FINANCE FORUM 金融サイバーセキュリティの最前線＜アフターレポート＞

サイバー空間をめぐる状況とサイバーセキュリティ戦略

サイバー攻撃による情報流出やホームページ改竄、インターネットバンキングの不正アクセス等、頻発しているあらゆる種類のセキュリティインシデントへの対策については、金融機関にとっても日々頭を悩ますテーマだろう。2015年に発生した日本年金機構における個人情報流出事例から、対策のあるべき方向性を整理したい。

この被害を起こした主な原因には、以下2つが挙げられる。

まずは、日常運用ルールの順守がおろそかになっていた点だ。この事例は、年金機構の複数の情報系端末がマルウェアに感染したことから始まる。通常個人情報データベースが保存されている業務系端末は、直接外部との通信が発生しない仕組みとなっており、ネットワーク構成自体には問題が無かった。

しかし、データを一時的に情報系端末へ移して加工する等の業務の中で、暗号化や作業後のデータ削除という運用ルールが守られていなかったため、マルウェア感染時に、同端末上に存在していたデータが抜き取られてしまったのである。運用ルールが徹底されていれば、たとえマルウェア感染してもデータ流出は防げていた。

そして、もう一点は組織体制の不備だ。厚労省では、規定で定める責任者への報告が行われておられず、またCSIRTも実働要員が不在で形骸化していた。また、特殊法人である年金機構は、当時、内閣サイバーセキュリティセンター（NISC）が作成する政府統一基準の適用対象外であったため、CSIRTやセキュリティポリシー自体が存在していなかった。これらの結果、初回インシデント検知後の対応が遅れ、深刻な事態へとつながったのだ。

マルウェア感染を引き起こす昨今の標的型メールは、業務関連として疑いようがないほど巧妙になっている。不審メールを開かないようにする対策も必須ではあるが、社内全員が100%守ることはもはや不可能と言える。従って、感染後にどうするかという体制を組み、訓練や演習を積んでおくことが重要だ。

国としても、従来より様々な取り組みを行ってきており、2014年には、情報の自由な流通とサイバーセキュリティの確保を推進する目的で、サイバーセキュリティ基本法が成立した。

同法では、機能の停止が国民生活や経済活動に多大な影響を及ぼす事業を行うものを、重要インフラ事業者とし、サービスの安定提供のため、自主的かつ積極的にサイバーセキュリティ確保に努めるべきということが定められている。金融機関もこの一角を担うものと位置づけられる。

我々NISCは、この基本法成立をうけて設置された、内閣官房長官を本部長とするサイバーセキュリティ戦略本部を支える事務局として、各重要インフラ所管省庁等と協力しながら取り組みを進めている。

また、基本法成立後に策定された新・サイバーセキュリティ戦略は、経済社会の活力向上と持続的発展、国民が安全で安心して暮らせる社会の実現、国際社会の平和・安定と我が国の安全保障を目的に作られたもので、情報の自由な流通の確保、法の支配、開放性等5つの基本原則に基づく様々な施策で構成されている。

重要インフラ分野でも、政府と各事業者が取り組むべき事項をまとめた行動計画を策定している。これは、自然災害やサイバー攻撃等に起因する重要インフラサービス障害の発生を可能な限り減らし、迅速な復旧ができるよう、各事業者が経営層の積極的な関与の下で情報セキュリティ対策を推進することを目的に作られたもので、情報共有体制、訓練の充実による障害対応体制の強化等、5つの施策がまとめられている。

各事業者においては、NISCが作成している手順書も参考にし、リスクアセスメントと対策に取り組んでほしい。

攻めのセキュリティ ～脅威インテリジェンスとプラットフォームの重要性～

近年増加しているサイバー犯罪は、動機の大半が金銭的利益で、より短期に結果が得られる効率的な攻撃手法がとられているという傾向がある。以前は個人を狙ったものが主流であったが、最近は企業を標的としたビジネスメール詐欺等、一度で多額の資金をだまし取る手法が急増している。

また、各犯罪グループは、国際的に情報交換して手口を共有し、攻撃テクニックを高めていることも明らかとなっている。新技術を取り入れながら、流通する攻撃ツールキットや、劇的に安いコンピューティングパワーを使って自動化を実現し、人手とコストをかけずに大量の攻撃を仕掛けているといいうのが、犯罪者側の現状だ。

一方で企業側の対策は、新たな攻撃が出現する度、パッチワーク的に様々な対策を組み合わせてきた結果、各部門で得られる攻撃データの量や質に差異が生じ、SIEMがうまく機能していない状況に陥っている例が多い。

月次レポートとしてベンダー毎にバラバラな形で届くインテリジェンスも、もはや情報の洪水状態だ。有効なブロックができず、インシデントレスポンスを重視した手動対応の現状が続けば、攻撃量の増加に伴って人手が不足し、いずれその企業のIT全体が破綻してしまう。

これを避けるには、IT全体を可視化し、攻撃される面を最小化したうえで、既存の攻撃は自動的に阻止し、未知の攻撃はリアルタイムに解析して適切に対処するという、プリベンションの考え方が重要で、これを実現すべく当社が提案するのが、次世代セキュリティプラットフォームだ。

ここでは、次世代ファイアウォール（FW）、クラウド脅威インテリジェンス、次世代エンドポイントセキュリティという３つのコンポーネントが、以下のように機能する。

まず、FWに入った通信の中に実行ファイル等があった場合、それをクラウド脅威インテリジェンスに送り、静的、動的解析、そして人口知能を使ったビックデータ解析を高速で行う。その結果マルウェアを発見した場合は、それらの動作から接続シーケンスまで全てを見たうえで、その情報を全世界のユーザーが利用する当社FWに5分以内に送る。過去に一度見つかった悪意のある通信は、解析直後から、全てのFWでブロックすることができるという仕組みだ。

そしてこの水際対策に加え、ユーザーのPCに届いてしまった脅威への対応として提供するのが、次世代エンドポイントセキュリティだ。一般的なアプリケーションにある欠陥の悪用を防ぐ脆弱性対策や、もし実行ファイルが届いた場合は、FWの仕組みと同様、リアルタイムでクラウド脅威解析を行い、実行制御を行う仕組みを講じている。

オンプレミスでの対策では限界のある、膨大なリソースや脅威データを使った解析を可能にし、脅威の増加にもスケーラブルに対応できる点、さらに、脅威の検知から解析、情報共有までの全工程を、ユーザーの労力を要さず自動で行える点がポイントだ。

さらに、我々が持つ脅威データベースをユーザー自身が利用できるよう、AUTOFOCUSというサービスも合わせて提供している。ドメインやハッシュ値等、参照したい切り口からデータを一括抽出し、関連するマルウェアのアクティビティや犯罪集団の情報等を取得できるこの仕組みがあれば、何かインシデントが発生した時、すぐに情報を入手でき、同業他社と比較しながら、自分達が狙われているのかという重篤度も把握できる。

情報共有と自動化で有利な立場に立っている犯罪者側に対し、我々防御側もそれらを確保することで、攻撃に対して素早く対応できるようになる。我々のインテリジェンスとプウラットフォームは、これを実現させ得るものだと考えている。

金融分野におけるサイバーセキュリティ対策の次の一手 ～脅威情報の効果的な活かし方とは～

金融分野を狙うサイバー犯罪の標的が、徐々にアジア諸国、そして日本に向き始めている中、一般的なガイドラインに沿うだけのセキュリティ対策では不十分だ。近年注目されたインシデントより、3つの事例を分析しながら、金融機関がとるべき対策ポイントを明らかにする。

事例の1つ目に、SWIFTネットワークのハッキングをあげたい。昨年発生したバングラデシュ中央銀行の事案は、2013年頃から世界中の銀行に対して継続的に行われてきたサイバー攻撃であり、日本も標的となっていたことから注目された。

この手口は、SWIFTシステムの細かい仕様や、各銀行のシステム仕様を知る者にしか成し得ないもので、情報の入手経路は疑問として残っているものの、サイバー攻撃のターゲットが、エンドユーザーから金融そのものに移ってきていることが分かる。

また、ウクライナの銀行が標的型攻撃をうけ、多額の不正送金が発生した事案については、金融以外の業種に対しても、財務ソフトウェアが起動しているPCを狙い、同じ手口で多数攻撃を仕掛けていたことが明らかになっている。

標的型攻撃への対策はイタチごっこだと思われがちだが、ポイントをおさえることで有効な対策がとれる。

標的型攻撃は、「侵入行為」「ネットワークの深部への侵入」「遠隔操作等の目的行為」という3つのステップで行われるが、新たな手口が次々と現れるのは「侵入行為」と「目的行為」だけで、真ん中の部分はここ10年程手口が変わっていない。従って、この部分の防御へ注力することが、合理的な対策だと言える。

「ネットワーク深部への侵入」を多層防御的に考えると、まず、マルウェアのインストールを防ぐため、ウイルス対策ソフトやEDR導入はもちろん、コマンドレベルでのホワイトリスティングが有効だ。侵入後の社内ネットワーク横展開を防ぐには、OSの設定強化、UEBA導入が考えられる。そして、情報窃取やシステム破壊等に備えるため、バックアップ、暗号化によるデータ保護、DLP製品の導入等も重要だ。

事例2つ目は、ATMマルウェアだ。これは2010年頃から始まり、犯罪側が徐々に組織的に動くようになるにつれ、東欧、南米、そして東南アジアへとターゲットが推移してきており、昨年はタイと台湾での被害が注目された。

以前は、ATMシステム毎に新たなマルウェアが順次誕生していたが、最近では、標的のATMシステムがWindows環境であれば、ベンダーフリーで動作するマルウェアAliceが発見された。これにより、大半のATMが標的となるステージに突入したと言える。

マルウェア侵入に、メンテナンス会社等の関係者が利用されるケースが多かったATMマルウェアの事例からは、クローズドネットワークであっても十分な対策が必要であることが分かる。ツーマンルールやロギング、持ち込まれる記録媒体やソフトウェアが正規なものかという確認を徹底し、ファームウェアやハードウェアを含めた十分なチェックが必要だ。

3つ目に、保険契約情報売買の事例から、特に保険業界でとるべき情報流出対策を考えたい。これは欧米を中心に始まった医療データの売買が発端となり、医療データの単価が安くなるにつれて、保険データもセットで売る動きへと変わってきたものだ。

通常、顧客の保険情報は営業担当者の端末等にも入っており、もはや自社システム上の対策だけでは、情報流出を防げない状態になっている。内部不正も鑑みた情報流出対策としては、操作ログの記録、プログラムの実行制限、ネットワークやユーザの監視に加え、ファイル、OS、ハードディスクの暗号化等の組み合わせポイントとなる。

マネジメントとしてのサイバーセキュリティ

ここ数十年、サイバー攻撃の実態は、ハッカー集団による主義・主張を目的としたものから、機密情報や金銭目的の攻撃、国家による標的型攻撃等へと大きく変化してきた。そして今は、攻撃ツールやSNSの浸透を背景に攻撃者の裾野が広がり、一般の若者でもゲーム感覚で本格的な攻撃を仕掛けられる時代へと突入している。

情報の漏えい・改竄・消失、サービスやシステムの停止等、あらゆる種類の被害が次々に発生してきた中で、攻撃対応に対する考え方も、技術的なIT管理として特定部門の現場で行っていた問題から、リスク管理や危機管理等、組織全体として対応を考えるべき経営課題へと変化してきた。

これに合わせて、企業の組織体制も変化している。情報漏えいが注目を浴び始めた頃から、各企業はセキュリティ部門やコンプライアンス部門を立ち上げて外部への情報流出対策を進め、その後、侵入前提型の考え方やCSIRTの重要性が浸透するにつれ、インシデント体制を講じるようになってきた。

今この段階に留まっている多くの金融機関が、次の段階として目指すべきサイバーセキュリティマネジメントについて、重要となる3つの観点をおさえたい。

1つ目は、現在多くの企業で欠落している「特定」の観点だ。自社のセキュリティ上の弱点を正確に知ることは、インシデント発生時の原因究明を早めるだけでなく、対策の優先順位判断においても不可欠な要素となる。

また、脅威動向を見ながら、どのような目的を持つ攻撃者が、どのような手法で自社を攻撃してくる可能性があるかを分析したうえで、守るべき情報資産は何か、もしくは守れないケースはどのような場合かを認識する必要がある。これらの「特定」ができて初めて、後の「防御、検知、対応、復旧」とうい仕組みを有効に講ずることができる。

2つ目は、インシデント対応から復旧までの「危機管理体制」の観点だ。サイバー攻撃発生を自然災害発生と同レベルの感覚でとらえた危機管理体制がとれているか、サイバー発生時に利用する規定や文書が細かすぎて実効性を欠いていないか、悪い報告が上がりやすい組織を作れているか等、見直しが必要な企業は多いのではないか。

また、標的型メール訓練を行う金融機関は多いが、巧妙なメールが仕掛けられる今の時代、各人の見分ける能力の向上を図る対策は、本質的に意味が無い。訓練は、組織にとって最も深刻なシナリオで行ってこそ、組織全体の課題が洗い出され、有意義な結果が得られる。

3つ目は、「組織間連携、情報収集、インテリジェンス活用」の観点だ。自社だけの限られたリソースでは、十分なセキュリティ対応に限界があるため、他社と連携し、業界全体で効率的に対策を進める発想が重要だ。

また、刻一刻と変わるセキュリティの最先端に追いつくためには、複数の情報ルートを持ち、国内外の会合やコミュニティに積極参加する姿勢が不可欠となる。

そして、組織階層に合わせて、どの部門がどんな情報を管理するかという、インテリジェンス活用も大切だ。経営層が「誰が、何のために」という戦略的な情報を共有したうえで、企画部門が「いつ、どうやって」という、新たなリスク情報等、月・週単位での戦術的な情報を活用し、運用部門が「何を、どのように」という、例えばハッシュ値やドメイン名等、日々変動する最新情報を管理できる体制を組む必要がある。

人材育成は技術系人材の育成に集中しがちだが、金融機関に必要なのは、サイバーセキュリティマネジメントが行える管理系人材の育成ではないだろうか。システムの素養を備えたうえで、経営感覚と現場感覚の両方を持ち合わせる人材をどう育てられるかも重要なテーマだ。