ワンメイン・フィナンシャル・グループLLCは、DFS(Department of Financial Services)のサイバーセキュリティ規制に違反したため、ニューヨーク州に425万ドルの罰金を支払うことになりました。ワンメインは、第三者サービスプロバイダのリスクを効果的に管理せず、アクセス特権を管理せず、公式のアプリケーションセキュリティ開発手法を維持しなかったため、企業のサイバーセキュリティイベントへの脆弱性が著しく増加しました。
調査の結果、ワンメインは顧客の非公開情報へのアクセスを提供する情報システムへのユーザーアクセス特権を効果的に管理していなかったことがわかりました。例えば、ワンメインはローカル管理者ユーザーがアカウントを共有できるように許可しており、これにより悪意のある行為者を特定する能力が損なわれ、ユーザーのオンボーディング時にワンメインが提供したデフォルトのパスワードを使用できるようにも許可しており、不正アクセスのリスクが増加していました。
調査によれば、ワンメインのアプリケーションセキュリティポリシーは、会社のソフトウェア開発ライフサイクルのすべてのフェーズに対処する形式化された手法が不足していました。代わりに、ワンメインは社内で開発した形式化されていないプロジェクト管理フレームワークを使用しており、これは特定の主要なソフトウェア開発ライフサイクルのフェーズに対処していなかったため、サイバーセキュリティイベントへの脆弱性が増加しました。
さらに、ワンメインは一部の高リスクおよび中リスクのベンダーに対して適切なデューディリジェンスを適時に実施せず、ベンダーのリスク評価とワンメインがベンダーに対して実施すべき適切なデューディリジェンスのレベルを決定するために各ベンダーに評価を行う必要があるサードパーティベンダー管理ポリシーが存在していたにもかかわらず、ワンメインはいくつかのベンダーのリスクスコアを適切に調整しなかったことが明らかになりました。これは、ベンダーが非公開情報の不適切な取り扱いや不適切なサイバーセキュリティコントロールによって引き起こされた複数のサイバーセキュリティイベントの後でも変更されませんでした。和解の一環として、ワンメインはさらなる重要な是正措置に従事することに同意しました。
DFSのサイバーセキュリティ規制は、2017年3月に発効し、他の規制機関、米国連邦取引委員会、複数の州、全米保険委員会(NAIC)、およびCSBSノンバンクモデルデータセキュリティ法など、他の規制機関にとってもモデルとなっています。
