FINANCE FORUM 金融サイバーセキュリティ・リスクの課題と対応＜アフターレポート＞

金融分野のサイバーセキュリティ強化に向けた取組み状況について

近年、金融分野で発生したサイバー攻撃を紹介する。SWIFT を悪用した不正送金やランサムウェアによる攻撃が世界的な規模で発生しているほか、我が国では身代金要求を伴うDDoS 攻撃が発生している。これまでほとんど攻撃対象になっていなかった中小証券会社やFX 業者も狙われており、金融機関はその規模を問わず自らが攻撃の対象になり得るという自覚を持つ必要がある。

SWIFTの事案について触れたい。バングラデシュ中央銀行のSWIFT 端末がマルウェアに感染して8100 万ドルもの巨額な資金が不正に送金された事案である。バングラデシュ中央銀行では、インターネットに接続している端末とSWIFT の端末が内部ネットワークで分離されていなかった。また、昨年10月以降も、SWIFT のネットワークを悪用した不正送金の事案が台湾、ネパール、ロシア、インドなどで発生している。

SWIFT のネットワーク自体は堅牢なシステムだが、利用組織のSWIFT 端末やサーバに脆弱性がある場合には、その脆弱性を悪用されSWIFT ネットワー ク全体に感染が拡大し、その信頼性・安全性が損なわれてしまうおそれがある。この状況を重く受け止め、SWIFTはすべての利用組織に一定水準以上のサイバーセキュリティの確保を求める「カスタマー・セキュリティ・プログラム」を公表した。SWIFT 利用組織はセキュリティに関する16 の必須項目を遵守し、毎年自己評価を行いSWIFT に提出しなければならない。本格的な運用は本年からであるので、適切に遵守できるよう早めの対応をお願いする。

続いて金融庁の取組みについて説明する。金融庁は「金融分野におけるサイバーセキュリティ強化に向けた取組方針」に沿って、取組みを強化している。一つ目は実態把握であり、昨年末までに地銀・第二地銀を中心に215 社を把握した。サイバーセキュリティの取組みを進める上では、経営陣の積極的な関与が重要である。サイバーセキュリティをトップリスクとして経営課題の一つに掲げ、対応を進めている金融機関は着実に進展している。

二つ目は演習であり、金融庁は2016 年から「金融業界横断的な演習(Delta Wall)」を実施している。実際の攻撃事例などを参考にシナリオを作成し、演習後には一定の基準に基づき事後評価を行い、特定した課題を全参加金融機関にフィードバックし速やかな改善を促している。演習への参加は経営陣の意識改革にもつながるため、経営陣の参加を促している。演習はNISC や金融ISAC なども実施している。目的に応じて様々な演習を活用してインシデント対応能力を向上させてほしい。

国際的な議論の代表的な場として、G7 各国の金融当局が集まりサイバーセキュリティの重要性を議論する「G7サイバー・エキスパート・グループ」があり、昨年10 月「金融セクターのサイバーセキュリティの効果的な評価に関する基礎的な要素」を公表した。サイバーセキュリティ対策の目指すべき理想像を示すとともに、その評価の信頼性・公平性を確保するためには、様々な評価ツールを組合せて活用すること が重要だと謳っている。その評価ツールの一つとして「脅威ベースのペネトレーションテスト」を挙げている。

従来のペネトレーションテストは技術面の検証にとどまっていたが、自社に対する脅威情報を収集・分析した上で個別にカスタマイズしたシナリオを作成し、本番さながらに攻撃を仕掛ける、より実戦的な「脅威ベースのペネトレーションテス ト」は、技術面にとどまらず「人」、「プロセス」に関する課題も抽出できる。 こうした手法は大規模な金融機関に相応しいと考えられ、諸外国の大規模な金融機関で活用が進んでいる。そのため、今事務年度の「金融行政方針」において、大規模な金融機関に対し、より高度な評価手法の一つの選択肢として「脅威ベースのペネトレーションテス ト」の活用を慫慂している。

2015 年に「取組方針」を策定して以降、日本語の壁は薄れ攻撃対象の裾野が広がり、中小金融機関も攻撃対象となるなど、サイバー攻撃の脅威は日々増大している。今後とも絶えず変化する環境に迅速に対応できるよう、リスク管理態勢の強化に努めていただきたい。

金融分野におけるサイバーセキュリティ体制と人材育成への取り組み

サイバーセキュリティ体制の構築にあたっては、セキュリティの枠組み全体を鑑み、網羅的に対応できる体制を整えることが重要である。現場では「人が足りない」という声が多く聞かれるが、そもそも目標とするセキュリティ体制が明確化されていないケースが多々ある。まずはゴールを明確化し、必要な人材と人数を見極めなければならない。

セキュリティ体制構築の基本的なアプローチは、現状認識、目標とするセキュリティ体制の設定、現状と目標のギャップからの課題抽出、課題をタス クレベルに落とした実行可能なロードマップの策定、そして実行というステップだ。目標とするセキュリティ体制の設定の際には、セキュリティ領域や業務によってスキルの専門性が異なることに留意し、自社に必要なセキュリティに具体的にどのような技術領域や業 務が存在しているのかを分解したうえで、各領域に必要なリソースの量を見定めなければならない。

具体的には、セキュリティ業務の3 層モデルやスキルのマッピング表などを活用し、業務の明確化と細分化を進めていく。また、アウトソースの検討の際には、セキュリティ業務をコア／非コア業務に分類するなど、複数の基準を組み合わせて一つひとつの業務をアウトソースすべきか否か検討していく必要がある。

リソースを補うための一つの方法として、中途採用について触れたい。中途採用においては、スキルのミスマッチや人材の定着化が課題だ。スキル のミスマッチを失くすためには、採用する人材に求めるスキルとミッションを明確化することが求められる。各業務に必要なスキルと応募者のスキルを照らし合わせ、実際にどの業務を任せることができるかまで落とし込んだうえで採用していかなければならない。ま た、同じ業務に求められるスキルにもさまざまな方向性やレベルがあることを理解する必要がある。

たとえばインシデント対応では、インシデントが発生した時に全体をコントロールするマネジメントスキルや、簡易的な技術調査など初動対応をするテクニカルスキル、マルウェアの解析やメモリの解析をする高度なテクニカルスキルなどが求められる。インシデント対応の経験が豊富な人であっても、その人が具体的にどのような役割を担ってきたのかをよく聞き、マッチするポジションがあるかを見定めて採用しなければならない。

採用した人材を定着化させるためには、自分の将来をイメージできる環境を用意することが重要だ。セキュリティ人材のスキルには大きくマネジメントスキルとテクニカルスキルがあるが、どちらのスキルを主に伸ばしていくのか、現在のスキルや本人の意向を踏まえて決めていく必要がある。キャリアパスとしても、管理系、技術系それぞれに目指せるポジションを用意することが重要だ。現在はセキュリティ畑出身のCISO が少ないのが実状だが、今後はセキュリティ畑の人材がCISO になるための明確なルートを作ることも期待される。

また、育成に当たっては、社内での対応だけではなく、さまざまな会社が用意している外部研修を活用し、セキュリティのスキルを伸ばすことを検討してほしい。デロイトでは、セキュリティ対策のコンサルティングサービスに組み込んだ形で人材育成を行う「デロイト サイバーアカデミー」を2017 年より開始した。プロジェクトの進行に合わせたトレーニングを実施し、効果的な人材育成を行っている。

以上のように、セキュリティ体制の構築にあたっては、目標とする体制を明確にすることで、組織に必要な人材戦略を立案することが肝要だ。デロイ トでは、人材、サイバーセキュリティそれぞれの専門家を擁し、戦略の立案支援を行っている。関心がある方はぜひお声がけいただきたい。

セキュリティのクリティカルポイントは「ネットワーク」から「特権アカウント」へ

サイバーセキュリティを考えるうえで「特権アカウント」に焦点を当てた対策は非常に重要だ。特権アカウントとは、システムにおける管理者用の最高権限を持つアカウントである。たとえばOS の管理者権限アカウントやクラウドサービスの管理者ユーザー、自動化ツールのなかでロボットが使用する高権限のID などだ。管理者用であるがゆえに、高権限にもかかわらず複数人で共有されたりパスワードの変更が困難であったりと管理が行き届かないケースが多く、またあらゆるシステムに必ず存在するため、管理対象となる特権アカウントは日々増加を続けている。

なぜ特権アカウントの管理がセキュリティにおいて重要なのか。ひとつには、サイバー攻撃において、特権アカウントの奪取がその目的を達するための常套手段となっていることが挙げられる。攻撃者の目的がデータの盗取であれサービスの停止であれ、攻撃者は特権アカウントを盗むことによりデータへのアクセス権限やサービスの停止権限を得るのだ。

実際、過去のサイバー攻撃の80% 以上において特権アカウントの認証情報が使用されている。裏を返すとネットワークセキュリティのレイヤーを突破されても、最終的に特権アカウントを守ることができれば被害を防ぐことができるのだ。

もうひとつには、法規制やガイドラインの遵守が挙げられる。特権アカウント管理の重要性は、法規制や各種ガイドラインにおいても言及されてい る。金融業界では、SWIFT CSP や日本の「安全対策基準」、カード業界のPCI DSS などにおいて様々な形で言及されており、GDPR（EU 一般データ保護規則）においてもデータ保護の観点などで言及されている。

われわれCyberArk は、1999年の創業以来約20 年にわたり特権アカウントセキュリティ専門のソフトウェアメーカーとして歩んできた。今では全世界約3600 社が利用し、特権アカウントセキュリティにおいて揺るぎないリーダーとしての評価を得ている。金融機関からの信頼も厚く、グローバルのTOP25 行のうち21行がCyberArk を利用している。近年サイバー攻撃を受けた企業の約44% が攻撃後にCyberArk で対策を開始していることからも、高い信頼がうかがえる。CyberArk はこれまで特権アカウントに対する脅威の防御策を他社に先んじて業界に提示してきた。それが高い信頼を得ているひとつの理由であろう。

CyberArk では、特権アカウントセキュリティに必要なことを「1. 特権アカウントの認証情報を管理し、勝手に使用できない環境にする事」「2. 特権アカウントを使用する場合、アクセス管理を行う事」「3. 未知の特権アカウントを迅速に検知し、対応できる事」という3 つのコンセプトとして掲げ、具体的に7 つのコントロールを提唱している。CyberArk の製品を使うとこれら3 つのコンセプトと7 つのコント ロールをすべてを実現することが可能だ。

コンプライアンスへの対応と事前・事後のセキュリティ対策、クラウドやDevOps などの新たなトレンドに対するセキュリティにくまなく対応することができる。また、あらゆるパートナーとアライアンスを組んでいるため、特権アカウント以外のセキュリティ領域ともシームレスな対応が可能だ。

なかには、特権アカウントに関する自社の状況がわからないという企業も多いだろう。CyberArk では、特権アカウント管理を始めたい企業に対し、 自社の特権アカウントの状況を見える化するソフト「CyberArk DNA™」を無償で提供している。インストール不要で利用でき、システム内の特権アカウントの数やそれらが抱えるリスクの程度をダッシュボードで可視化することができる。興味をお持ちの方はぜひ利用いただき、特権アカウントセキュリティの向上に努めていただきたい。

Amazon Echoを活用したエンドポイント端末のセキュリティで働き方改革を実現する方法

ワンビは2006 年に創業、エンドポイントセキュリティを専門に提供するメーカーとして成長を続けてきた。銀行をはじめとした金融業界では、2005 年に全面施行された個人情報保護法により、情報漏えいした際のリスクの大きさから、「持ち出し禁止PC」という言葉が生まれてしまい、会社からパソコンを持ちだすためには 制限が設けられるようになってしまっている。それは、機動性を失ったことにより情報活用が大きく遅れてしまったと言える。

政府が提唱する「一億総活躍社会」の実現に向けスタートした「働き方改革」。2016 年9月に内閣官房に働き方改革実現推進室が設置されてから1年 以上が経過し、多くの企業が働き方改革を実践しつつある。そのなかで、いつでもどこでも仕事ができる環境づくりのために「テレワーク」という言葉も浸透しつつあり、これにより在宅勤務の制度も徐々に整いつつあるようだが、他の国と比較してみると、まだまだ実施できていない。その原因の一つに、情報漏えいのリスクへの懸念があげられると考えられる。

情報漏えいに備えるためには、PC 導入の際にあらかじめ生体認証や最新のOS・セキュリティが搭載された機器を選定し、リモートワイプなどの情 報漏えい対策機能がついたソフトウェアを使用するとともに、PC の用途やデータの重要性に応じたセキュリティ対策をすることが重要だが、紛失したパソコンに企業の機密データや個人情報が保持されたままであることに変わりはない。

ワンビでは、保持しているデータを遠隔で消去するリモートワイプソリューション「TRUST DELETE Biz」を用意している。PC を紛失した際に遠隔でPC 内のデータを消去するだけでなく、消去命令を受け取ることができないオフラインの際には、タイマーで消去ができる。さらに、パナソニックのLet’s Note シリーズであれば、設計段階から共同開発をして、電源の入っていない状態から携帯の通信網を利用して電源を投入し、強制的にデータを消去する機能を実現している。

データを復元困難な状態で消去することの重要性についても触れたい。消去を請け負う業者の中には、費用や時間のかかるデータ消去を実施せずに、転売したり廃棄処分したりする事故も発生している。ワンビも加盟している一般社団法人コンピュータソフトウェア協会は、適正なデータ消去のためのガイドブックを無料で公開している。2018 年5 月には、データ適正消去実行証明協議会（ADEC）によりデータが適正に消去されたことの第三者証明も可能になる。ぜひ活用いただきたい。

最近では、Amazon Echo を使った新たな取り組みを進めている。「アレクサ、ロックして」と話しかけるだけで、音声本人認証でPC をロックさせることができる。さらに、たとえば無人のオフィスに侵入者があったときに、スピーカーから音声命令を出すことでPC に一斉ロックをかけることが可能になる。また、AI で周囲の状況のログをとり解析を行うことで、PC が盗まれたかもしれないということを自身で 判断し、ロックするような仕組みも考えている。

「情報漏えい対策を社員への持ち出し禁止や罰則で守ってはいけない。パソコンの持ち出し禁止や、違反した場合の罰則を掲げている企業はまだまだ多い。パソコンを持ち出し、無くしてしまう人は会社にとって重要な人が多い。仕事をしなければパソコンを持ち出すことはない。仕事をしている人だからこそ、持ち出している。そうした社員を罰則の対象にするのではなく、社員が安心して働けることが重要だ。生産性を下げず、社員を締め付けず、事故の発生確率を下げ、被害を最小限にすることが、求められるセキュリティ対策だろう」

サイバーセキュリティ対策の要諦はネットワークインフラにあった　～検証、防御、制御のサイクルを回して安全対策を推進する方法とは～

近年、ネットワークを取り巻く環境が大きく変化している。トラフィック量の増加やデータの暗号化が進む一方、企業内部では仮想化環境やクラウドの導入、セキュリティツールの増加などによりネットワークが複雑化し、中を流れるトラフィックが見えにくくなってきている。この見えにくさを可視化して、組織のセキュリティリスクを軽減することが当社の製品のひとつのテーマだ。当社では、セキュリティの「検証」による事前のリスク判断、攻撃に対する「防御」効率の向上、トラフィック「制御」でセキュリティ装置の負担軽減、この3 つによってセキュリティの強化が果たされるのではないかと考えている。

第一に「検証」とは、ネットワーク上に配置されている各種セキュリティツールに対し疑似的にトラフィックを流し、その性能や堅牢性を検証することを指す。当社の製品である「BreakingPoint」は、正常トラフィックと悪意のあるトラフィックの両方を生成し、実際のネットワークに近いテスト環境を再現できる。アプリケーションやマルウェアなどの定義ファイルは、当社のアプリケーション、セキュリティ研究開発機関であるATIリサーチセンターにより定期的に更新され、進化するサイバー攻撃にも対応し続けている。検証は、日々進化するサイバー攻撃に対する定期的な弱点の確認であるとともに、攻撃側からの視点の把握やセキュリティリテラシーを向上させる効果もある。

第二に「防御」の観点では、日々発生する膨大なセキュリティアラート数を軽減し、効率を上げることが重要だ。当社の製品である「ThreatARMOR」 は、不正なI P アドレスからのトラフィックをブロックすることができる。不正サイトからのアクセスは分析不要なトラフィックとして先回りでブロックし、その他のトラフィックのみを分析対象として運用すれば、アラートの数や運用の煩雑さを軽減できる。また、IP アドレスによるフィルタリングは、サイバー攻撃の巧妙化に関係なくブロックが可能である点も大きなメリットだ。不正サイトの識別に利用するブラックIP リストは、前述のATI リサーチセンターにより最新の状態に保たれる。

第三に「制御」について説明したい。トラフィックの制御は、トラフィックの取得漏れによる脅威の見逃しを防ぐこと、ネットワークの複雑化により増大している各種セキュリティ装置の負担を軽減すること、の二点がポイントだ。具体的には、「ネットワークTAP 」により、トラフィックを100% 取得することで、取得漏れによる脅威見逃しの可能性を排除し、「ネットワークパケットブローカー」により、取得したトラフィックを各セキュリティ装置に最適な形で分配する。当社のこれら2 つの製品を組み合わせて利用し、複雑化したネットワーク構成をシンプルにすることで、脅威の見逃し防止と各セキュリティ装置のオフロードが可能だ。また最近はクラウド、仮想化環境に移行している企業も多いが、当社ではそれら環境でのネットワークの可視化製品も提供している。

なお、金融業界向けには、ネットワークパケットブローカーの一種として「TradeVision」という製品も提供している。金融取引におけるマーケットフィードのエラー検知に特化したソリューションだ。マルチチャネルを経由して株価情報などのマーケットフィードデータを取得し、ギャップ（パケット内のシーケンス番号欠落）がある場合にいち早くそれを検知してシステムや監視ツールにフィードバックすることができる。これにより、トラブルシューティングの迅速化が可能だ。

以上のように、当社では検証－防御―制御の3 つの観点からセキュリティを考えている。この3 つのサイクルを回していくことで、今までとは一味違う新たなセキュリティ対策を検討されてはいかがだろうか。

サイバーセキュリティに関する金融機関の取り組みと改善に向けたポイント

日本銀行は、金融機関の経営の安定や金融システム全体の安 定性を確保する立場から、考査において金融機関のサイバーセキュリティ体制の調査・点検を行っている。本日は、昨年実施・公表した「サイバーセキュリティに関するアンケート」の結果と対応のポイントを紹介したい。アンケートは、メガバンク、地方銀行、信用金庫や証券会社など411先に2017 年4月にお送りし、全先から回答いただいたものであり、HP でも公表している。

はじめに、サイバー攻撃の脅威認識について、大きな攻撃事案が発生した2015 年頃と比較してさらに高まっているとの回答が多くあった。小規模な地 域金融機関も含め、過半数の先が実際にサイバー攻撃を経験している。サイバー攻撃への対策を講じるうえでは脅威シナリオの策定と適時の見直しが重要だが、そのためには最新の脅威動向に関する情報を収集・共有していくことが必要だ。

サイバーセキュリティの投資予算については、必要な施策に対して臨機応変に予算が充当されている先が約6 割にのぼる。もっとも、対策にあたっては特にシステム面での人材の確保・育成を課題とする先が非常に多い。外部ベンダーとの協業も含め、将来を見据えた人材確保の取組みが急がれる。

サイバーセキュリティを統括する責任者については、IT 担当の役員が就いている先が最も多い。対策を効果的に進めていくためにも、強い権限を有 する役員レベルの方が統括責任者であることは心強い。今後はインシデントに迅速に対応できる常設の専門部署（CSIRT 等）を整備していくことが望まれる。また、子会社や委託先に事務を移管するような場合には、子会社や委託先のセキュリティ体制整備も必要だ。

コンティンジェンシープランについては、整備が進んできてはいるが、システム障害時のプランがあることをもってサイバー攻撃用のプランを整備していない先が少なくない。しかし、二次攻撃の発生や感染・被害の拡大など、システム障害にはないサイバー攻撃の特徴に対応可能なプランを整備することが必要だ。また、攻撃の影響によっては重大な経営判断や対外公表が必要になることもある。役員を含めた訓練や演習の実施により対応事項をあらかじめ整理しておきたい。

重要情報の管理については、7 割以上の先が漏えい時に経営に重要な影響を及ぼし得る情報が特定できていると回答した。しかし、マルウェアの感 染等により情報へのアクセスが不能になった場合に、業務遂行に重要な影響を及ぼす情報を特定している先は4割にとどまる。業務継続（BCP）の観点からも、攻撃により特定の情報が利用不能となった場合の対応策を講じておくことが必要だ。

脆弱性検査については、過半数の先が何らかの形で実施しているが、定期的に検査を行っている先は少なく、今後の課題だ。深刻な脆弱性については約半数の先が機動的に修正プログラムを適用している。深刻な脆弱性が発見された際に備えて、自社のシステムの棚卸やOS・ソフトのバージョン管理を地道に行うことも重要だ。

最後に端末のマルウェア対策については、対策が進められていることがわかった。端末が属するネットワークとインターネットとの分離を行う先も多 い。もっとも、USB などの外部媒体を介した感染の可能性は常に残るので、留意いただきたい。

考査においては、サイバーセキュリティに対する経営陣の方々の関与度をまず確認している。特定の役職員に任せるのではなく、サイバー攻撃によるリスクについて社内でしっかりと議論を行い、理解を深めていただきたい。今後も、金融システムを共に支える立場から、考査の機会も活用しつつ、金融機関等の方々とサイバーセキュリティに関する議論を深めて参りたい。