S&PグローバルTop100の世界大手銀行のアプリケーションセキュリティの現状

S&PグローバルTop100の世界大手銀行のアプリケーションセキュリティの現状 大手銀行100行のうち97行が、ハッカーが機密データを盗むためのWeb攻撃およびモバイル攻撃に対して脆弱です。 業界アナリストやセキュリティ専門家の間では、アプリケーションのセキュリティが重要だという意見で一致しています。 Forresterの最近の調査によると、アプリケーションセキュリティ市場は2023年までに70億米ドルを超えると予測されています。 一方、Gartnerによると、世界のサイバーセキュリティにおける支出では銀行部門がリードしていす。 この調査では、S&P Global list for 2019 に掲載されている世界最大の金融機関のアプリケーションセキュリティ、プライバシー、コンプライアンスについて報告しています。 主な調査結果 コンプライアンス: 85個のe-banking WebアプリケーションがGDPR準拠テストに失格しました。 49個のe-banking WebアプリケーションがPCI DSS準拠テストに失格しました。 25個のe-banking Webアプリケーションは、Webアプリケーションファイアウォールによって保護されていません。 セキュリティの脆弱性: 7つの E-banking Webアプリケーションには、既知の脆弱性と悪用可能な脆弱性が含まれています。 パッチが適用されていない脆弱性のうち、最も古いものは2011年以降に公開された既知のものだ。 モバイルバンキング用アプリケーションの92%に、中リスクのセキュリティの脆弱性が少なくとも1つ含まれています。 全ての銀行は、セキュリティ上の脆弱性や、管理されないまま放置されたサブドメインに関する問題を抱えています。 目次   データソースと方法論 ウェブサイトのセキュリティ SSL / TLS暗号化セキュリティ PCI DSSおよびGDPR Webサイトコンプライアンス 旧式で脆弱なWebソフトウェア Webアプリケーションファイアウォールの使用 モバイルバンキングアプリケーション フィッシング詐欺 商標権侵害とドメイン・スクワッティング 推奨事項   1.データソースと方法論 FT500リストの世界最大の企業のWebおよびモバイルアプリケーションセキュリティを対象とした以前の調査から、強化された手法を活用しました。この調査の目的のために、22カ国の世界最大の金融機関を含むS&Pグローバルリストの外部Webアプリケーション、API、およびモバイルアプリを慎重に調査しました。 次の外部資産およびアプリケーションをテストしました: ImmuniWebがサイバーセキュリティコミュニティに無料で提供している非侵入的セキュリティ、プライバシー、コンプライアンスのテストを実施しました: SSL Security Test Website Security Test Mobile App Security Test Phishing Test PCI DSSコンプライアンステストは、標準の最新バージョン(v.3.2.1)の要件2.3、4.1、6.2、6.5、および6.6を対象としています。 GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としています。 オープンソースソフトウェア(OSS)の非侵入型ソフトウェア構成分析(SCA)は、OWASP Top10リストで公開されているフィンガープリントの脆弱性があるソフトウェアバージョンについて検証しています。 2.ウェブサイトのセキュリティ SSL暗号化とWebサイトのセキュリティの両方で最高グレードの評価「A+」を獲得した主要Webサイトは、100サイト中3サイトのみでした。 www.credit-suisse.com (Switzerland) A+ www.danskebank.com (Denmark) A+ www.handelsbanken.se (Sweden) A+ 以下は、主要なWebサイトのWebサイトセキュリティグレードです。: 以下は、サブドメインのWebサイトセキュリティグレードです。: 以下は、e-banking WebアプリケーションのWebサイトセキュリティグレードです。: 3.SSL / TLS暗号化セキュリティ 以下は、主要WebサイトのSSL / TLS暗号化セキュリティグレードです。: 以下は、サブドメインのSSL / TLS暗号化セキュリティグレードです。: 以下は、e-banking WebアプリケーションのSSL / TLS暗号化セキュリティグレードです。: 4.PCI DSSおよびGDPR Webサイトコンプライアンス 以下は、主要WebサイトのPCI DSSコンプライアンステストです。: 以下は、サブドメインのPCI DSSコンプライアンステストです。: 以下は、e-banking WebアプリケーションのPCI DSSコンプライアンステストです。: 以下は、メインWebサイトのGDPRコンプライアンステストです。: 以下は、サブドメインのGDPRコンプライアンステストです。: 以下は、e-banking WebアプリケーションのGDPRコンプライアンステストです。: 5.旧式で脆弱なWebソフトウェア … Continue reading S&PグローバルTop100の世界大手銀行のアプリケーションセキュリティの現状