[Financial Express]世界的なサイバー脅威への懸念が高まる中、バングラデシュ銀行はすべての銀行、金融機関、モバイル金融サービスプロバイダー、および関係政府機関に対し、サイバーセキュリティシステムを強化するための即時の措置を求める緊急指令を出した。
同中央銀行は7月30日の回覧文書で、適切な予防措置が遅滞なく講じられなければ、同国の金融部門が深刻なサイバー攻撃に直面する可能性があると警告した。
バングラデシュ銀行の情報通信技術業務部門の部長、モハメド・トファエル・アフマド氏が署名したこの通達は、関係するすべての機関が例外なく実施しなければならない包括的な一連のセキュリティプロトコルを概説している。
技術用語と事務用語の両方で書かれたこの指示は、組織に対し、サイバーレジリエンスを確保するために24時間体制で警戒を怠らず、積極的な姿勢を取るよう促しています。通達によると、組織はすべてのソフトウェア、オペレーティングシステム、ネットワークデバイスに最新のパッチが適用されていることを確認する必要があります。
システムへのアクセスを許可する際には「最小権限」の原則に従うよう指示されており、これにより内部の脆弱性に起因するリスクが最小限に抑えられています。さらに、中央銀行は重要なデータの保護のため、3-2-1バックアップ戦略の適用を義務付けています。これは、少なくとも3つのデータのコピーを2つの異なるメディアに保存し、1つをオフサイトに保管することを意味します。
データ保護を強く推進するため、この通達では、転送中、保存中、処理中を問わず、すべての機密情報を暗号化することを義務付けています。不正アクセスを防ぐため、重要なシステムには多要素認証を導入する必要があります。
また、機関は、データの流出、ネットワーク内での横方向の移動、分散型サービス拒否(ッドS)攻撃などの異常な活動を検出できる行動分析システムを導入するよう指示されています。
リアルタイムの脅威検出と対応を確実にするために、組織は、セキュリティ情報およびイベント管理 (SIEM)、ネットワーク侵入検知システム (NIDS)、エンドポイント検出および対応 (EDR) ソリューションなどの高度なセキュリティ ツールを統合することが推奨されます。
定期的に更新される脅威シグネチャと侵害指標(IOC)の導入により、既知および新たな脅威に対する備えが強化されることが期待されます。侵害やシステム障害が発生した場合に備えて、機関は有効なインシデント対応計画を整備しておく必要があります。
中央銀行は、こうした計画において、潜在的な影響の性質を定義し、対応メカニズムの概要を示し、社内チームの責任を明確にすべきだと強調している。また、金融機関は、特にVPNや特権アカウントを使用しているリモートアクセスシステムを監視し、セキュリティを確保する必要がある。
この通達ではさらに、緊急時に迅速な対応が可能な、24時間365日体制の専任サイバー対応チームの存在が求められています。サービスの中断を防止するため、機関はシステムの回復力と可用性を高めるロードバランサーを導入することが推奨されます。また、システムとインフラの両方において、障害発生時のフォールバック計画を準備しておく必要があります。
最後に、各機関は、これらの新しいサイバーセキュリティプロトコルに沿って、事業継続計画(BCP)と災害復旧計画(DRP)を更新するよう注意喚起されました。通達は、遵守を怠った機関は今後数ヶ月で脆弱性が高まる可能性があると間接的に警告し、当局に対し、この指令を最も真剣に受け止めるよう促しました。
bdsmile@gmail.com
Bangladesh News/Financial Express 20250731
https://today.thefinancialexpress.com.bd/last-page/central-bank-warns-fis-of-serious-cyberattacks-1753897030/?date=31-07-2025
関連
