Society for Worldwide Interbank Financial Telecommunication (SWIFT) は、オンライン詐欺の増加に対抗するコミュニティとしてのセキュリティと透明性のニーズの高まりに対処するために、顧客セキュリティ プログラム、つまりすべてのユーザーを対象とした SWIFT CSP に基づくセキュリティ フレームワークを立ち上げました。
SWIFT CSP プログラムは、SWIFT カスタマー サービス コントロール フレームワーク (CSCF) と上記のコミュニティ全体の情報共有イニシアチブによって定義された一連の必須セキュリティ制御を使用して、不正行為を検出し、防止することを目的としています。このフレームワークは、確立された目標、原則、および管理を特定し、毎年改訂および見直されます。Society for Worldwide Interbank Financial Telecommunication (SWIFT) の銀行間メッセージング ネットワークを使用する組織は、新しいサイバーセキュリティ標準および関連する「保証フレームワーク」に準拠する必要があります。 SWIFT の資格を主張する組織は、次の審査プロセスを受ける必要があります。
- SWIFT 顧客セキュリティ管理フレームワーク (CSCF) に対する自己評価: 23 の必須管理と 9 つのベスト プラクティス勧告管理に基づくローカル環境の年次評価。
- SWIFT 顧客セキュリティ管理ポリシーに対する自己証明書: 各ユーザーは、年次レビューの結果に基づいて決定された管理への準拠の自己証明書を事前に提出する必要があります。
- CSCF v2022 から CSCF v2023 へ。
さらに、すべての顧客に対する認証の全体的な整合性を強化するために、CSCF v2023 に提出されたすべての認証は、内部、第 2 または第 3 の防御線 (リスク、コンプライアンス、内部監査など)、または外部の独立したレビューによってサポートされる必要があります。第三者による。
すべての SWIFT 顧客は、年次自己証明要件の「独立したレビュー」を行う必要があります。 QRC は、承認済みの SWIFT 評価サービス プロバイダーとして、SWIFT CSP ガイダンスへのコントロールの整合性を検証し、内部監査機能と連携して作業を支援します。当社の広範な SWIFT CSP 専門知識により、SWIFT による必要な独立したレビューの前に、お客様のすべての要件が確実に満たされるようにします。
監査アプローチ: 当社は、十分に文書化されたアプローチに従って、クライアントと協力してクライアントのコンプライアンス目標の達成をサポートします。これには、マイルストーンを特定した、十分に文書化された実装計画が必要です。
- ビジネスの理解: ビジネス プロセスと環境を評価して、スコープ要素を理解します。
- 監査範囲の最終決定: 詳細なアンケートがチームと共有され、監査と目的の範囲設定、計画、準備に役立ちます。
- 初期評価/準備状況: SWIFT CSCF フレームワークに従って、情報セキュリティ体制におけるリスクを特定および分析するための初期評価を実施します。
- SWIFT アーキテクチャの検証: 組織が評価要件に照らして SWIFT アーキテクチャ、リージョン、コンポーネントを特定し検証するのを支援します。
- 制御の検証: 環境ごとの制御の適用性を理解するために、必要な制御の検証とコンサルティングを実行します。
- データ フローの評価: 徹底的なシステム分析を実施して、データ フローと漏洩の可能性を評価します。
- ドキュメントのサポート: テンプレートを活用して、評価中のドキュメントのプロセスを容易にします。
- 修復サポート: 評価に応じて、SWIFT サイバーセキュリティ フレームワークに準拠するための修復サポートを提供します。
- スキャンとテスト: 強力なテスト方法を使用して、システム内の重大な脆弱性を特定します。
- 証拠のレビュー: 収集された証拠をレビューして、コンプライアンスと一致した完全性を評価します。
- 簡潔なレポート: 私たちのチームは、SWIFT テンプレートのレビュー サイクル中にカバーされたすべての調査結果を詳細に記載した包括的なレポートを文書化します。
よくある質問
SWIFT CSPとは何ですか?
SWIFT のカスタマー セキュリティ プログラム (CSP) は、一連の必須セキュリティ管理、コミュニティ全体の情報共有イニシアチブ、および自社製品の高度なセキュリティ機能を通じて、不正行為を防止および検出することを目的としています。
SWIFT CSP コンプライアンスの期限はいつですか?
SWIFT CSP では、ユーザーは 12 月 31 日までに年次自己証明書を提出する必要があります。2020 年 12 月 31 日以降は、顧客証明書とともに独立したレビューが必要です。
SWIFT に必要な独立したレビューはどのような形式で行われますか?
SWIFT 顧客が独立したレビューを取得するには、次の 2 つの方法があります。
- 内部監査: 内部監査は、クライアントの内部監査機能に従って、証明書提出機能とは独立して実行される必要があります。
- 外部監査: 外部監査は監査会社によって実行され、CSP コントロールに照らして評価されます。
SWIFT CSCF V2020 コントロールとは何ですか?
SWIFT の CSCF V2020 には、3 つの目標、8 つの原則、31 の管理 (21 は必須、10 はオプション) が含まれています。 SWIFT に必要な制御は、環境の保護、アクセスの理解と制限に重点を置いています。
SWIFT が準拠していないことを認定するとどうなりますか?
SWIFT はすべてのケースを報告します 。非準拠であり、メンバーは現地の規制当局に確認されていません。
私の組織が標的にされたり侵害されたりした疑いがある場合はどうすればよいですか?
いずれの場合も、ネットワーク内の他の組織を保護するために、すべての関連情報を共有し、問題があることをできるだけ早く SWIFT に知らせることが重要です。
