- 「サイバーセキュリティをめぐるトピックとコラボレーション対応」
公益財団法人金融情報システムセンター 栗田 学 氏 - 「金融・保険業の情報漏えい44%は内部から~内部脅威の現状と対策~」
日本プルーフポイント株式会社 増田 幸美 氏 - 「脱職人。組織的なセキュリティ監視の実現に向けたSplunkの活用」
Splunk Services Japan 合同会社 横田 聡 氏 - 「高度化するサイバーセキュリティの最新動向と
ゼロトラストアーキテクチャを合理的に実現する革新的ソリューション」
フォーティネットジャパン株式会社 寺下 健一 氏/山田 麻紀子 氏 - 「金融サービスにおけるモバイル・アプリのセキュリティ
~UX向上とセキュリティ確保の両立~」
日本シノプシス合同会社 大森 健史 氏 - 「PayPay銀行におけるニューノーマル時代のセキュリティ対策」
PayPay銀行株式会社 岩本 俊二 氏
「サイバーセキュリティをめぐるトピックとコラボレーション対応」
- 基調講演
【講演者】
- 公益財団法人金融情報システムセンター
監査安全部 参事役 兼 サイバーセキュリティ対策室長
栗田 学 氏<FISCについて>
FISC(金融情報システムセンター)は、1984年に発足、今年8月末時点で661の金融機関、ITベンダー、セキュリティベンダー、コンサルティング会社などの会員を有している。主な活動として、サイバー攻撃や新技術への対応、ガイドラインの策定、IT人材の確保育成などに関する情報発信をしている。
<最近のサイバー攻撃について>
最近のサイバー攻撃では、金融機関、医療機関、交通、電力会社などインフラ面に関わる業種業態への攻撃が多い。金融機関については、お金を持っている点や個人情報などの売れる情報を持っているため、攻撃する側から見れば、ターゲットにしやすい業種であり、狙われやすいのが現状だ。
攻撃手段は、DDoS攻撃、SPAMメール、フィッシング詐欺などが、今なお攻撃の手口として主流であるが、新たな手口は増え続け、これらに対する対策の負担が大きくなっている。また、最近は明確に金銭目的、主義主張、営業活動の妨害など、目的が多様化してきている。
2020年1月に日本銀行の当座預金取引先金融機関等のうち402先に対し、サイバー攻撃を受けたことがあるかを、日本銀行が調査した。その結果、2017年以降にサイバー攻撃を受けたと回答する金融機関の割合は、約4割に達している。4割ということは402先のうち、160先ほどであり、これは金融機関、預金系の金融機関に当てはめると、メガや地銀、第二地銀、中小の金融機関や地域金融機関の一部も、攻撃をされたということだ。
情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」のサイバー攻撃の脅威として、ランサムウェアによる被害、標的型攻撃による機密情報の窃取、テレワーク等のニューノーマルな働き方を狙った攻撃、サプライチェーンの弱点を悪用した攻撃が上位にラインクインしている。
標的型メール攻撃は、電子メールやウェブサイトの閲覧等を通じて不正なプログラムをパソコンやサーバーに感染させ、情報の窃取を行う攻撃であり、件数的には、減少傾向であるが、非常に巧妙化してきており、流暢な日本語で、悪意のあるメールであると判断することが困難なケースが増加してきている。
ランサムウェアについては、同様のプロセスでマルウェアに感染させた上でデータを盗んだり暗号化したのちに、脅迫状が送られてくるケースが多い。従来のランサムウェアは、利用者の意図に反し、PCやサーバー内に保管されたファイルの暗号化や端末自体のロック等により、データを操作できないようにし、操作できるようにする、あるいは復号する代わりにお金を要求するものであった。一方、最近のランサムウェア攻撃は事前に情報は盗んでおき、お金が支払われない場合に、盗んだデータを公開するという手口が使われている。
テレワークは、COVID-19の感染拡大に伴い、新たな就業形態として普及している。テレワークにおけるセキュリティ上の要点としては、使用するシステムで用いるパスワードは複雑にし、多要素認証を利用できる場合は活用する。あるいはOSやアプリ、機器を最新版にアップデートしてセキュリティの穴をふさぐ。それから盗聴されるリスクを回避するため、VPN接続等を活用し、通信を暗号化するなどが挙げられる。しかしながら、対策が進んでいない現状である。
実際に、VPN機器の脆弱性を突いて、社内ネットワークへ侵入し、攻撃されることも多い。2019年には、Pulse Secure社のVPN機器の脆弱性が悪用され、国内外約900社の認証情報が闇サイトで公開されてしまった事案が発生した。対策としては、当該製品を脆弱性の影響を受けないバージョンにアップデートしたり、使用者に対する多要素認証の仕組みを導入することが重要である。
サプライチェーンへの攻撃では、2020年12月頃にソーラーウィンズ社の事案が明るみになった。攻撃者により、ソーラーウィンズ社のパッチに不正なプログラムを送りこみ、利用者にパッチインストールをさせ、不正プログラムが広がった事案である。利用者は正しいプログラムをインストールしたと思いこんでいるため、事前に防ぐことが難しい。
また、サプライチェーンの攻撃による不正送金について、悪意のある第三者が不正に口座を作り、Web口座振替受付サービスを通じて、被害者の銀行口座に連携し、不正出金が行われた事案が発生した。金融機関一社で、お客さまにサービスを提供するということが少なくなってきているため、金融機関としてサプライチェーン全体を把握する必要がある。
<防御のトレンド>
インシデントの発生から対応・収束までのプロセスには、検知・受付、トリアージ、分析、封じ込め、根絶、復旧、評価・改善という作業が発生する。これらと並行して記録、社内外の連携、広報などを行なう。これらは基本的には、順番が前後する事や、同時進行で進められることもあるため、規程や手順書、マニュアルなどを作成し、十分な準備をしておくことが重要だ。
また、サイバー攻撃を受けた場合、被害の拡大防止のために自主的なシステム停止等、業務の中断等を伴う対応を実施することも考えられるため、このような対応を行うか否かを判断する権限を持つ者を明確にしておく必要がある。また、業務の中断等を伴う対応を実施する際は、対応を行う場合及び行わない場合の双方において発生しうる影響を比較したうえで、 自社の方針に基づいて総合的な見地から判断することが求められる。多くの金融機関では、サイバー攻撃を想定した規定や手順は整備されている。ただし、問題は規定、手順通りに対応した場合に、本当に影響を最小限に食い止められる効果があるか不明瞭であり、実際の検証が進んでいない点である。
サイバー攻撃への対応は、大きく分けて、平時の対応とインシデントが発生した際の有事の対応とがある。
日本銀行の調査結果から、平時の対応については、CSIRTをはじめとする「サイバーインシデント対応専門組織」や「システム部署」に留まることなく、「ユーザー部署」「役員」を含む幅広い役職員を対象として、啓発・教育・訓練に取組んでいる。そのほか、セキュリティ診断では、脆弱性診断やシステムへの外部からの攻撃の可能性の検査について、「定期的かつシステム導入・更改時に実施している」は2割弱、「それ以外の何らかの形で実施している」先を含めると5割強という調査結果が公表されている。
また、疑似的に外部から攻撃をしてもらう脅威ベースのペネトレーションテスト(TLPT) の実施率は全体で 10 %程度であり、現状としてごく一部の金融機関の実施に留まっている。各金融機関で用意をした、マニュアルや手順書が有効かを検証するため、TLPTあるいは、それに類する演習はより多くの金融機関で実施することが必要と感じている。
金融当局の動きについては、G7やFSBにて公表された文書に基づき、金融庁が国内の金融機関に対して、様々な方針や指示を出している。特にG7では2016年以降、サイバーセキュリティに関する文書が多く発表されている。例えば、2016年の金融セクターのサイバーセキュリティに関するG7の基礎的要素、2017年のサイバーセキュリティの効果的な評価に関するG7の基礎的要素、2018年には脅威ベースのペネトレーションテスト(TLPT)に関するG7の基礎的要素を発表している。
金融庁の動向としては、2018年の取り組み方針では、国際的な合同演習の参加や実践的な侵入テスト、TLPTの実施を促していくこととしている。さらに翌年、翌々年のサイバーセキュリティレポートでは、平時のサイバーセキュリティ対策として、中小金融機関は経営陣が主体となった取組みの推進態勢の整備、大手金融機関に対しては、TLPTをより実効性のあるものにするための取り組みをすることを掲げている。一方、有事のサイバーセキュリティ対策については、Delta Wallへの参加をはじめに大手のみならず中小金融機関についても態勢の実効性の維持・向上の取組みを進めることを掲げている。
インシデント発生時の対応能力を向上させるためには、対応能力の3つの観点(人・システム・対応プロセス)をそれぞれ個別に評価するだけでは実際のサイバー攻撃に対する実効性の検証として十分とはいえず、各金融機関が抱える脅威の分析とその分析結果に整合する攻撃シナリオに沿った演習や訓練を行った上で、人・システム・対応プロセスを総合的・同時並行的に検証する必要がある。
<コラボレーション対応について>
サイバーセキュリティを守るために、我々ができることは限られている。例えば、プログラムのアップデート、通信の暗号化、不審なメールを開封しないなどを漏れなく行う事である。ただ、これらを一つの部署や部門、あるいは一つの会社で行う事には、限度があるため、コラボレーション(協働)が必要である。
部門間のコラボレーションについて言えば、サイバーセキュリティに対する意識にバラつきがあり、部門によっては協力が得にくいことがある。しかしながら、有事においては部門横断的な作業が大量に発生するため、経営層、サイバーセキュリティ部門、非サイバーセキュリティ部門の相互協力が不可欠であり、平時の訓練・演習から緊張感を持って対応にあたる連携が必要である。また、サイバーセキュリティの維持・向上に対する目線(いわゆる価値観)を共有しておくことが必要である。価値観の共有には、情報共有後に、その情報に対して何らかのディスカッションやコミュニケーションを図るための時間を作ることが重要であろう。グループ会社間のコラボレーションについては、グループ会社によって、サイバーセキュリティへの意識や対応レベルがまちまちであることがある。対応策として立ち入りによる調査、チェックリストの活用などによるモニタリング、社員の派遣や出向によってノウハウや仕組みを伝える人材交流、情報共有、シナリオによる訓練演習などを行い、意識や対応レベルを底上げすることが重要である。
最後に、ビジネスパートナー間のコラボレーションに関する問題として、業務委託をしているようなビジネスパートナーとの間で責任分界点が不明確になることが挙げられる。IPA(独立行政法人情報処理推進機構)の調査によると、新たな脅威が顕在化した際の対応について、その責任範囲を明記していない業務委託元は8割に達するという調査結果がある。その結果、その情報システムの構成パーツに、新たな脆弱性や脅威が発生した場合、委託先と委託元の責任範囲が曖昧なまま、放置される事案が発生する可能性がある。対応策としては、契約書類等において、有事のみならず平時においても、パートナーがどのような対応をしてくれるのかをチェックし、自らはパートナーが実施する対応の管理も含め、どのような対応が必要となるのかを認識しておくことが重要である。
また、複雑化、高度化する攻撃への対応は、海外のガイドラインも意識しておくことが望ましい。
- 公益財団法人金融情報システムセンター