Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

軍人へのサービス:なぜ USAA ではウェブサービスの保護が重要なのか

Jason Compton

何百人もの利用者を抱える世界中の金融機関が、サイバーセキュリティ上の大きな困難に直面しています。米国軍の軍人に幅広くサービスを提供している USAA にとって、国家防衛に従事する軍人を顧客としていることが直接影響し、問題は複雑さを極めています。

USAA はテキサス州を拠点とし、1,200 万人もの現役軍人、退役軍人、およびその家族を対象とした銀行業、保険、投資サービスを営んでいます。世界中に配置されている軍人がいつどこで取引を必要とするかに関わらず、迅速で信頼性の高いオンライン体験を届けることが期待されています。

経済的な課題を抱えている現役軍人は数多く存在し、USAA は常に軍人にフォーカスすることで、お金に関する心配を最小限に抑えようと努めています。USAA 全体がこのニーズを敏感に感じ取っているのです。

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
USAA では、CIO も CSO も、組織図上は対等です。

軍人へのプレッシャー

このように可用性は優先度が高いため、USAA ではアップタイムを考慮しながらセキュリティに関する決定を下します。

「USAA はデジタル組織なので、サービスが常時稼働し、常時接続していることが非常に重要です」と USAA の Chief Security Officer(最高セキュリティ責任者、CSO)、Gary McAlum 氏は述べています。「影響を受けるのが利用者個人であるか利用者全体であるかを問わず、セキュリティ障害が起きた場合に利用者の体験にどのような影響が生じるかを話し合っています。」

McAlum 氏は、USAA 初の CSO です。7 年前にこの役職に就く前は、25 年間米国空軍に所属し、その間のほとんどは国防総省のサイバーセキュリティに従事しました。

同氏は USAA で、大規模なサイバー攻撃から小規模な不正行為にいたるまで、セキュリティ、接続性、法令順守に関するあらゆる脅威から自社を守る責任を担っています。近年普及している多要素認証など、USAA とその利用者の防衛策を考案する際、同氏は多くの利用者がこれまでに経験したことを考慮しています。

USAA では、多くの利用者が過去に深刻なデータ漏えいの被害を受けたことがわかっています。2,000 万人以上の政府および軍関係者が、米国人事管理局を襲った攻撃の影響を受けました。このデータ漏えいによって個人情報が犯罪者の手に渡り、流出した情報を使って既存の金融口座の悪用や新規口座の不正開設が行われる恐れが生じました。McAlum 氏やその家族も、このような犯罪の罠にかかった大勢の被害者の一人です。

「私たちは、USAA を利用する軍人は他の人より攻撃に弱いと考えるようにしています。社会には、軍人をだまし、搾取しようとする犯罪的な側面が常に存在しているのです」と同氏は語ります。「だからこそ私たちは、フィッシング攻撃に対する意識の向上など、教育や意識改革に大きな重点を置いています。」

大規模な攻撃への抵抗

USAA は個人の詐欺師を撃退するだけでなく、巧妙に構成されている大規模なサイバー攻撃を前にしてもセキュリティを維持し、サービスを稼働させなければなりません。2012 ~ 2013 年、分散型サービス妨害(DDoS)攻撃作戦「Operation Ababil」が米国を拠点とする金融機関を襲った際、USAA もその標的となりました。

USAA は攻撃予告を受けていましたが、Akamai が提供するネットワークインフラストラクチャを評価した結果、この攻撃を受けても利用者へのサービスは崩壊しないという自信を得ました。そしてこの予想は的中しました。重要なサービスを危機に陥れたであろう大量のトラフィックは、Akamai のセキュリティによってかわすことができました。

DDoS 攻撃の標的は、多くの場合、USAA.com のようなドメイン名からホストサーバーへアクセスするための名前解決を行う独立したドメイン・ネーム・サーバー(DNS)です。DNS に大量の処理負荷を与えると、正規のトラフィックが通過できなくなります。Akamai の広範なネットワークでは DNS が分散されているため、このような脅威を阻止することができるのです。

「攻撃が予告されていた両日とも、USAA にとってはいつもどおりの一日でした。アクティビティが急増し、その後消えるのを確認しました」と McAlum 氏は語ります。「Akamai のネットワークのおかげで、DDoS 攻撃を正面から迎え撃ち、簡単に一掃することができました。」

組織役員にまつわる文化がどのようにセキュリティに影響するのか

USAA では、セキュリティ責任者が他の役員と強固な協力関係を築かなければならないことを考慮し、CSO のオフィスを完全に独立させ、組織トップの最高幹部と密接なつながりを持たせています。

「セキュリティに関する予算や責任を一本化したかったのです」と McAlum 氏は述べています。「現在、私が率いているセキュリティグループは、セキュリティや企業活動の継続に関する調査など、あらゆる業務を担っています。」

USAA では、CIO も CSO も、組織図上は対等です。同氏によると、この 2 つの役職には多くの共通点があり、見解を一致させるのは簡単です。

「取締役会から落とし込まれている USAA の文化は、サービス利用者のもとまで届けなければなりません」と McAlum 氏は言います。

この協力関係は機能しています。USAA は毎年推定 14 億件ものデジタル取引を行いつつ、大きなインシデントを回避し続けているのです。

データ漏えいの脅威が次々と押し寄せ、注目を集めているなか、McAlum 氏は、USAA の安定性や、CSO と CIO の独自の協力関係は、他の組織のモデルになると考えています。

「私たちは、USAA の製品やサービスが利用できなくなったり損害を受けたりすると誰も得をしないということを全員が理解しているため、CIO 側と緊密に連携しながら仕事をし続けます」と同氏は述べています。

Jason Compton 氏は、エンタープライズテクノロジーの分野で長年に渡る経験を持つライターであり、レポーターでもあります。CRM Magazine の前の編集長でもあります。

関連する CIO のコンテンツ