Swift（banking）ソフトウェアアーキテクチャは安全ですか？

とりわけ、Swiftは、金融取引に同じ標準化されたメッセージングシステムを使用することに同意する金融機関の協力組織です。したがって、金融機関間のメッセージングの主要な標準としてISO 20022の使用を公に推進しています。とはいえ、各メンバーは、それぞれが独自のセキュリティの脆弱性を持つ可能性のあるさまざまなプラットフォームで非常に多種多様なソフトウェアを使用して、この標準を実装する可能性があります。標準自体は少し古くなっており、おそらく改善される可能性がありますが、金融機関に脆弱性をもたらすより大きな問題は、各エンティティの実装とセキュリティ管理策の選択です。

ISO 20022規格はレビューのためにアクセスできますが、各ベンダーの実装にはおそらくアクセスできません。認定に関する限り、これらのコンポーネントは、おそらく攻撃者の観点からのセキュリティではなく、ISO 20022互換性があると認定されます。したがって、これはおそらくあなたの質問の観点からは意味のあるものではありません。

メンバーが遵守しなければならないより厳格なセキュリティ基準のセットを作成することは組織にとって賢明だと思います。おそらくPCI-DSSに似ていますが、PCI-DSSよりも強力ですが、メンバー組織からこれに対する多くの異議があると思います追加の要件は必要ありません。とはいえ、あなたは非常に有効なポイントを挙げていると思います。Swiftを使用している組織が、セキュリティのニーズに対処するために同僚に圧力をかけることは非常に賢明だと思います。さらに重要なことに、これらのメンバー組織の多くは現在、従来のセキュリティ手法を使用して、はるかにハイテクな敵と戦っています。違反に関連する将来の費用を削減するために、その組織がネットワークの強度を高めることにより重点を置く今が良い時でしょう。

最近の一連の攻撃の間に出現したように思われることの1つは、Swiftが接続されているすべての銀行に、潜在的な違反情報とサイバー攻撃を報告するよう依頼する要求を出したことです。そのため、Swiftは個々の銀行にセキュリティ上の責任の多くを任せており、Swiftネットワークを保護するための適切なセキュリティ対策を実行しない銀行は考慮していなかったようです。 。発生した攻撃の側面は、純粋な詐欺検出の観点からのSwiftトランザクションの内部監視がほとんどないことを意味する場合もあります。次のロイターの記事は、銀行間の関係も脆弱であり、弱い銀行の多くはセキュリティの短所を認める可能性が低く、これらの短所は参加しているすべての小規模銀行の間でいくらか一般的である可能性があることを指摘していますネットワークで。同様に、この記事ではSwiftの参加者が独自の非Swift検証方法を増やしてセキュリティの低いSwiftプロセスにセキュリティを追加することの重要性について説明します。業界の内部関係者がSwiftネットワークのセキュリティをあまり信頼しておらず、さまざまな点で既知のリスクであることを意味します。

http://www.reuters.com/article/us-cyber-heist-Swift-specialreport-idUSKCN0YB0DD

最後に、ISO 20022標準は、標準自体の中でセキュリティの点であまり重要ではないことに注意してください。これは非常に古い通信規格であり、今日同様のネットワークが構築された場合におそらく必要となるであろう、多くの最新のセキュリティ制御を必要としません。

• スウィフト
• Swift標準
• ISO 20022