미국 은행 및 자본 시장에 대한 주요 규정 준수 및 보안 고려 사항
소개
금융 서비스 기관은 엄격한 보안, 규정 준수 및 거버넌스 통제에 대한 수요에서 거의 모든 상업적 기업들을 상회하는 수요를 지니고 있습니다. 데이터, ID, 디바이스 및 애플리케이션의 보호는 비즈니스에 중요할 뿐만 아니라 미국 증권거래위원회(SEC), 금융 산업 규제 당국(FINRA), FFIEC(연방 금융 기관 심사 위원회) 및 CFTC(상품선물 거래위원회)와 같은 규제 기관의 규정 준수 요구 사항 및 지침의 적용을 받습니다. 또한 금융 기관은 Dodd-Frank 및 Sarbanes-Oxley Act 2002와 같은 법률의 적용을 받습니다.
오늘날 보안 경계, 내부자 위험 우려 및 공공 데이터 유출이 증가하는 오늘날의 상황에서 고객은 개인 데이터와 은행 자산을 관리하는 금융 기관을 신뢰하기 위해 금융 기관에 높은 수준의 보안을 요구합니다.
과거에는 포괄적인 통제의 필요성으로 인해 금융 기관의 대내외적인 공동 작업을 가능하게 하는 IT 시스템과 플랫폼에 직접적인 영향을 미치고 제약을 가했습니다. 오늘날 금융 서비스 직원들에게는 도입하기 쉽고 사용하기 쉬운 최신 공동 작업 플랫폼을 필요합니다. 그러나 금융 서비스는 사용자, 팀 및 부서 간에 공동 작업할 수 있는 유연성을 높이기 위해 사용자와 IT 시스템을 위협으로부터 보호하는 정책을 시행하는 보안 및 규정 준수 통제를 포기할 수 없습니다.
금융 서비스 부문에서는 다음과 같은 공동 작업 도구 및 보안 통제를 구성하고 배포할 때 신중하게 고려해야 합니다.
- 일반적인 조직 공동 작업 및 비즈니스 프로세스 시나리오의 위험 평가
- 정보 보호 및 데이터 거버넌스 요구 사항
- 사이버 보안 및 내부자 위협
- 규정 준수 요구 사항
- 기타 운영 위험
Microsoft 365는 금융 서비스 조직이 직면한 현대적 과제를 해결할 수 있는 최신 작업 공간 클라우드 환경입니다. 기업 전체에서 안전하고 유연한 협업은 엄격한 규정 준수 프레임워크를 준수하기 위해 제어 및 정책 적용과 결합됩니다. 이 문서에서는 Microsoft 365 플랫폼이 데이터와 시스템을 안전하게 보호하고 규정을 준수하도록 지원하면서 금융 서비스를 최신 공동 작업 플랫폼으로 전환하는 방법을 알아봅니다.
- Microsoft 365 및 Microsoft Teams를 사용하여 조직 및 직원 생산성 향상
- Microsoft 365를 사용하여 최신 공동 작업 보호
- 중요한 데이터 식별 및 데이터 손실 방지
- 정보 요새 방어
- 효과적인 레코드 관리를 통한 데이터 제어 및 규정 준수
- 정보 장벽으로 교신 차단 영역 구축
- 데이터 유출 및 내부 위험으로부터 보호
Microsoft 파트너인 Protiviti에서 이 문서에 기여하고 중요한 피드백을 제공했습니다.
다음의 다운로드 가능한 일러스트레이션은 이 문서를 보완합니다. Woodgrove Bank나 Contoso를 사용하여 이 문서에 설명된 기능을 적용하여 재무 서비스의 일반적인 규제 요구 사항을 해결할 수 있는 방법을 보여줍니다. 사용자 개인 용도로 이 그림을 사용할 수 있습니다.
Microsoft 365 정보 보호 및 규정 준수 그림
항목 | 설명 |
---|---|
영어: Visio로 PDF | 다운로드로 다운로드 일본어: Visio로 PDF | 다운로드로 다운로드 2020년 11월에 업데이트됨 |
포함 항목:
|
Microsoft 365 및 Teams를 사용하여 조직 및 직원 생산성 향상
공동 작업은 일반적으로 다양한 형태의 통신, 문서/데이터를 저장하고 액세스하는 능력과 더불어 필요에 따라 다른 응용 프로그램을 통합하는 능력을 필요로 합니다. 금융 서비스 직원은 일반적으로 다른 부서나 팀의 구성원, 때로는 외부 기관과 공동 작업하고 의사소통해야 합니다. 따라서 사일로를 만들거나 정보 공유를 어렵게 하는 시스템을 사용하는 것은 바람직하지 않습니다. 대신 직원이 회사 정책에 따라 안전하게 정보를 통신, 공동 작업 및 공유할 수 있도록 하는 플랫폼 및 애플리케이션을 사용하는 것이 좋습니다.
직원들에게 최신 클라우드 기반 공동 작업 플랫폼을 제공함으로써 직원들이 생산성을 높이고 민첩한 업무 방식을 찾는 데 도움이 되는 도구를 선택하고 통합할 수 있습니다. 조직을 보호하는 보안 통제 및 정보 거버넌스 정책과 함께 Teams를 사용하면 직원들이 효과적으로 의사소통하고 공동 작업할 수 있습니다.
Teams는 조직을 위한 공동 작업 허브를 제공합니다. 사람들을 모아 공동의 이니셔티브와 프로젝트를 생산적으로 수행할 수 있도록 하는 데 도움이 됩니다. 팀 구성원은 Teams를 통해 1:1 및 다자간 대화를 진행하고 문서를 공동 작업 및 작성하며 파일을 저장하고 공유할 수 있습니다. Teams는 또한 통합된 엔터프라이즈 음성 및 비디오를 통해 온라인 모임을 용이하게 합니다. Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI 및 타사 LOB(기간 업무) 응용 프로그램과 같은 Microsoft 앱으로 Teams를 사용자 지정할 수도 있습니다. Teams는 내부 팀 구성원과 팀 채널에 가입하고, 채팅 대화에 참여하고, 저장된 파일에 액세스하고, 다른 애플리케이션을 사용할 수 있는 허용된 외부 사용자가 사용하도록 설계되었습니다.
모든 Microsoft Teams는 Microsoft 365 그룹의 지원을 받습니다. 이 그룹은 Teams를 포함한 다양한 Office 365 서비스의 멤버십 서비스로 간주됩니다. Microsoft 365 그룹은 "소유자"와 "구성원"을 안전하게 구분하고 Teams 내 다양한 기능에 대한 액세스를 제어하는 데 사용됩니다. Teams는 적절한 거버넌스 통제 및 정기적으로 관리되는 액세스 검토를 함께 사용하여 구성원 및 소유자만 승인된 채널 및 기능을 활용할 수 있도록 합니다.
Teams가 금융 서비스에 도움이 되는 일반적인 시나리오는 내부 프로젝트 또는 프로그램을 실행할 때입니다. 예를 들어, 은행, 자산 관리 회사, 신용 조합 및 보험 회사를 포함한 많은 금융 기관은 자금 세탁 방지 및 기타 규정 준수 프로그램을 마련해야 합니다. IT, 소매 및 자산 관리와 같은 LOB(기간 업무) 및 금융 범죄 부서로 구성된 부서간 팀은 데이터를 서로 공유하고 프로그램이나 특정 조사에 대해 의사소통해야 할 수 있습니다. 전통적으로 이러한 프로그램은 공유 네트워크 드라이브를 사용했지만, 이러한 접근 방식은 다음과 같은 여러 가지 문제를 만들 수 있습니다.
- 한 번에 한 사람만 문서를 편집할 수 있습니다.
- 개인을 추가/제거하는 작업은 일반적으로 IT와 관련되므로 보안 관리에 많은 시간이 소요됩니다.
- 데이터가 필요하거나 원하는 기간보다 훨씬 더 오래 공유 네트워크 드라이브에 존재합니다.
Teams는 중요한 클라이언트 데이터를 안전하게 저장하고 팀 구성원 간에 중요한 주제를 논의할 수 있는 대화를 진행하기 위한 공동 작업 공간을 제공할 수 있습니다. 팀의 여러 구성원이 동시에 단일 문서를 편집하거나 공동 작업할 수 있습니다. 프로그램 소유자나 코디네이터를 팀 소유자로 구성할 수 있으며, 그런 다음 필요에 따라 구성원을 추가하고 제거할 수 있습니다.
또 다른 일반적인 시나리오는 문서를 안전하게 공동 작업하고 저장하며 관리하는 것을 포함하여 Teams를 "가상 데이터 룸"으로 사용하는 것입니다. 투자 은행, 자산 관리 또는 사모펀드 회사의 팀 구성원과 신디케이트는 거래 또는 투자에 안전하게 협업할 수 있습니다. 부서간 팀은 이러한 거래를 계획하고 처리하는 데 관여하는 경우가 많으며, 데이터를 안전하게 공유하고 대화를 수행하는 능력이 핵심적인 요구 사항입니다. 관련 문서를 외부 투자자와 안전하게 공유하는 것도 핵심 요구 사항입니다. Teams는 투자 데이터를 중앙에 저장, 보호 및 공유할 수 있으며 안전하고 완전한 감사가 가능한 위치를 제공합니다.
Teams: 공동 작업 개선 및 규정 준수 위험 감소
Microsoft 365는 Microsoft 365 그룹을 기본 멤버십 서비스로 사용하여 Teams용 다른 일반적인 정책 기능을 제공합니다. 이러한 정책은 공동 작업을 개선하고 규정 준수 요건을 충족하는 데 도움이 될 수 있습니다.
Microsoft 365 그룹 이름 지정 정책은 Microsoft 365 그룹과 팀이 회사 정책에 따라 이름을 지정하도록 도와줍니다. 이름이 적절하지 않으면 문제가 될 수 있습니다. 예를 들어, 이름이 적절하게 적용되지 않으면 직원들이 어떤 팀과 함께 일하거나 정보를 공유해야 하는지 알 수 없습니다. 그룹 이름 지정 정책(접두사/접미사 기반 정책 및 사용자 지정 차단 단어 지원 포함)은 그룹 내 "위생"을 강화하고 예약어 또는 부적절한 용어와 같은 특정 단어의 사용을 방지할 수 있습니다.
Microsoft 365 그룹 만료 정책은 Microsoft 365 그룹과 팀이 조직이 원하거나 필요한 기간보다 더 오랫동안 유지되지 않도록 합니다. 이 기능은 다음 두 가지 주요 정보 관리 문제를 방지하는 데 도움이 됩니다.
- 필요하지 않거나 사용되지 않는 팀의 확산.
- 조직에서 더 이상 필요하지 않거나 사용하지 않는 데이터의 과잉 보존(법적 보유/보존의 경우 제외).
관리자는 Microsoft 365 그룹의 만료 기간을 90일, 180일 또는 365일과 같이 지정할 수 있습니다. Microsoft 365 그룹에서 지원하는 서비스가 기간 만료로 비활성 상태인 경우 그룹 소유자에게 알림이 전송됩니다. 아무런 조치도 취하지 않으면 Microsoft 365 그룹과 Teams를 포함한 모든 관련 서비스가 삭제됩니다.
Teams 및 기타 그룹 기반 서비스에 저장된 데이터의 과잉 보존은 금융 서비스 조직에 위험을 초래할 수 있습니다. Microsoft 365 그룹 만료 정책은 더 이상 필요하지 않은 데이터 보존을 방지할 수 있는 권장 방법입니다. Microsoft 365는 기본 제공 보존 레이블 및 정책을 함께 사용하여 조직이 기업 정책 및 규정 준수 의무를 충족하는 데 필요한 데이터만 보존하도록 지원합니다.
Teams: 사용자 지정 요구 사항을 쉽게 통합
Teams는 기본적으로 셀프 서비스 팀 만들기를 사용할 수 있습니다. 그러나 많은 규제 대상 조직은 직원들이 현재 어떤 공동 작업 채널을 사용하고 있는지, 어떤 채널에 중요한 데이터와 조직 채널의 소유권이 포함될 수 있는지를 제어하고 이해하고자 합니다. 이러한 거버넌스 통제를 쉽게 할 수 있도록 조직에서 Microsoft 365를 통해 셀프 서비스 팀 만들기를 사용하지 않도록 설정할 수 있습니다. 조직은 Microsoft Power Apps 및 Power Automate와 같은 비즈니스 프로세스 자동화 도구를 활용하여 직원들이 새로운 팀 만들기를 요청할 수 있도록 간단한 양식과 승인 프로세스를 만들고 배포할 수 있습니다. 승인되면 팀이 자동으로 프로비저닝되고 요청자에게 링크가 전송될 수 있습니다. 이러한 방식으로 조직은 규정 준수 제어 및 사용자 지정 요구 사항을 설계하고 팀 생성 프로세스에 통합할 수 있습니다.
허용되는 디지털 통신 채널
FINRA는 규제 대상 기업의 디지털 통신이 FINRA 규칙 시리즈 4510뿐만 아니라 증권거래법 규칙 17a-3 및 17a-4의 기록 보존 요건을 충족한다고 강조합니다. FINRA는 조직의 규정 준수 및 위험 관리를 개선하는 데 도움이 되는 주요 연구 결과, 관찰 및 효과적인 관행이 포함된 연례 보고서를 발표합니다. FINRA는 2019년 검사 결과 및 관찰 보고서에서 기업이 감독 및 기록 보존 요건을 준수하는 데 어려움을 겪는 주요 영역이 디지털 통신임을 확인했습니다.
조직에서 직원이 앱 기반 메시징 서비스 또는 공동 작업 플랫폼과 같은 특정 응용 프로그램을 사용하도록 허용하는 경우, 회사는 비즈니스 기록을 보관하고 해당 응용 프로그램에서 해당 직원의 활동과 커뮤니케이션을 감독해야 합니다. 조직은 FINRA 규칙 및 증권법을 준수하기 위해 실사를 수행하고 직원들의 이러한 앱 사용과 관련된 규칙 위반 가능성을 추적할 책임이 있습니다.
FINRA가 권장하는 효율적인 방법은 다음과 같습니다.
- 디지털 통신 채널을 위한 포괄적 거버넌스 프로그램을 구축합니다. 어떤 디지털 통신 채널이 허용되는지에 대한 조직의 결정을 관리하고 각 디지털 채널에 대한 규정 준수 프로세스를 정의합니다. 급변하는 디지털 통신 채널 환경을 면밀히 모니터링하고 규정 준수 프로세스를 최신 상태로 유지합니다.
- 허용되는 디지털 채널을 명확하게 정의하고 제어합니다. 승인된 디지털 채널과 금지된 디지털 채널을 모두 정의합니다. 기록 관리 및 감독 요건을 준수하는 조직의 능력을 제한하는 금지된 디지털 채널 또는 디지털 채널 내 금지된 기능의 사용을 차단 또는 제한합니다.
- 디지털 통신을 위한 교육을 제공합니다. 등록된 담당자에게 승인된 디지털 채널에 대한 액세스 권한을 부여하기 전에 의무 교육 프로그램을 시행합니다. 교육은 비즈니스와 개인 디지털 통신에 대한 조직의 기대치를 명확히 하는 데 도움이 되며 각 채널의 허용된 기능을 준수하는 방식으로 직원을 안내합니다.
디지털 통신에 대한 FINRA의 조사 결과 및 관찰은 모든 비즈니스 관련 통신을 유지하기 위한 SEC 규칙 17a-4, 통신의 감독 및 검토를 위한 FINRA 규칙 3110 및 3120, 기록 보존을 위한 규칙 시리즈 4510을 준수하는 조직의 능력과 밀접하게 관련됩니다. CFTC(상품선물거래위원회)는 17 CFR 131에 따라 유사한 요건을 공포합니다. 이러한 규정은 이 문서의 뒷부분에서 심층적으로 논의합니다.
Teams는 포괄적인 Microsoft 365 보안 및 규정 준수 제품 제품군과 함께 금융 서비스 기관이 비즈니스를 효과적으로 수행하고 규정을 준수할 수 있는 기업 디지털 통신 채널을 제공합니다. 이 문서의 나머지 부분에서는 레코드 관리, 정보 보호, 정보 장벽 및 감독 제어를 위한 Microsoft 365 기본 제공 기능이 Teams에 이러한 규정 의무를 충족하는 데 도움이 되는 강력한 도구 집합을 제공하는 방법을 설명합니다.
Microsoft 365를 통해 최신 공동 작업 보호
사용자 ID 보안 및 액세스 제어
고객 정보, 재무 문서 및 애플리케이션에 대한 액세스 보호는 사용자 ID를 강력하게 보호하는 것부터 시작합니다. 이를 위해서는 엔터프라이즈가 ID를 저장 및 관리하고 신뢰할 수 있는 인증 수단을 제공하고 해당 애플리케이션에 대한 액세스를 동적으로 제어할 수 있는 보안 플랫폼이 필요합니다.
직원이 업무를 수행하면서 응용 프로그램에서 응용 프로그램으로 또는 여러 위치와 장치 사이를 이동할 수 있습니다. 각 단계에서 데이터에 대한 액세스가 인증되어야 합니다. 인증 프로세스는 ID가 손상되지 않도록 강력한 프로토콜과 여러 가지 인증 요소(예: 일회성 SMS 패스 코드, 인증자 앱 및 인증서)를 지원해야 합니다. 위험 기반 액세스 정책을 시행하는 것은 내부자 위협, 의도치 않은 데이터 유출 및 데이터 누수로부터 금융 데이터와 응용 프로그램을 보호하는 데 중요합니다.
Microsoft 365는 id가 중앙에서 저장되고 안전하게 관리되는 Microsoft Entra ID 보안 ID 플랫폼을 제공합니다. Microsoft Entra ID 관련 Microsoft 365 보안 서비스와 함께 직원에게 안전하게 작업하는 데 필요한 액세스 권한을 제공하는 동시에 위협으로부터 organization 보호하는 기반을 형성합니다.
Microsoft Entra MFA(다단계 인증)는 플랫폼에 기본 제공되며 중요한 금융 데이터 및 애플리케이션에 액세스할 때 사용자 ID를 확인하는 데 도움이 되는 추가 인증 증명을 제공합니다. Azure MFA는 암호와 알려진 모바일 장치와 같이 적어도 두 가지 형태의 인증을 필요로 합니다. 다음과 같은 몇 가지 2단계 인증 옵션을 지원합니다.
- Microsoft Authenticator 앱
- SMS를 통한 일회성 암호 전달
- 사용자가 PIN을 입력해야 하는 전화 통화
암호가 손상된 경우에도 잠재적 해커가 조직 데이터에 대한 액세스를 얻기 위해서는 여전히 사용자의 전화가 필요합니다. 또한 Microsoft 365는 최신 인증을 주요 프로토콜로 사용하며, 이는 Microsoft Outlook 및 기타 Microsoft Office 응용 프로그램을 포함하여 직원들이 매일 사용하는 공동 작업 도구에 대한 강력하고 다양한 인증 환경을 제공합니다.
암호 없음
암호는 보안 체인에서 가장 취약한 연결고리입니다. 추가 확인이 없으면 단일 실패 지점이 될 수 있습니다. Microsoft는 금융 기관의 요구에 맞는 광범위한 인증 옵션을 지원합니다.
암호 없음 방법은 MFA를 더 편리하게 만드는 데 도움이 됩니다. 모든 MFA가 암호가 없는 것은 아니지만 암호 없는 기술은 다단계 인증을 사용합니다. Microsoft, Google 및 기타 업계 리더는 FIDO(Fast IDentity Online)라는 그룹의 웹 및 모바일 장치에서 더욱 간단하고 강력한 인증 환경을 구현할 수 있는 표준을 개발했습니다. 최근 개발된 FIDO2 표준을 사용하면 사용자가 암호 없이도 쉽고 안전하게 인증하여 피싱을 제거할 수 있습니다.
암호가 없는 Microsoft MFA 방법은 다음을 포함합니다.
- Microsoft Authenticator: 유연성, 편의성 및 비용을 위해 Microsoft Authenticator 모바일 앱을 사용하는 것이 좋습니다. Microsoft Authenticator는 Microsoft Entra 연결된 앱에 대한 생체 인식, 푸시 알림 및 일회성 암호를 지원합니다. Apple 및 Android 앱 스토어에서 제공됩니다.
- Windows Hello: PC에 기본 제공되는 환경의 경우 Windows Hello를 사용하는 것이 좋습니다. 이을 통해 생체 인식 정보(예: 얼굴 또는 지문)로 자동으로 로그인할 수 있습니다.
- FIDO2 보안 키는 Yubico, Feitian Technologies 및 HID Global 등의 여러 Microsoft 파트너가 USB, NFC 활성화된 배지 또는 생체 인식 키로 제공합니다.
Microsoft Entra 조건부 액세스는 액세스 제어 결정을 자동화하고 회사 자산을 보호하기 위한 조직 정책을 적용하기 위한 강력한 솔루션을 제공합니다. 대표적인 예는 재무 설계사가 중요한 고객 데이터가 있는 응용 프로그램에 액세스하려고 하는 경우입니다. 다단계 인증을 수행하여 해당 애플리케이션에 특별히 액세스해야 하며 회사 관리 디바이스에서 액세스해야 합니다. Azure 조건부 액세스는 사용자의 액세스 요청에 대한 신호(예: 사용자, 장치, 위치 및 네트워크 및 사용자가 액세스하려는 응용 프로그램에 대한 속성)를 결합합니다. 구성된 정책에 따라 응용 프로그램에 대한 액세스 시도를 동적으로 평가합니다. 사용자 또는 디바이스 위험이 상승되거나 다른 조건이 충족되지 않는 경우 Microsoft Entra ID MFA 요구, 보안 암호 재설정 요구 또는 액세스 제한 또는 차단과 같은 정책을 자동으로 적용할 수 있습니다. 이를 통해 동적으로 변화하는 환경에서 중요한 조직 자산을 보호할 수 있습니다.
Microsoft Entra ID 및 관련 Microsoft 365 보안 서비스는 데이터 및 애플리케이션에 대한 액세스를 보호하고 규정 준수 의무를 충족할 수 있도록 최신 클라우드 공동 작업 플랫폼을 금융 기관에 배포할 수 있는 기반을 제공합니다. 이러한 도구는 다음과 같은 주요 기능을 제공합니다.
- 중앙에서 사용자 ID를 저장하고 안전하게 관리합니다.
- 다단계 인증을 비롯한 강력한 인증 프로토콜을 사용하여 액세스 요청에 대한 사용자를 인증하고 모든 애플리케이션에서 일관되고 강력한 인증 환경을 제공합니다.
- ID, 사용자/그룹 구성원, 응용 프로그램, 장치, 네트워크, 위치 및 실시간 위험 점수를 포함한 여러 신호를 정책 의사 결정 프로세스에 통합하여 모든 액세스 요청에 대한 정책을 동적으로 확인합니다.
- 사용자 동작 및 파일 속성을 기반으로 세분화된 정책을 확인하고 필요한 경우 추가 보안 조치를 동적으로 시행합니다.
- 조직에서 "섀도 IT"를 식별하고 InfoSec(정보보안) 팀이 클라우드 응용 프로그램을 승인하거나 차단할 수 있습니다.
- Microsoft 및 타사 클라우드 응용 프로그램에 대한 액세스를 모니터링하고 제어합니다.
- 전자 메일 피싱 및 랜섬웨어 공격으로부터 사전에 보호합니다.
Microsoft Entra ID Protection
조건부 액세스는 의심스러운 요청으로부터 리소스를 보호하지만, ID 보호는 더 나아가 의심스러운 사용자 계정에 대한 지속적인 위험 탐지 및 치료를 제공합니다. ID 보호를 통해 24시간 내내 의심스러운 사용자 및 로그인 동작에 대한 알림을 받을 수 있습니다. 자동 응답은 유출된 ID가 악용되는 것을 사전에 방지합니다.
ID 보호는 조직이 다음의 세 가지 주요 작업을 수행하는 데 사용할 수 있는 도구입니다.
- ID 기반 위험의 탐지 및 치료를 자동화합니다.
- 포털의 데이터를 사용하여 위험을 조사합니다.
- 추가 분석을 위해 위험 탐지 데이터를 타사 유틸리티로 내보냅니다.
ID 보호는 Microsoft가 사용자를 보호하기 위해 Microsoft Entra ID 있는 조직, Microsoft 계정의 소비자 공간 및 Xbox를 사용한 게임에서 얻은 지식을 사용합니다. Microsoft는 매일 65조 개의 신호를 분석하여 고객을 식별하고 위협으로부터 보호합니다. ID 보호에 의해 생성되고 전달되는 신호는 액세스 결정을 내리는 데 사용되는 조건부 액세스와 같은 도구에 추가로 전달될 수 있습니다. 또한 조직의 시행 정책에 따라 추가 조사를 위해 SIEM(보안 정보 및 이벤트 관리) 도구로 전달될 수도 있습니다.
조직은 ID 보호를 통해 Microsoft 에코시스템 전반에 걸쳐 UEBA(휴리스틱, 사용자 및 엔터티 동작 분석) 및 ML(머신 러닝)을 기반으로 하는 고급 탐지를 통해 제공되는 클라우드 인텔리전스를 활용하여 ID 유출을 자동으로 방지할 수 있습니다.
중요한 데이터 식별 및 데이터 손실 방지
모든 조직은 Microsoft 365를 사용하여 이 다음을 포함한 강력한 기능의 조합을 통해 조직 내의 중요한 데이터를 식별할 수 있습니다.
- 중요한 데이터의 사용자 기반 분류 및 자동 분류를 위한 Microsoft Purview Information Protection.
- 중요한 데이터 유형(즉, 정규 표현식)과 키워드 및 정책 시행을 사용하여 중요한 데이터를 자동으로 식별하기 위한 Microsoft Purview DLP(데이터 손실 방지)
Microsoft Purview Information Protection을 사용하면 조직에서 민감도 레이블을 사용하여 문서와 이메일을 지능적으로 분류할 수 있습니다. 민감도 레이블은 사용자가 Microsoft Office 응용 프로그램의 문서와 Outlook의 전자 메일에 직접 적용할 수 있습니다. 레이블은 문서 표시, 암호화를 통한 보호 및 권한 관리 적용을 자동으로 적용할 수 있습니다. 중요한 데이터를 자동으로 찾고 분류하기 위해 키워드 및 중요한 데이터 유형(예: 신용 카드 번호, 사회 보험 번호 및 주민 등록 번호)을 사용하는 정책을 구성하여 민감도 레이블을 자동으로 적용할 수도 있습니다.
Microsoft는 또한 단순히 패턴 일치나 콘텐츠 내 요소를 사용하는 대신 기계 학습 모델을 사용하여 콘텐츠에 따라 중요한 데이터를 식별하는 “학습 가능한 분류자”를 제공합니다. 분류자는 분류할 콘텐츠의 다양한 예제를 확인하여 콘텐츠 유형을 식별하는 방법을 학습합니다. 분류자 교육은 특정 범주의 콘텐츠에 대한 예제를 제공함으로써 시작됩니다. 이러한 예제를 학습한 후에는 일치하는 예제와 일치하지 않는 예제를 혼합하여 모델을 테스트합니다. 분류자는 주어진 예제가 범주에 속하는지 여부를 예측합니다. 그런 다음 분류자 예측의 정확도를 높이기 위해 결과를 확인하고 양성, 음성, 가양성 및 가음성으로 정렬합니다. 학습된 분류자가 게시되면 Microsoft SharePoint Online, Exchange Online 및 비즈니스용 OneDrive의 콘텐츠를 처리하고 자동으로 콘텐츠를 분류합니다.
문서 및 전자 메일에 민감도 레이블을 적용하면 개체 내에서 선택한 민감도를 식별하는 메타데이터가 포함됩니다. 그런 다음 민감도는 데이터와 함께 이동합니다. 따라서 레이블이 있는 문서는 사용자의 데스크탑 또는 온-프레미스 시스템 내에 저장되더라도 계속 보호됩니다. 이 기능을 사용하면 Microsoft Defender for Cloud Apps 또는 Microsoft Edge 장치와 같은 다른 Microsoft 365 솔루션에서 중요한 데이터를 식별하고 자동으로 보안 제어를 시행할 수 있습니다. 민감도 레이블은 직원들에게 조직 내의 어떤 데이터가 중요한 것으로 간주되는지와 해당 데이터를 수신할 때 어떻게 처리하는지에 대해 교육할 수 있는 추가적인 이점을 제공합니다.
Microsoft Purview DLP(데이터 손실 방지)는 중요한 데이터를 검색한 다음 해당 개체에 대한 정책을 시행하여 중요한 데이터가 포함된 문서, 이메일 및 대화를 자동으로 식별합니다. 정책은 SharePoint 및 비즈니스용 OneDrive의 문서에 적용됩니다. 또한 사용자가 전자 메일을 보낼 때와 Teams 채팅 및 채널 대화에도 적용됩니다. 키워드, 중요한 데이터 유형, 보존 레이블 및 데이터의 조직 내부 또는 외부 공유 여부를 찾도록 정책을 구성할 수 있습니다. 조직이 DLP 정책을 세부적으로 조정하여 가양성을 줄일 수 있도록 제어 기능이 제공됩니다. 중요한 데이터가 발견되면 Microsoft 365 응용 프로그램 내 사용자에게 사용자 지정 가능한 정책 팁을 표시하여 콘텐츠에 중요한 데이터가 포함되어 있음을 알리고 수정 조치를 제안할 수 있습니다. 정책은 또한 사용자가 문서에 액세스하거나 문서를 공유하거나 특정 유형의 중요한 데이터가 포함된 전자 메일을 보내지 못하게 금지할 수 있습니다. Microsoft 365는 100가지가 넘는 중요한 데이터 유형을 기본으로 지원합니다. 조직은 사용자 지정 중요 데이터 유형이 조직의 정책을 충족하도록 구성할 수 있습니다.
Microsoft Purview Information Protection 및 DLP 정책을 조직에 배포하려면 직원이 조직의 데이터 분류 스키마와 중요한 데이터 유형을 이해할 수 있도록 신중한 계획과 사용자 교육 프로그램이 필요합니다. 직원들에게 중요한 데이터를 식별하고 이를 처리하는 방법을 이해하는 데 도움이 되는 도구와 교육 프로그램을 제공함하여 직원들이 정보 보안 위험을 완화하는 솔루션에 동참할 수 있습니다.
ID 보호에 의해 생성되고 전달되는 신호는 액세스 결정을 내리기 위한 조건부 액세스와 같은 도구나 조직의 시행 정책에 따라 조사하기 위한 SIEM(보안 정보 및 이벤트 관리) 도구로 전달될 수 있습니다.
조직은 ID 보호를 통해 Microsoft 에코시스템 전반에 걸쳐 휴리스틱, 사용자 및 엔터티 동작 분석 및 머신 러닝을 기반으로 하는 고급 탐지를 통해 제공되는 클라우드 인텔리전스를 활용하여 ID 유출을 자동으로 방지할 수 있습니다.
정보 요새 방어
Microsoft는 최근 진화하는 위협 환경에서 최신 organization 보호하기 위해 설계된 Microsoft Defender XDR 솔루션을 출시했습니다. Threat Protection 솔루션은 지능형 보안 그래프를 활용하여 여러 공격 경로에 대한 포괄적인 통합 보안을 제공합니다.
지능형 보안 그래프
Microsoft 365의 보안 서비스는 지능형 보안 그래프를 통해 제공됩니다. 사이버 위협에 대처하기 위해 지능형 보안 그래프는 고급 분석을 사용하여 Microsoft와 파트너의 위협 인텔리전스와 보안 신호를 연결합니다. Microsoft는 대규모의 글로벌 서비스를 운영하여 스택 전체의 보호 계층을 지원하는 수조 개의 보안 신호를 수집합니다. 기계 학습 모델은 이러한 인텔리전스를 평가하며 당사 제품과 서비스 전체에서 신호 및 위협에 대한 인사이트를 광범위하게 공유합니다. 이를 통해 위협을 신속하게 감지 및 대응하고 문제를 해결할 수 있도록 고객에게 조치 가능한 알림 및 정보를 제공합니다. 머신 러닝 모델은 새로운 정보로 지속적으로 훈련되고 업데이트되어 더 안전한 제품을 구축하고 사전 보안을 제공합니다.
Office 365용 Mircosoft Defender는 전자 메일 및 Office 문서를 통해 전달되는 악성 링크 및 맬웨어로부터 조직을 보호하는 통합적인 Microsoft 365 서비스를 제공합니다. 현재 사용자에게 영향을 주는 가장 일반적인 공격 벡터 중 하나는 전자 메일 피싱 공격입니다. 이러한 공격은 특정 사용자를 대상으로 할 수 있으며 사용자에게 악성 링크를 선택하거나 맬웨어가 포함된 첨부 파일을 열도록 요청하는 일부 작업 호출과 함께 매우 설득력이 있을 수 있습니다. 컴퓨터가 감염되면 공격자는 사용자의 자격 증명을 훔쳐 조직에 침투하거나 전자 메일 및 데이터를 빼내어 중요한 정보를 찾을 수 있습니다. Office 365용 Defender는 사용자가 클릭 시 문서 및 링크의 악의적인 의도를 평가하여 안전한 첨부 파일 및 안전한 링크를 지원하고 액세스를 차단합니다. 전자 메일 첨부 파일은 사용자의 사서함으로 배달되기 전에 보호된 샌드박스에서 열립니다. 또한 악성 URL이 있는지 Office 문서의 링크를 평가합니다. 또한 Office 365용 Defender는 SharePoint Online, 비즈니스용 OneDrive 및 Teams의 링크와 파일을 보호합니다. 악의적인 파일이 검색되면 Office 365용 Defender 해당 파일을 자동으로 잠가 잠재적인 손상을 줄입니다.
엔드포인트용 Microsoft Defender는 예방적 보호, 침해 사후 감지, 자동 조사 및 대응을 위한 통합적인 엔드포인트 보안 플랫폼입니다. 엔드포인트용 Defender는 엔터프라이즈 엔드포인트에서 중요한 데이터를 검색하고 보호하기 위한 기능을 기본적으로 제공합니다.
Microsoft Defender for Cloud Apps를 통해 조직은 세부적인 수준으로 정책을 시행하고 머신 러닝을 사용하여 자동으로 정의된 개별 사용자 프로필을 기반으로 이상 행동을 탐지할 수 있습니다. Microsoft Defender for Cloud Apps 정책은 Azure 조건부 액세스 정책을 기반으로 하며, 액세스되는 문서의 속성 및 사용자 동작과 관련된 추가 신호를 평가하여 중요한 회사 자산을 보호할 수 있습니다. 시간이 지남에 따라 Microsoft Defender for Cloud Apps는 액세스하는 데이터 및 사용하는 응용 프로그램과 관련하여 각 직원의 일반적인 행동을 학습합니다. 학습된 행동 패턴을 기반으로 직원이 해당 행동 프로필 외에서 행동하는 경우 정책이 자동으로 보안 제어를 적용할 수 있습니다. 예를 들어 직원이 일반적으로 월요일부터 금요일까지 오전 9시부터 오후 5시까지 회계 응용 프로그램에 액세스하지만, 일요일 저녁 갑자기 해당 응용 프로그램에 자주 액세스하기 시작하면 Microsoft Defender for Cloud Apps는 사용자에게 재인증을 요구하는 정책을 동적으로 적용할 수 있습니다. 이를 통해 사용자의 자격 증명이 손상되지 않았는지 확인할 수 있습니다. Microsoft Defender for Cloud Apps는 또한 조직에서 "섀도 IT"를 식별하는 데 도움을 줄 수 있습니다. 직원이 중요한 데이터를 작업할 때 정보 보안 팀이 이를 통해 승인된 도구를 사용하도록 할 수 있습니다. 마지막으로 Microsoft Defender for Cloud Apps는 Microsoft 365 플랫폼 외부를 포함하여 클라우드의 어디서나 중요한 데이터를 보호할 수 있습니다. 이를 통해 조직은 특정 외부 클라우드 앱을 승인(또는 비승인)하여 액세스를 제어하고 사용량을 모니터링할 수 있습니다.
Microsoft Defender for Identity 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 organization 대상으로 하는 악의적인 내부자 작업을 식별, 탐지 및 조사하는 클라우드 기반 보안 솔루션입니다. AATP를 통해 SecOp(보안 운영) 분석가 및 보안 전문가는 하이브리드 환경에서 다음과 같이 고급 공격을 탐지할 수 있습니다.
- 학습 기반 분석을 사용하여 사용자, 엔터티 동작 및 활동을 모니터링합니다.
- Active Directory에 저장된 사용자 ID와 자격 증명을 보호합니다.
- 킬체인에서 수상한 사용자 활동과 고급 공격을 식별하고 조사합니다.
- 빠른 분류를 위해 간단한 시간 표시 막대에 명확한 인시던트 정보를 제공합니다.
데이터 제어 및 레코드 관리
금융 기관은 회사 보존 일정 내에 명시된 규제적, 법적 및 비즈니스적 의무에 따라 레코드 및 정보를 보존해야 합니다. 예를 들어 SEC의 보존 기간 의무에 따르면 레코드 유형에 따라 3~6년의 기간을 설정하고 처음 2년간은 즉시 액세스를 제공해야 합니다. 조직은 데이터의 보존 기간을 준수하지 못하는 경우(너무 일찍 폐기) 법적 및 규정 준수 위험에 직면하게 되었으며, 이제 정보가 더 이상 필요하지 않은 경우 삭제를 요구하는 규정도 관리합니다. 효과적인 레코드 관리 전략은 organization 대한 비용과 위험을 최소화하면서 정보가 적절하게 삭제되도록 실용적이고 일관된 접근 방식을 강조합니다.
또한, 뉴욕주 금융서비스국(New York State Financial Services)의 규제 의무에 따라 해당 기관은 비공개 정보 처리를 위한 정책과 절차를 유지해야 합니다. 23 NYCRR 500, 섹션 500.13, 데이터 보존에 대한 제한은 다음을 요구합니다. "사이버 보안 프로그램의 일환으로 각 해당 엔터티는 섹션 500.01(g)(2)-(3)에서 식별된 비공개 정보가 법이나 규정에 의해 유지되어야 하는 경우를 제외하고는 더 이상 사업 운영 또는 해당 엔터티의 합법적인 사업 목적에 필요하지 않은 경우 이를 안전하게 처분하는 정책 및 절차를 포함해야 한다.”
금융 기관은 방대한 양의 데이터를 관리합니다. 또한 일부 보존 기간은 계약 만료 또는 직원 퇴사와 같은 상황으로 인해 발생합니다. 이러한 경우에는 레코드 보존 정책을 적용하는 것이 어려울 수 있습니다. 조직 문서 전체에서 레코드 보존 기간을 정확하게 할당하는 방법은 다를 수 있습니다. 일부는 보존 정책을 광범위하게 적용하거나 자동 분류 및 기계 학습 기술을 사용합니다. 다른 일부는 보존 기간을 개별 문서에 고유하게 지정하는, 보다 세분화된 프로세스가 필요한 접근 방식을 확인합니다.
Microsoft 365는 레코드 관리 요구 사항을 지능적으로 구현하기 위해 보존 레이블 및 정책을 정의하는 유연한 기능을 제공합니다. 레코드 관리자는 기존 보존 일정에서 "레코드 형식"을 나타내는 보존 레이블을 정의합니다. 보존 레이블에는 다음 세부 정보를 정의하는 설정이 포함되어 있습니다.
- 레코드가 보존되는 기간
- 보존 기간이 만료되면 수행되는 작업(문서 삭제, 처리 검토 시작 또는 조치 없음)
- 보존 기간 시작(생성일, 최종 수정일, 레이블 지정일 또는 이벤트)을 트리거하고 문서나 이메일을 레코드로 표시(편집 또는 삭제할 수 없음)하는 항목
그런 다음 보존 레이블이 SharePoint 또는 OneDrive 사이트, Exchange 사서함 및 Microsoft 365 그룹에 게시됩니다. 사용자는 문서 및 전자 메일에 보존 레이블을 수동으로 적용할 수 있습니다. 레코드 관리자는 인텔리전스를 사용하여 레이블을 자동으로 적용할 수 있습니다. 인텔리전트 기능은 90가지 이상의 내장된 중요 정보 유형(예: ABA 발신 번호, 미국 은행 계좌 번호 또는 미국 사회 보장 번호)을 기반으로 할 수 있습니다. 인텔리전트 기능은 또한 신용 카드 번호 또는 기타 개인 식별 정보와 같이 문서나 전자 메일에서 찾은 키워드를 기반으로 혹은 중요한 데이터 또는 SharePoint 메타데이터를 기반으로 사용자 지정할 수 있습니다. 수동 또는 자동 패턴 일치를 통해 쉽게 식별할 수 없는 데이터의 경우 훈련 가능한 분류자를 사용하여 머신 러닝 기술을 기반으로 문서를 지능적으로 분류할 수 있습니다.
SEC(증권거래위원회)는 증권중개인 및 기타 규제 금융 기관이 모든 업무 관련 통신을 보존하도록 요구합니다. 이러한 요건은 전자 메일, 문서, 인스턴트 메시지, 팩스 등 다양한 유형의 통신 및 데이터에 적용됩니다. SEC 규칙 17a-4는 전자적 데이터 저장소 시스템에 레코드를 저장하기 위해 이러한 조직이 충족해야 하는 기준을 정의합니다. 2003년 SEC는 이러한 요건을 명확히 하는 공개 자료를 발표했습니다. 여기에는 다음과 같은 기준이 포함되었습니다.
- 전자적 저장소 시스템에 의해 보존된 데이터는 다시 쓸 수 없고 지울 수 없어야 합니다. 이것을 WORM 요건(Write Once, Read many)이라고 합니다.
- 저장소 시스템에서는 소환장 또는 기타 법적 명령을 대비하여 규칙에서 요구한 보존 기간을 초과하여 데이터를 저장할 수 있어야 합니다.
- 조직은 통합 하드웨어 및 소프트웨어 제어 코드를 사용하여 필요한 보존 기간 동안 레코드의 덮어쓰기, 삭제 또는 변경을 방지하는 전자적 저장소 시스템을 사용하는 경우 규칙(f)(2)(ii)(A) 절의 요건을 위반하지 않습니다.
- 예를 들어 액세스 제어에 의존하여 레코드를 덮어쓰거나 지울 위험을 "완화"하는 전자적 저장소 시스템은 규칙의 요건을 충족하지 않습니다.
Microsoft 365는 금융 기관이 SEC 규칙 17a-4의 요건을 충족할 수 있도록 데이터 보존, 정책 구성 및 서비스 내 데이터 저장 방법과 관련된 기능 조합을 제공합니다. 여기에는 다음이 포함됩니다.
데이터 보존(규칙 17a-4(a), (b)(4)) – 보존 레이블과 정책은 조직 요구 사항을 유연하게 충족할 수 있으며 다양한 유형의 데이터, 문서 및 정보에 자동 또는 수동으로 적용될 수 있습니다. SharePoint 및 비즈니스용 OneDrive의 문서, Exchange Online 사서함의 데이터 및 Teams의 데이터를 포함하여 다양한 데이터 형식 및 커뮤니케이션이 지원됩니다.
다시 쓸 수 없고 지울 수 없는 형식(규칙 17a-4(f)(2)(ii)(A)) – 보존 정책에 대한 유지 잠금 기능을 통해 레코드 담당자와 관리자가 더 이상 보존 정책을 수정할 수 없도록 하는 등 제한적으로 구성할 수 있습니다. 따라서 그 누구도 어떤 식으로든 보존 정책을 제거, 비활성화 또는 수정할 수 없습니다. 즉, 보존 잠금을 사용하도록 설정하면 사용하지 않도록 설정할 수 없으며 보존 정책이 적용된 데이터를 보존 기간 동안 덮어쓰거나 수정하거나 삭제할 수 있는 방법이 없습니다. 또한 보존 기간을 단축할 수 없습니다. 그러나 데이터 보존을 계속해야 하는 법적 요구 사항이 있는 경우 보존 기간을 연장할 수 있습니다.
보존 정책에 유지 잠금이 적용되면 다음 작업이 제한됩니다.- 정책의 보존 기간은 오직 연장할 수만 있습니다. 단축할 수는 없습니다.
- 정책에 사용자를 추가할 수 있지만 정책에 구성된 기존 사용자는 제거할 수 없습니다.
- 조직 내 관리자는 보존 정책을 삭제할 수 없습니다.
유지 잠금은 최고 수준의 액세스 권한을 가진 관리자를 포함하여 그 어떤 사용자도 설정을 변경하거나 저장된 데이터를 덮어쓰기 또는 삭제하지 못하도록 하여 Microsoft 365에서 SEC가 2003년 발표한 지침을 준수하도록 도와줍니다.
데이터의 저장/직렬화 및 색인화의 품질, 정확성 및 검증(규칙 17a-4(f)(2) (ii)(B) 및 (C)) – Office 365 워크로드 각각은 저장 미디어에 데이터를 기록하는 프로세스의 품질과 정확성을 자동으로 확인하는 기능이 포함되어 있습니다. 또한 메타데이터 및 타임스탬프를 활용하여 데이터를 저장함으로써 효과적인 데이터 검색이 가능하도록 충분한 인덱싱을 보장합니다.
중복되는 복사본을 위한 별도의 저장소(규칙 17a-4(f)(3(iii)) – Office 365 클라우드 서비스는 높은 가용성의 핵심 요소로 중복 데이터 복사본을 저장합니다. 이는 모든 서버의 물리적 수준, 데이터 센터 내의 서버 수준 및 지리적으로 분산된 데이터 센터의 서비스 수준을 포함하여 모든 서비스 수준에서 중복성을 구현함으로써 달성됩니다.
다운로드 및 액세스 가능한 데이터(규칙 17a-4(f)(2)(ii)(D)) – Office 365에서는 일반적으로 보존 레이블이 지정된 데이터를 검색, 액세스 및 다운로드할 수 있습니다. 또한 기본으로 제공하는 eDiscovery 기능을 사용하여 Exchange Online Archives의 데이터를 검색할 수 있습니다. 그런 다음 필요에 따라 EDRML 및 PST를 포함한 표준 형식으로 데이터를 다운로드할 수 있습니다.
감사 요구 사항(규칙 17a-4(f)(3)(v)) – Office 365는 데이터 개체를 수정하거나 보존 정책을 구성 또는 수정하거나 eDiscovery 검색을 수행하거나 액세스 권한을 수정하는 모든 관리 및 사용자 작업에 대한 감사 로그를 제공합니다. Office 365는 작업을 수행한 사용자, 수행한 시간, 작업에 대한 세부 정보 및 수행된 명령을 포함하여 종합적인 감사 추적을 유지합니다. 그런 다음 감사 로그를 출력하며 필요한 경우 이를 공식 감사 프로세스의 일부로 포함시킬 수 있습니다.
마지막으로 규칙 17a-4는 조직이 2년 동안 많은 유형의 트랜잭션에 즉시 액세스할 수 있도록 이에 대한 레코드에 보존하도록 합니다. 추가로 3~6년간 레코드를 보존해야 하며, 여기에는 즉시 액세스 요건이 없습니다. 또한 동일한 기간 동안 오프사이트 위치에 중복 레코드를 보관해야 합니다. Microsoft 365 레코드 관리 기능을 사용하면 레코드를 수정하거나 삭제할 수 없지만 레코드 관리자가 제어하는 기간 동안 쉽게 액세스할 수 있도록 레코드를 보존할 수 있습니다. 이 기간은 조직의 규정 준수 의무에 따라 며칠, 몇 달 또는 몇 년이 될 수 있습니다.
조직에서 요구하는 경우 Microsoft는 즉시 SEC 17a-4에 대한 규정 준수 증명서를 제공합니다.
또한 이러한 기능은 Microsoft 365 금융 산업 규제 기관의 미국 상품선물 거래 위원회 및 FINRA Rule Series 4510CFTC 규칙 1.31(c)-(d)에 대한 스토리지 요구 사항을 충족하는 데 도움이 됩니다. 이러한 규칙은 금융 기관이 레코드를 보존하기 위해 전 세계적으로 가장 규범적인 지침을 나타냅니다.
Microsoft 365가 SEC 규칙 17a-4 및 기타 규정을 준수하는 방법에 대한 자세한 내용은 Office 365 - Cohasset 평가 - SEC 규칙 17a-4(f) - SharePoint, OneDrive, Exchange, Teams 및 Viva Engage(2022) 다운로드 문서에 변경할 수 없는 스토리지를 사용할 수 있습니다.
정보 장벽으로 교신 차단 영역 구축
금융 기관은 특정 역할의 직원이 정보를 교환하거나 다른 역할과 공동 작업하지 못하게 하는 규정을 준수해야 합니다. 예를 들어, FINRA는 구성원에게 다음을 지키도록 하는 요구 규칙 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) 및 (b)(2)(H)(iii)을 발표했습니다.
"(G) 투자 은행 서비스 활동에 종사하는 사람들 또는 자신의 판단이나 감독에 편견이 있을 수 있는 영업 및 거래 직원을 포함한 다른 사람들의 검토, 압력 또는 감독으로부터 조사 애널리스트가 격리되도록 합리적으로 설계된 정보 장벽 또는 기타 제도적 보호 수단을 구축해야 한다.” 또한 “(H) 채권 조사 애널리스트가 다음에 종사하는 사람들에 의한 검토, 압력 또는 감독으로부터 격리되도록 합리적으로 설계된 정보 장벽 또는 기타 제도적 보호 수단을 구축해야 한다. (i) 투자 은행 서비스, (ii) 자기자본 거래 또는 영업 및 거래 활동, 그리고 (iii) 자신의 판단이나 감독에 편견이 있을 수 있는 다른 사람들”
궁극적으로 이러한 규칙은 조직이 정책을 수립하고 은행 서비스, 영업 또는 거래에 종사하는 역할과 애널리스트 간의 정보 교환과 커뮤니케이션을 차단하는 정보 장벽을 구현해야 합니다.
정보 장벽은 Office 365 환경 내에서 교신 차단 영역을 설정하는 기능을 제공하여 규정 준수 관리자 또는 기타 권한 있는 관리자가 Teams의 사용자 그룹 간 커뮤니케이션을 허용하거나 금지하는 정책을 정의할 수 있습니다. 정보 장벽은 특정 작업을 검사하여 허가되지 않은 커뮤니케이션을 방지합니다. 또한 정보 장벽은 내부 팀이 합병/인수 또는 중요한 거래를 진행하거나 엄격하게 제한되어야 하는 중요한 내부 정보를 사용하는 시나리오에서 커뮤니케이션을 제한할 수 있습니다.
정보 장벽은 Teams의 대화 및 파일을 지원합니다. FINRA 규정을 준수하기 위해 다음 유형의 커뮤니케이션 관련 작업을 차단할 수 있습니다.
- 사용자 검색
- 팀에 구성원을 추가하거나 팀의 다른 구성원과 계속 참여
- 채팅 세션 시작 또는 계속
- 그룹 채팅 시작 또는 계속
- 다른 사람을 모임에 초대
- 화면 공유
- 전화 걸기
감독 통제 구현
금융 기관은 일반적으로 직원의 활동을 모니터링하고 해당 증권법을 준수할 수 있도록 조직 내에서 감독 기능을 설정하고 유지해야 합니다. 특히 FINRA는 다음과 같은 감독 요건을 수립했습니다.
FINRA 규칙 3110(감독)은 기업이 직원의 활동 및 기업이 참여하는 사업의 유형을 감독하기 위한 WSP(서면 감독 절차)를 마련하도록 요구합니다. 다른 요구 사항 외에도 절차에 다음이 포함되어야 합니다.
- 감독 관리자의 감독
- 회사의 투자 은행, 증권업, 내부 커뮤니케이션 및 내부 조사 검토
- 내부자 거래에 대한 거래 검토
- 서신 및 불만 사항 검토
절차에는 검토를 담당하는 개인, 각 개인이 수행할 감독 활동, 검토 빈도 및 검토하는 문서 또는 커뮤니케이션 유형을 설명해야 합니다.
FINRA 규칙 3120(감독 통제 시스템)은 기업이 규칙 3110에 정의된 서면 감독 절차를 검증하는 SCP(감독 통제 정책 및 절차) 시스템을 갖추도록 요구합니다. 회사는 WSP를 보유해야 할 뿐만 아니라 매년 해당 절차를 테스트하여 해당 증권법 및 규정을 준수하는지 확인하는 정책을 갖추어야 합니다. 위험 기반 방법론 및 샘플링을 사용하여 테스트 범위를 정의할 수 있습니다. 다양한 요건 중에서도 이 규칙은 기업이 고위 경영진에게 테스트 결과 요약 및 테스트 결과에 대한 중요한 예외 또는 수정된 절차를 포함하는 연례 보고서를 제공하도록 합니다.
커뮤니케이션 규정 준수
Microsoft Purview 커뮤니케이션 규정 준수는 조직 내 부적절한 메시지를 감지, 조사하고 조치를 취할 수 있도록 지원하여 커뮤니케이션 관련 위험을 최소화하는 데 도움이 되는 규정 준수 솔루션입니다. 미리 정의된 정책과 사용자 지정 정책을 사용하면 내/외부 커뮤니케이션에서 정책 일치 사항을 검사하여 지정된 검토자가 검토할 수 있습니다. 검토자는 organization 스캔한 이메일, Microsoft Teams, Viva Engage 또는 타사 통신을 조사하고 적절한 조치를 취하여 organization 메시지 표준을 준수하는지 확인할 수 있습니다.
커뮤니케이션 규정 준수는 정책 및 검토자를 기반으로 정책 검토 활동을 감사할 수 있는 보고서를 제공합니다. 조직의 서면 정책에 정의된 대로 정책이 작동하고 있는지 확인하는 보고서를 사용할 수 있습니다. 또한 검토가 필요한 통신과 회사 정책을 준수하지 않는 통신을 식별하는 데 사용할 수도 있습니다. 마지막으로 정책 구성 및 커뮤니케이션 검토와 관련된 모든 활동은 Office 365 통합 감사 로그에서 감사됩니다. 그 결과, 커뮤니케이션 규정 준수는 금융 기관이 FINRA 규칙 3120을 준수하는 데 도움이 됩니다.
FINRA 규칙을 준수하는 것 외에도 조직은 커뮤니케이션 규정 준수를 통해 다른 법적 요건, 회사 정책 및 윤리적 표준의 영향을 받을 수 있는 커뮤니케이션을 감지하고 관련 조치를 취할 수 있습니다. 커뮤니케이션 규정 준수는 커뮤니케이션을 검토할 때 가양성을 줄이는 데 도움이 되는 위협, 괴롭힘 및 욕설 분류자를 기본으로 제공하여 조사 및 개선 프로세스에서 검토자의 시간을 절약합니다. 또한 조직은 인수 합병 또는 경영진 교체와 같은 중요한 조직 내 변화가 있을 때 커뮤니케이션을 감지하여 위험을 줄일 수 있습니다.
데이터 유출 및 내부 위험으로부터 보호
기업에 대한 일반적인 위협은 데이터 유출 또는 조직에서 데이터를 추출하는 행위입니다. 이 위험은 매일 액세스할 수 있다는 정보의 중요한 특성으로 인해 금융 기관에 상당한 우려가 될 수 있습니다. 사용 가능한 커뮤니케이션 채널 수가 증가하고 데이터 이동을 위한 도구가 확산됨에 따라 일반적으로 데이터 유출, 정책 위반 및 내부자 위험을 완화하기 위해 고급 기능이 필요합니다.
내부자 위험 관리
어디서나 액세스할 수 있는 온라인 공동 작업 도구를 직원이 갖추게 되면 본질적으로 조직에 위험을 초래할 수 있습니다. 직원은 실수로 또는 악의적으로 데이터를 공격자 또는 경쟁 업체에 유출할 수 있습니다. 또는 개인 용도로 데이터를 유출하거나 미래의 고용주에게 데이터를 가져갈 수도 있습니다. 이러한 시나리오는 보안 및 규정 준수 측면에서 금융 서비스 기관에 심각한 위험을 초래합니다. 이러한 위험이 발생할 때 이를 식별하고 신속하게 완화하려면 법률, 인사 및 정보 보안과 같은 부서 간 데이터 수집 및 공동 작업을 위한 지능형 도구가 필요합니다.
Microsoft Purview 내부 위험 관리는 조직 내 악의적이고 부주의한 활동을 감지, 조사하고 조치를 취할 수 있도록 하여 내부 위험을 최소화하는 데 도움이 되는 규정 준수 솔루션입니다. 내부 위험 정책을 사용하면 사례에 대한 조치를 수행하고 필요한 경우 Microsoft eDiscovery(프리미엄)로 사례를 이관하는 등 조직에서 식별 및 감지할 위험 유형을 정의할 수 있습니다. 조직의 위험 분석가는 적절한 조치를 신속하게 수행하여 사용자가 조직의 규정 준수 표준을 준수하도록 할 수 있습니다.
예를 들어 내부 위험 관리는 사용자 장치의 신호(예: USB 드라이브에 파일 복사 또는 개인 메일 계정으로 메일 보내기)와 온라인 서비스 활동(예: Office 365 메일, SharePoint Online, Microsoft Teams, 비즈니스용 OneDrive)의 상관 관계를 지정하여 데이터 반출 패턴을 식별할 수 있습니다. 또한 이러한 활동을 일반적으로 데이터가 유출되는 패턴의 하나인 퇴사하는 직원과 연결시킬 수 있습니다. 시간이 지남에 따라 잠재적으로 위험한 여러 활동 및 동작을 감지할 수 있습니다. 공통적인 패턴이 나타나면 경보를 발생시키고 조사자가 주요 활동에 집중하여 높은 수준의 신뢰도를 가지고 정책 위반을 검증할 수 있습니다. 내부자 위험 관리는 조사자의 데이터를 가명/익명 처리하여 데이터 개인 정보 보호 규정을 준수하는 동시에 조사를 효율적으로 수행하는 데 도움이 되는 주요 활동을 표면화할 수 있습니다. 이를 통해 수정 조치를 위한 사례 제기를 위해 일반적인 이관 워크플로에 따라 조사자가 주요 활동 데이터를 패키지하여 안전하게 HR 및 법률 부서에 보낼 수 있습니다.
내부 위험 관리는 조직이 내부자 위험을 감지하고 조사할 수 있는 능력을 크게 향상시키는 동시에 데이터 개인 정보 보호 규정을 준수하고 사례가 더 높은 수준의 조치를 요구할 때 확립된 이관 절차를 따를 수 있도록 합니다.
테넌트 제한
중요한 데이터를 다루고 보안에 중점을 둔 조직에서는 일반적으로 사용자가 액세스할 수 있는 온라인 리소스를 제어하려고 합니다. 동시에 Office 365와 같은 온라인 서비스를 통해 공동 작업을 안전하게 수행하고자 합니다. 그 결과, 회사 이외의 Office 365 환경을 사용하여 회사 장치에서 실수로 또는 악의적으로 데이터를 유출함에 따라 사용자가 액세스할 수 있는 Office 365 환경을 제어하는 것이 어려워졌습니다. 일반적으로 조직에서는 사용자가 회사 장치에서 액세스할 수 있는 도메인 또는 IP 주소를 제한합니다. 하지만 사용자가 Office 365 서비스에 올바르게 액세스해야 하는 클라우드 우선 환경에서는 효과가 없습니다.
Microsoft 365에서는 이 문제를 해결하는 테넌트 제한 기능을 제공합니다. 악성 ID(회사 디렉터리에 속하지 않는 ID)를 사용하는 외부 Office 365 엔터프라이즈 테넌트에 대해 직원 액세스를 제한하도록 테넌트 제한을 구성할 수 있습니다. 현재 테넌트 전반에 걸쳐 테넌트 제한이 적용되어, 사용자가 구성한 목록에 표시되는 테넌트에만 액세스할 수 있습니다. Microsoft는 이 솔루션을 계속 개발하여 제어를 세분화하고, 제공하는 보호 기능을 향상하고 있습니다.
결론
Microsoft 365 및 Teams는 금융 서비스 회사를 위한 통합된 포괄적인 솔루션을 제공하여 기업 전체에 단순하지만 강력한 클라우드 기반 공동 작업 및 커뮤니케이션 기능을 제공합니다. Microsoft 365의 보안 및 규정 준수 기술을 사용하여 기관은 강력한 보안 제어를 통해 보다 안전하고 규정을 준수하는 방식으로 운영하여 사이버 보안 및 내부자 위험을 포함한 다양한 운영 위험으로부터 데이터, ID, 디바이스 및 애플리케이션을 보호할 수 있습니다. Microsoft 365는 금융 서비스 조직이 회사, 직원 및 고객을 보호하는 동시에 더 많은 성과를 달성할 수 있는 근본적으로 안전한 플랫폼을 제공합니다.