの課題をもたらします。 たとえば、セキュリティパッチを含む新しいソフトウェアアップデートは、古いシステムに適用するのが難しくなります。 また、レガシーシステムには、既存のセキュリティ制御に関する適切なドキュメントが不足している場合もあります。 このドキュメントがないと、ITチームはファイアウォール、暗号化ユニット、マルウェア検出ツール、その他のセキュリティツールを追加するのが難しくなると、カーネギーメロン大学ソフトウェアエンジニアリング研究所のシニアエンジニア であるSusan Crozier Cox 氏は書いています。
さらに、ITチームは、レガシーシステムを安全に保つために、より大きなプレッシャーに直面しています。 チームは、絶えず変化するセキュリティリスクとツールを常に把握するだけでなく、それらのリスクとツールがレガシーシステム(適切なドキュメントが存在しない可能性のあるシステム)のコンテキストで正しく理解され、適応されていることを確認する必要があります。
これらすべての課題により、レガシーシステムの保守と保護が困難になる可能性があります。 同時に、まったく新しいシステムに切り替えるための経済的および不便なコストも同様に困難に思えるかもしれません。
レガシーシステムのセキュリティ更新のベストプラクティス
レガシーシステムは、多くの場合、損害保険会社の日常業務で重要な役割を果たします。 レガシーシステムのセキュリティを更新および保持するためのベストプラクティスに従うことで、保険会社はレガシーシステムのデータを安全に使用できるようになります。
チームとして働く。
レガシーシステムのセキュリティには、経験豊富なITセキュリティ専門家の助けが必要ですが、プロジェクトを彼らだけに任せることはできません。 むしろ、セキュリティ専門家とビジネス専門家が協力する必要があります。
「セキュリティ専門家の役割は、サイバー攻撃の可能性と潜在的な影響を評価することであり、ビジネス [professionals] の役割は、どのシステムとプロセスが最も重要なかを特定することです」とFord氏は説明します。
セキュリティの視野を広げます。
多くの保険会社は、ビジネスエコシステムの構築を模索しており、他の企業と提携して、保険会社を必要な場所に正確に配置して、顧客の人生の旅のあらゆる段階で支援しています。
アプリケーション処理インターフェース(API)を使用してソフトウェアとシステムを接続し、データ転送と共有を改善するなど、エコシステムの構築をサポートするテクノロジーは数多くあります。 しかし、レガシーシステムがAPI駆動型のエコシステムに含まれると、特にレガシーテクノロジーを保護するためのガイドラインが不足している場合、プロセスはより複雑になると、Mphasisのバンキングおよび資本市場ソリューション責任者である Shuvo G. Roy氏は書いています。
レガシーシステムは、保険会社が実行可能なエコシステムを構築するのを止める必要はありません。 しかし、保険会社とそのエコシステムパートナーは、レガシーシステムが参入したときに発生する追加のセキュリティ課題を考慮することで恩恵を受けることができます。
効率性を取り入れる。
新しいプラットフォームへのアップグレードコストは、圧倒的に思えるかもしれません。 ただし、それらは、古いレガシーシステムに沿って看護を続けるコストよりもかなり低くなる可能性があります。
たとえば、GAO のレポート では、連邦政府の 900 億ドルの IT 予算の約 80% が、場合によっては 50 年以上前のレガシー システムを含む古いシステムの運用と保守に費やされていると推定しています。 時間の経過とともに、レガシーシステムは組織の予算の一部を消費し、新しいテクノロジーのアップグレードに費やす方が適切になる可能性があります。 アップグレードのコストに直面した一部の企業は、レガシーシステムをモダナイズするためにファームウェアパッチに目を向けています。 パッチが効果的な場合もありますが、多くの場合、アップグレードよりも時間の経過とともにコストがかかると、Vertivの David Dedinsky氏とRicardo Duque氏は述べています。
「システムが最適化されていないため、使用率が驚くほど低く、ゾンビサーバーが非効率的になっている」と彼らは書いています。 ファームウェアパッチは、レガシーシステムを滞留させるのに役立ちますが、レガシーシステムが継続的な投資に対して不適切な選択肢となる根本的な問題に対処することはできません。
ラップアラウンドシステムのようなオプションは、保険会社がセキュリティ対策やアップグレードに取り組みながら、効率を向上させ、顧客にサービスを提供し続けるのに役立つと、In2ITの銀行・保険担当地域セールスマネージャーである Kumar Utpal氏は述べています。 セキュリティが優先されると、保険会社は既存の投資を活用しながら、最新のテクノロジーを段階的に導入する方法を見つけることができます。
画像提供:everythingpossible/©123RF.com、Konstantin Pelikh/©123RF.com、Evgeniy Shkolenko/©123RF.com
さらに読む
注目の
19 9月 2024
19 9月 2024
19 9月 2024