1. HOME
  2. イベントレポート
  3. FINANCE FORUM 金融分野におけるサイバーセキュリティの最新動向と対策<アフターレポート>
FINANCE FORUM 金融分野におけるサイバーセキュリティの最新動向と対策<アフターレポート>

FINANCE FORUM 金融分野におけるサイバーセキュリティの最新動向と対策<アフターレポート>

# イベントレポート 印刷用ページ

2019年2月27日(水)、セミナーインフォ主催「FINANCE FORUM 金融分野におけるサイバーセキュリティの最新動向と対策」が開催された。国内外におけるサイバー攻撃の高度化・複雑化によりサイバー攻撃の脅威が深刻化してきている中、国際的にも金融分野におけるサイバーセキュリティの確保は重要なテーマとなっている。本フォーラムでは、金融庁 サイバーセキュリティ対策企画調整室 室長 水谷 剛 氏による「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を概括した基調講演を皮切りに、先進各社による多角的な切り口からの情報発信を通じて、金融機関におけるサイバーセキュリティの現状と未来について付加価値の高い情報をお届けした。

  1. 金融分野のサイバーセキュリティ強化に向けた取組方針について
  2. 国内金融機関事例にみる「サイバー犯罪者」視点での実戦的なセキュリティ演習と対策実行
  3. 海外金融機関におけるセキュリティの最新動向とフォレンジックによる対応策
  4. 特権ID管理がセキュリティの「最後の切り札」と言われる理由
  5. そのセキュリティは利便性を犠牲にしていませんか? ~インターネット分離検討におけるセキュリティ/利便性の両立に向けて~
  6. サイバー攻撃の動向変化から2019年以降のサイバー脅威を見積もる

金融分野のサイバーセキュリティ強化に向けた取組方針について

水谷剛
基調講演
【講演者】
金融庁
総合政策局 総合政策課
サイバーセキュリティ対策企画調整室 室長
水谷 剛 氏

現在、国内、国外において様々なサイバーインシデント(情報セキュリティが脅かされた事例)が起きており、東京オリンピック・パラリンピックに向けてさらなるサイバー攻撃の増加が予測されている。顧客の被害に関しては、インターネットバンキングによる不正送金が2015年に急激に増加したが、ワンタイムパスワードやIPアドレスの共有などの対策の結果、被害は減少してきている。インターネットバンキングによる被害が大手金融機関から中小金融機関に波及したように、サイバーセキュリティの弱いところ、あるいは遅れているところがターゲットとなるケースが多いので注意が必要である。また、攻撃側は、日々、新手の攻撃手法を繰り出してくるので、被害が減少したといっても気をつけないといけない。

2015年に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を策定・公表。だが公表後3年の間に、金融分野のサイバーセキュリティを巡る環境は大きく変化しており、新しい3つの課題がでてきている。1つ目がデジタライゼーションの進展、2つ目がサイバーセキュリティに関しての国際的な議論の進展、3つ目が2020年東京オリンピック・パラリンピックの開催である。以上3つの課題に対応するため、2018年10月に取組方針のアップデートをしている。

東京オリンピック・パラリンピックについては、過去のロンドン、リオデジャネイロのオリンピック・パラリンピックにおいてサイバー攻撃が増加した事例を踏まえ、政府全体として、官民一体となって危機管理体制を構築することを決めている。過去の攻撃対象は大会本部だけでなく、電力事業者や関連事業にかかわった建設会社などインフラ事業者も含まれる。我が国の重要インフラである金融セクターにおいても、サイバー攻撃に備えて関係省庁や日本銀行、民間の銀行、保険会社、証券会社などが連携して危機管理体制を構築していく必要がある。

サイバーセキュリティについては、大手金融機関と中小金融機関で、サイバーリスクやサイバーセキュリティ対策の状況に差があり、それぞれの課題が異なっている。中小金融機関については、経営層のサイバーセキュリティに関する意識向上、コンティンジェンシープラン(何かあったときにどのような対応をするかのマニュアル)の整備やリスク評価(金融機関にある情報資産に機密情報が入っているか、インターネットに繋がっているかなどのリスクの洗い出し)の実施が課題となっている。また、サイバーセキュリティの実効性を確保するためには、リスク評価に基づくサイバーセキュリティ対策の実施をするだけではなく、実際の攻撃に耐えられるかどうか実効性を評価することが重要となる。具体的には、脆弱性診断やペネトレーションテストなどを実施することが必要だ。さらに、サイバーセキュリティに係る演習を通じて、整備したコンティンジェンシープランに基づく訓練や演習をすることが、サイバーインシデントへの対応の強化につながる。

一方、大手金融機関の場合は、海外大手金融機関のベストプラクティスや国際的な議論の動向を踏まえ、セキュリティ対策を一層高度化していくことが重要である。

経営層の意識が低いところはサイバーセキュリティの対策レベルが低いところが多い傾向がみられ、経営層の意識改革が不可欠である。その上で、2020年7月の東京オリンピック・パラリンピックに向けて、コンティンジェンシープラン整備やリスク評価を実施し、サイバー攻撃を想定した訓練・演習への参加や脆弱性診断やペネトレーションテスト等によりサイバーセキュリティの実効性確保に向けて取り組んでいただきたい。

国内金融機関事例にみる「サイバー犯罪者」視点での実戦的なセキュリティ演習と対策実行

乾浩司
【講演者】
シスコシステムズ合同会社
シニア コンサルタント
乾 浩司 氏

製品の複雑化、大量のセキュリティアラート調査、そしてセキュリティ人材不足。世間は今サイバーセキュリティ対策に疲れているとされている。シスコシステムズが行った2018年アジア太平洋地域セキュリティ機能ベンチマーク調査の結果、日本のサイバー疲労はアジア太平洋地域で最高レベルだということがわかった。アラート経験をする企業は世界のベンチマークが56%であるのに対し日本企業は79%。実際にアラートの結果を検証すると55%が誤ったものであるにも関わらず、非常に多くの時間を消費してしまっている。そして防御の自動化率は27%と、優先事項の中では最も低くなっている。このような状況から、日本のサイバー疲れはアジア太平洋地域で最高レベルだということがいえるだろう。

産業の発達によって『どこでも、何にでも繋がるアーキテクチャ』が生まれたことにより、攻撃対象領域が拡大しサイバーリスクが増加している。シスコシステムズの年次レポート(※)の結果、攻撃者はターゲットの攻撃対象領域が拡大する中、検出を逃れ時間をかけて侵害するチャンスを狙っていることがわかった。『どこでも、何にでも繋がるアーキテクチャ』になるにつれて、IT組織がすべての場所におけるアクセスを制御するのは困難となっている。
※サイバーセキュリティレポート
https://www.cisco.com/c/ja_jp/products/security/security-reports.html?oid=rptsc011434

このようなデジタル時代において、必要となるサイバーセキュリティの要件は3つだ。1つ目はあらゆるものを可視化し、脅威を見逃さない態勢を作ること。2つ目はセグメンテーションにより攻撃対象領域を縮小し、攻撃者の水平移動を防ぐこと。3つ目は攻撃者が目的を果たす前に脅威を検知・ブロックして侵害を阻止することだ。デジタル時代のビジネスで成功するためには、今後もサイバーセキュリティを最優先することが必要になるだろう。IT環境の変化に合わせた有効な対策と実効性判断を踏まえた適切な対応を継続していくことがビジネス成功の要件となる。

これからの闘い方を考えるヒントとして、孫子の兵法の『闘いにおいて大事なのは盤石な守り』をサイバーセキュリティ対策に置き換えて考えてみたい。最も起こってはいけない脅威シナリオを優先順位付けしたうえで、脅威シナリオを防ぐ有効な対策を実施し(=敵に負けないような態勢を整える)、サイバー犯罪者の攻撃が成功しないようにする(=自軍が勝てるような状態を作る)。つまり、脅威シナリオを防ぐ有効な対策を実施するには、防御側の視点による検討や想定するリスクへの対策が重要であるが、そこに攻撃側の視点を取りいれることで、攻撃に利用することができるリスク源を洗い出すことができるため、さらに盤石になるといえる。

シスコシステムズでは、攻撃者の視点を取り入れた実戦的なセキュリティ演習を行っている。セキュリティ演習の結果、データ盗難を決定づけるのは人的要素だということ、ハッキングによる侵入の81%は盗まれたパスワードや脆弱なパスワードを使用されているということがわかっている。実戦的なセキュリティ演習を行うことで、自社のリスク要因を洗い出し、対策を取っていくことが必要だ。また、マルウェアの感染源の86%は電子メールとWEBでの配布であることもわかっている。しかし感染源をゼロにすることは不可能だ。セキュリティ侵害は避けることはできないものであることを前提に、サイバーセキュリティの3つの要件、可視性の確保・セグメンテーション・脅威からの保護を進めていかなければならない。

IT 環境の変化を踏まえたうえで、セキュリティ対策の有効性を保つために、攻撃側の視点を取り入れた実践的なセキュリティ演習をぜひご検討いただきたい。

講演企業情報
シスコシステムズ合同会社:http://www.cisco.com/jp/
●シスコのセキュリティソリューションの概要はこちら
●Talosブログ(サイバーセキュリティの専門家が最新情報とアドバイスを提供)
英語サイト 日本語サイト

海外金融機関におけるセキュリティの最新動向とフォレンジックによる対応策

柿本伸吾
【講演者】
オープンテキスト株式会社
ソリューションコンサルタント
柿本 伸吾 氏

OpenTextはカナダに本社を置くNASDAQ上場のエンタープライズ情報管理企業だ。EnCaseというソリューションは20年以上の歴史があり、銀行や政府関係など幅広い機関で使用されている。EnCaseにはセンシティブデータの統制、検知と対応、そして調査の3つのプロダクトがある。さらにEnCaseはWindowsなどのOSだけではなくiOSやAndroidなどのモバイル端末にも対応している。EnCaseの強みはフォレンジックで培った深層解析技術だ。

IMFの調査によるとサイバー攻撃による金融機関の被害総額は約11兆円。全世界の金融機関の経常利益の合計が120兆円ほどなので約9%を占めるほどである。そして被害の90%がSWIFTを狙った攻撃やビジネスメール詐欺による不正送金が原因だ。将来的には仮想通貨を取り扱っているフィンテック企業へのサイバー攻撃により最大約38兆円にまで被害が膨らむとの試算がでている。加えて年間最大1兆円ものセキュリティ投資をしているにも関わらず、年間1500件以上の情報漏洩が世界で起きている。ではどうしてセキュリティ対策に大金をつぎ込んでいるにも関わらず、不正送金や情報漏洩を止めることができないのか。理由は今までのばらまき型攻撃から、特定の金融機関を狙った高度で洗練された一見するとマルウェアではない攻撃が標的型攻撃として増えたからである。例えばOSを迂回するファイルレス攻撃など、ハードウェアにより近いレイヤ―を狙った攻撃が増加。その結果、従来のセキュリティ対策が無効化しているため、大きな被害が出ているということだ。

現在、ネットワークの防御装置やID管理、今まで大丈夫だと思っていた社内ネットワークさえも信用できないのではないかという疑惑がサプライチェーン攻撃などを背景として生じている。従って今までのようにインターネットは危険なので多層防御の仕掛けを作り、セキュアな内部ネットワークに情報を保管して外部に漏洩しないようにする、という手法では十分な安全は得られない。今は、どこからどのような攻撃を受けたとしても脅威を検知して対応できるようにする仕掛けが、特に海外の金融機関を中心に必要とされている。

OpenTextは金融機関のそのような課題に対してアクティブ・フォレンジックを提案している。これまでフォレンジックといえば重大なインシデントが発生するような有事の際に、どのような被害にあったのかを第三者機関が客観的に調査して報告するというものであった。しかしこれからは、SOC/CSIRTのメンバーが平時においてもフォレンジックに積極的に関わることが重要だ。EnCaseは、独自のリモートフォレンジック技術により、アラートのトリアージや残留脅威の検知と駆除。セキュリティポリシー違反の調査、未知のサイバー攻撃に対して組織のセキュリティ耐性を高めるといった主に3つのセキュリティ対策にフォレンジックの技術を適用することができる。

内部調査については、金融庁からの依頼やコンプライアンス違反の有無など様々な調査目的がある。従業員が適正に業務を行っているかを今まで以上に厳密にチェックしないといけない。だが手作業で行うとデータの証拠性が失われてしまう。理由はファイル作成日時やハッシュデータが変わってしまうからだ。そしてデータをきちんと保全するには、正しい手続きの元情報の収集を行う必要がある。滞りなく内部調査を行うにはEnCaseEndpoint Investigatorがおすすめだ。従来のものとは違い、オフラインの状態でもデータの収集が可能であることに加え幅広いOSでも使用可能である。さらに海外や地方など拠点をまたがってもネットワーク越しに情報の収集・保全・調査をすることが可能だ。

講演企業情報
オープンテキスト株式会社:https://www.opentext.jp
●セキュリティソリューションの概要はこちら
●無料ホワイトペーパーはこちら

特権ID管理がセキュリティの「最後の切り札」と言われる理由

斎藤俊介
【講演者】
CyberArk Software株式会社
ソリューションエンジニア
斎藤 俊介 氏

「侵入を防ぐため境界で守る」という発想から「侵入されることを前提にして守る」という発想に、時代の常識が変化してきている。これまでセキュリティは、いかに外部から侵入されないようにするかに重点を置いていた。だが、クラウドサービスやSaaSなどが一般的になってきたことで、企業資産は自社のネットワーク内だけに存在するものではなくなってきている。外部のデータサービスへの委託やクラウドプラットフォームを使ったサービスの利用など、自社のネットワーク外にも企業情報が存在する世の中になってきている。今までのように、企業内ネットワークへの侵入を防ぐだけではなく、クラウドなど社外のデータへの侵入を防ぐことや、万が一侵入された場合にどのように対応していくのかを考えることが求められている。

また、侵入された後に被害の大小を決めるのは特権IDの奪取または特権への権限昇格だ。攻撃者は、重要なデータを盗むことや企業のサービスを止めて損害を与えることなど、何かしらの目的をもっている。しかし、侵入したとしても、重要なデータへは必要な権限(特権)がないとアクセスすることができない。仮にデータベースに侵入されたとしても、重要データにアクセス可能な特権を奪われるか奪われないかで、企業が受けるダメージの大小は大きく左右される。重要なことは特権IDをいかに安全に管理するかということだ。そういう意味で特権ID管理はサイバーセキュリティの切り札であると言えるだろう。

オンプレミスだけでなくクラウドプラットフォームやIaaS、PaaSを使っている場合も、管理者が特権IDとなる。この場合、仮に管理者が乗っ取られてしまうと、すべてのサービスを止められてしまう可能性や情報を抜かれてしまう可能性がある。また最近では、RPAやIoTなどのように、人以外のモノが通信や他のシステムとの連携を行うケースがあるが、このような場合にも特権IDが使われている場合が多い。特権IDを狙ったサイバー攻撃も、時代の変化に合わせて変化し続けている。従来は、人が使っていた特権IDを攻撃者が奪うというものであったが、現在はクラウドサービスなどの管理者IDや、モノが使う特権IDもサイバー攻撃の標的となっている。特権IDの重要性は様々な規制においても言及されており、やはり特権ID管理に最優先で取り組んでいくべきと認識できる。今後求められるセキュリティは、幅広く広がる特権IDにどのように対応していくか、そして特権IDを奪取しようとする攻撃にどのように対応していくかが重要だ。

国内で言われている特権ID管理は、ログイン情報の厳格な管理と、ログイン後の証跡管理の2つを指す事が多い。CyberArkでは「ベース特権ID 管理」として、安全性を高めるため、特権IDを使用した不正アクセスのリアルタイム検知を付け加えるべきだと主張している。さらには「アドバンス特権ID管理」を提唱しており、エンドツーエンドの最小特権や、自動化のため特権IDを利用するシステムに安全な認証情報を提供することを提案している。前述の通り、特権IDを守ることが最後の砦となり、被害を最小限に食い止めることができるため、特権ID管理はサイバーセキュリティの切り札であるとも言われている。

クラウドサービスやIoT等の台頭により、特権IDとみなされるものも急拡大している。サイバー攻撃の手法や目的は時代の移り変わりととも変化し、企業にも新たな対応が求められている。CyberArkが提案する「ベース特権ID管理」と「アドバンス特権ID管理」を活用いただき、特権ID管理を企業のプログラムとして継続的に推し進めていただきたい。

講演企業情報
CyberArk Software株式会社:https://www.cyberark.com/ja/

そのセキュリティは利便性を犠牲にしていませんか? ~インターネット分離検討におけるセキュリティ/利便性の両立に向けて~

ジュセッペ小林
【講演者】
Symantec Corporation
コーポレートディベロップメント、アライアンス、ストラテジー
チーフ ストラテジー オフィサー 日本担当
ジュセッペ 小林 氏
神田雅史
【講演者】
マクニカネットワークス株式会社
Symantec事業統括部プロダクト営業部第1課
神田 雅史 氏

2017年、シマンテックのレポートによるとすべてのURLの中の13分の1がセキュリティの危険性があるサイトに登録された。2016年は20分の1だったことを鑑みると、年々WEBの脅威が強くなっていることがわかる。また、メールの本文に悪意のあるURLリンクを張り付け、ユーザーにクリックさせて感染させる手口のものがメール攻撃全体の12%を占めている。こちらも2016年の1.6%に比べると、約10倍近い伸び率だ。これからは未知の攻撃への対策が求められる時代になっており、こういった攻撃への最もシンプルな対策は、Webサイトに対して強固な閲覧制限をかけるというものだ。しかし制限をかけすぎると見る必要のあるサイトも見ることができなくなり、結果として3つの支障が生じてしまう。1つは見たいサイトが制限されることによる業務効率の低下。2つ目はブロックされた後に閲覧申請されるWeb サイトへのセキュリティ管理者のチェックによる時間の浪費。3つ目は、申請されたWebサイトの安全性の判断が難しいという点だ。これらの問題を解決するものとして「インターネット分離」がある。

インターネット分離とは、Webサイトのオリジナル通信を隔離環境で一旦すべて受け、隔離環境上でWebサイトの読み込みと実行を行うことで、最終的に端末には安全な描画情報だけを転送するというものだ。分離をすることで、Webの閲覧制限や閲覧申請の必要がなくなり、脅威を見逃す可能性もなくすことができる。ミック経済研究所の調査によると、インターネット分離ツールの市場規模は2016年から2018年度までで300%の成長が予測されている。また業種別では、2018年度では金融市場が最も大きい割合を占めるほどに成長している。※
※データ引用元:ミック経済研究所「Web&メールセキュリティ編 2018年版~サイバーセキュリティソリューション市場の現状と将来展望~」P172

インターネット分離には、アプリケーション仮想化、仮想ブラウザ、Web Isolationの3つがある。特にWeb Isolationには他にはない大きな3つのメリットがある。比較的安価(クラウド版であれば仮想環境が不要)、クライアントのエージェントが不要、そして従来のブラウザとの操作感と差異がないことだ。しかし、すべてのインターネット分離ソリューションには共通したデメリットも存在する。分離して表示できないサイトがあること、サイト表示までの時間が若干長くなることによる業務効率の低下、フィッシングサイトでは重要情報の入力ができてしまう点だ。

SymantecのWeb Isolationでは、『全通信分離』もしくは『一部通信だけを分離』する2つの選択肢を用意している。『全通信分離』は、先ほどの1つ目と2つ目のデメリット対策としてユーザーの実環境で入念なPOCを行うことが重要となる。一方で、『一部通信だけを分離』する方法を選択した場合は、Symantecの強みであるフィルタリングとWeb Isolationを組み合わせることで、独自の方法で分離ソリューションの課題を解決することができる。

Symantecのフィルタリングでは、閲覧するWebサイトをリスクレベルやカテゴリなどの複数のフィルタに掛けていく。例えばリスクレベル4 でカテゴリが『ポルノ』の場合、カテゴリでブロックをする。リスクレベル8でカテゴリが『たばこ』の場合、リスクレベルでブロックをする。しかし、リスクレベル3でカテゴリが『未分類』、リスクレベルが7でカテゴリが『たばこ』のような場合は、ブロックすべきか判断に迷うという課題があった。だがWeb Isolationを組み合わせることにより、怪しいサイトはSymantecのフィルタリングで判断し、自動でIsolationして表示することができるのである。このフィルタリングとWeb Isolationの組み合わせは、インターネット分離の課題も解決可能だ。フィルタリングで安全と判断されたサイトはIsolationを未実施にすることにより分離環境の負荷を軽減することができる。フィッシングサイト対策についてはフィルタリングで判断しブロックすることで解決が可能だ。インターネット分離を検討する際は、セキュリティと利便性の観点から、Web Isolationとフィルタリングを併用し、デメリットの少ない高レベルのセキュリティを実現していただきたい。

講演企業情報
マクニカネットワークス株式会社:https://www.macnica.net/
株式会社シマンテック:https://www.symantec.com/ja/jp

サイバー攻撃の動向変化から2019年以降のサイバー脅威を見積もる

名和利男
特別講演
【講演者】
名和 利男 氏

2017年に深刻な影響を発生させたサイバー攻撃について紹介したい。2016年10月より世界31か国の100以上の銀行に対して行われたサイバー攻撃のうち、2017年2月に発生したポーランド銀行に対する攻撃は最も深刻な被害をもたらした。攻撃者はポーランド金融監督局KNFのWEBサーバに侵入し、権限を奪取。WEBサーバ内のローカルJSファイルを、選択した標的で悪意のあるペイロードを実行する仕組みに改ざんした。水飲み場攻撃と呼ばれるこの手法で、KNFのサイトを閲覧したポーランドの銀行は、他国の銀行に不正送金を行うこととなった。

4月から9月にかけて発生した韓国の仮想通貨取引所への窃取型サイバー攻撃では、攻撃者が就職希望の「美貌の女性」になりすまし、仮想通貨取引所の人事部長に接近。有名SNSを通じてメッセンジャーで会話を交わしながら情報を聞き出し、ファイル送信によりマルウェアに感染させた。全従業員の連絡先を所持している人事部長から、ラテラルムーブメントにより被害を拡大させ、最終的に権限奪取を行い不正送金させることに成功した。この他にも、WannaCry(史上最大のランサムウエア攻撃)の事案、米国のユーティリティ事業者への偵察型攻撃、台湾の銀行におけるSWIFTへの不正操作型攻撃など、数多くの事案が発生している。

2018年の日本国内でも引き続き多数のサイバー攻撃が発生している。最新動向を2つほど紹介したい。1つ目はゲームアプリを利用したサイバー攻撃だ。無料で広告のないアプリには悪意のあるものが少なくない。個人のスマートフォンにインストールされているものでも、日中に操作されていない(職場に持ち込まれている)ことを検知すると、自動アップデートによってWi-FiやBluetooth、マイクをオンにし、GPSによる緯度経度情報とともに周辺データをすべて盗取してしまうものが存在する。これらのデータは闇サイトで売買され、攻撃の前段階の調査情報に使用されていることが確認されている。2つ目はWi-FiのSSIDをコピーする手法だ。窓があるオフィスでは、正規のWi-FiのSSIDを偽装することで従業員に悪意のあるネットワークと気が付かせずにアクセスさせ、接続されたPCやスマートフォンなどのデータを盗むことができる。悪魔の双子攻撃とも言われている。

2019年以降に気を付けるべきサイバー環境の変化として、特に注意すべきなのがUSBグッズのオフィス利用だ。USBグッズはオフィス内で手軽に利用できる一方で危険をはらんでおり、差し込むだけで電波の送信を行うもの、不正コードが動くものなどが存在する。最も恐ろしいものがUSB killerで、差し込むと短時間でパソコンの基盤が破壊されてしまう。落とし物や忘れ物を装った悪意のあるUSBメモリも存在するため、見知らぬUSBメモリを自身のPCに差し込む危険性についての啓蒙が必要であろう。

最後に、サイバー脅威から身を守るには、まずは攻撃を認知・検知するためにいろいろな製品やサービスを活用すること、外部専門業者等の活用など、いざという時の対処行動を定めることはもちろん、その間をつなぐ攻撃状況の把握・組織内での判断/ 合意・具体的な対処行動の指示といった「意思決定」の部分を鍛えることが極めて重要だ。そのためには、状況認識の共有・向上を目的とした関係者による定例会及び外部専門家を招聘した勉強会、連絡体制を維持するための定期的な疎通確認訓練や電話会議、意思決定能力の向上及び最新の脅威動向の把握のための脅威シナリオをベースにした机上演習(TTX)などを実施することが有効だ。サイバー脅威から身を守る「事案対処態勢」を強化し、備えを進めていただきたい。