公開日:2022年9月2日
FCRM(金融犯罪リスク管理:Financial Crime Risk Management)とは、不審なアクティビティの調査と分析、脆弱性の根絶、金融業界などの組織の被害リスクを低減するための対策実施など、金融犯罪にプロアクティブに対応するためのセキュリティなどのプラクティスを指します。具体的にFCRMはAML(アンチマネーロンダリング)、金融機関に対するサイバー犯罪対策、贈賄路・汚職対策などがあげられます。
人々が商品やサービスを通貨と交換するようになった時代から金融犯罪は存在します。また、テクノロジーの進化とともに、攻撃対象、アクセスレベル、サイバー犯罪の機会も変化しています。今日では、ほぼすべての銀行や証券会社といった金融業界の組織がオンラインでビジネスを行っているため、組織はサイバー犯罪の標的になりやすくなっています。攻撃者は、重要な財務データにアクセスし、その痕跡を消すために、よりステルス性が高く高度なアプローチを取り入れています。さらに脅威なのは、多くの金融犯罪が、重要なデータの場所と痕跡の巧妙な消し方をよく知る内部関係者によって行われることです。
これらの点を踏まえると、ほぼ半数の金融業界の組織が金融犯罪の被害に遭っているという事実は驚くには当たらないでしょう。内部関係者による犯罪の急増を受けて、アメリカ政府は監視と法律を強化して、組織に対して内外の脅威からデータを保護し規制法に準拠することを義務付けています。組織が金融犯罪を特定して対処するために必要な措置を講じない場合、数百万ドルから数十億ドル規模の厳しい罰金を科される可能性があります。
そのため、効果的なFCRM戦略を立てることがこれまで以上に重要になっています。この記事では、金融犯罪の種類とコスト、AMLとコンプライアンスの役割、金融リスク評価の実行方法、金融犯罪対策におけるFCRMソリューションのメリットについて説明します。
金融犯罪とは、簡単に言えば、自身の利益のために他の人や組織から金銭や財産を違法に奪う行為を指します。金融犯罪の主な種類には、マネーロンダリング、テロ資金供与、詐欺、賄賂と汚職、市場濫用とインサイダー取引、脱税、横領、偽造、なりすまし、電子犯罪などがあります。これらの犯罪は、外部の攻撃者によって行われることも、組織のトップレベルのリーダーを含む内部の従業員によって行われることもあります。
金融犯罪には、より軽度の犯罪行為も多く含まれます。上記の主な犯罪に比べればコストや法的な影響は小さいかもしれませんが、以下の行為も金融犯罪に該当します。
金融犯罪の加害者も、単独の窃盗犯から影響力の大きい世界的な犯罪組織までさまざまです。
金融犯罪は組織の収益に重大な影響を及ぼします。PwC社が2018年に行った経済犯罪実態調査によると、所属する組織が不正行為や経済犯罪の被害に遭ったことがあると回答した割合は49%で、2016年の36%から増加しています。また、不正行為による直接的な損失が推定で100万ドル以上に達したと回答した割合も64%にのぼりました。また、46%の回答者が、組織が不正行為によって直接失った額と同等かそれ以上の額の資金を調査やその他の予防策に費やしたと回答しています。さらに、不正行為の52%は組織の内部関係者によって行われたことも明らかになりました。
こうした不正行為の発見と対処にかかる費用、コンプライアンス違反の罰金、訴訟費用は、通常、利益を大きく損ないます。さらに、組織の評判に対するダメージが何年も続くこともあります。
金融犯罪のコストは高く、件数は増加傾向
金融犯罪コンプライアンスは、組織が、所属する業界と組織自体に適用される内外の基準、ポリシー、規制といったものに、厳格に準拠するためのプロセスです。
米国では、FinCEN(金融犯罪取締ネットワーク部局)が金融犯罪コンプライアンスの枠組みを策定しています。
銀行や証券会社など、すべての金融機関がアンチマネーロンダリング(AML)に関するリスクにさらされています。その要因は主に3つあります。
これらの要因により、AMLコンプライアンスを遵守するための対策が十分にとれず、多額の罰則を科せられるリスクを負っています。このリスクを回避するには、以下の対応が必要です。
AMLアナリストは、AML調査員とも呼ばれ、不審な財務活動の監視、調査、対応を専門的に行います。AMLアナリストになるには、組織の事業、その運営方法、顧客、製品とサービスをしっかりと理解する必要があります。主に以下の職務を担います。
法律は、組織内で起きる金融犯罪の防止および対処策の先例を示します。まず取り組むべきは、どの規定が自組織に適用されるかを知ること、法律の変更を注視すること、そして関連する法律に対する認識を組織全体で高めることです。以下のベストプラクティスは金融犯罪の防止にも役立ちます。
金融犯罪リスク評価は、金融犯罪に対する組織の脆弱性を分析する体系的かつ段階的なプロセスです。金融犯罪リスク評価は、以下の手順で進めます。
リスクを特定する:組織の複雑さ、現在参入している市場、提供しているサービスと製品、オンラインビジネスの量に基づいてリスクを洗い出し、文書化します。また、組織内で過去に起きたインシデントや、市場での以下の金融犯罪の増加状況を調べて、各犯罪のリスクレベルを見積もります。
リスクを文書化したら、組織にとっての脅威の度合いに基づいてリスクに優先順位を付けます。
リスクを緩和するための保護対策を確立する:組織内で特に脆弱な領域を特定したら、内外の金融犯罪を防止するためのセキュリティコントロールとシステムを計画します。以下のコントロールについて検討します。
コントロールをレビューして改善する:監査を定期的に実施して、現在のコントロールが新たなリスクに対応していることを確認します。市場や全体の環境の変化に応じて、新たな問題に対処してコンプライアンスを確保するための新しい手順とポリシーを作成する必要があります。
監視を行ってレポートを作成する:コントロールの効果を監視して、不審なアクティビティと、問題を解決するために実行した手順を文書化することが欠かせません。さまざまなコンプライアンス規制で適切なレポートの作成が求められるため、必要な情報をすぐに利用できるようにしておくことが重要です。
FCRMツールは、潜在的な脆弱性のプロアクティブな検出、アクティビティの継続的な調査、継続的なリスク評価、不審なアクティビティの管理と対応に役立ちます。主に以下のメリットがあります。
脅威をリアルタイムで検出する:トランザクションが大量であっても、不審なアクティビティを即座に検出し、セキュリティ担当者にアラートを送信して、次に実行すべきアクションの判断をサポートします。
FCRMソリューションは2つの面から金融犯罪対策をサポートします。まずは、多くのノイズを排除して、アナリストが金融犯罪防止のための戦略実行とコンプライアンス確保に集中できるようにします。また、可視性を向上し、インサイトを提供して、不審な行動を検出したときにアナリストにアラートを送信します。
一般的な犯罪への対処におけるFCRMテクノロジーのメリットは以下のとおりです。
FCRMソリューションを選択するときは、組織のニーズによって最適なプラットフォームがほぼ決まります。そのため、ツールの調査を開始する前に十分なリスク評価を行う必要があります。選定の際には、以下の点を確認することをお勧めします。
顧客は安全でリアルタイムなオムニチャネル体験を期待しています。eコマースやデジタルデータトランザクションは金融犯罪リスクの評価と管理に関する新たな課題を生み出しますが、導入はもはや不可避で、先延ばしにすることも得策ではありません。
規制当局は、外部者の犯行であっても、組織の監視下で発生した金融犯罪は組織の責任とみなします。FCRMソリューションは、こうした脅威の特定、対応、防止を効率化し、規制がますます複雑化する中でコンプライアンスを維持するために役立ちます。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は850を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキスト(把握したい要素) に基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
日本支社を2012年2月に開設し、東京の丸の内・大手町、大阪および名古屋にオフィスを構えており、すでに多くの日本企業にもご利用いただいています。
© 2005 - 2024 Splunk LLC 無断複写・転載を禁じます。
© 2005 - 2024 Splunk LLC 無断複写・転載を禁じます。