2020年2月26日(水)開催 FINANCE FORUM 金融サイバーセキュリティの最新動向と求められる態勢整備＜アフターレポート＞

金融分野のサイバーセキュリティ強化に向けた
取組みについて

2018年10月、東京オリンピック・パラリンピック競技大会の開催等のサイバーセキュリティを巡る環境変化に対応するため、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」がアップデートがされました。現在、同取組方針に基づき、官民連携して金融分野のサイバーセキュリティ強化に向けた取組みが進められているなか、本セッションではこれまでの取組み、課題、今後の対応等についてご紹介いただきました。
※本セッションのレポート掲載はございません。

金融機関における
ソフトウェア・セキュリティの現状とリスク、

ならびにリスク軽減のための戦略

金融サービス業界におけるソフトウェア・セキュリティの現状について、 国内外の金融機関を対象とした調査(※)を交えながら、必要な対策を説明する。
※Ponemon Institute「金融サービス業界におけるソフトウェア・セキュリティの現状」(2019年) 。一部、複数回答可の設問あり。

まず、セキュリティの懸念について。「懸念がある」と回答した割合は、サードパーティからの納品について74%、自社開発について62%と高い。実際に経験した悪影響は、多い順に「システム障害及びダウンタイム(DDoSなど)」(56%)、「顧客情報の流出」(51%)、「ランサムウェアやその他の手段による金銭要求」(38%)。そして、これらが原因と考えられる「顧客の減少」(35%)及び「収益の減少」(34%) が続いている。

他方で、「開発プロセスに関与しているサードパーティに対して、サイバーセキュリティに関する要求事項を課している」割合は43%と高くはない 。更に、この43%の企業におけるセキュリティ要求事項への遵守の徹底状況にも課題がある。最も多いのは、「セルフチェック実行と検証結果提出の義務付け」(55%)、次いで「第三者機関による監査と検証結果提出の義務付け」(47%)。「自社で直接評価を実施」も23%あるが、これは相当ハードルが高い。問題なのは「要求事項を開発契約書に明示的に定義している」が45%に留まり 、「遵守を徹底する正式なプロセスが存在しない」も32%回答があることだ。法務や調達といった開発以外の部門も含めて、トラッキングできるプロセスを構築するべきである。

次に、脆弱性評価について。脆弱性評価を実施している段階は、「開発／テスト・フェーズ」（37%）、「リリース後」（32%）、「本番リリース後」（20%）、「要件定義／設計フェーズ」（11%）と続く。問題の発見は後工程ほどコストがかかるため、早期の対応が望ましい。

セキュリティ・リスク軽減のためのアクティビティは、全体を見直すには時間も必要なことから段階的に行うべきだ。まずは即効性のあるものとして、セキュア・コーディング教育と静的解析(SAST)でチェックし、実装上の脆弱性を除去する。そして、脅威モデリング等により、設計上の欠陥を除去する。その上でペネトレーション・テストや動的解析(DAST)を行い 、環境及び構成上の問題を除去するとともに、実装上・設計上の問題の有無を最終確認する流れだ。

問題の内容により、発見に適した方法は異なる。大切なのは、計画段階の脅威モデリングやリスク分析の段階でアプリケーションごとのリスクを明確にし、リスクに応じて必要なテストを行うことである。

セキュリティ対策のための喫緊の課題は、リソースの確保である。人材不足等により専門の人材の確保は難しいため、開発担当など社員のセキュリティマインドを教育するしかない。教育の効果を高めるには、個々に合った教育内容及び効果の測定が必要だ。

シノプシスでは、セキュア・コーディングに特化したeラーニングを提供している。必要に応じたコースの受講が可能で、知識チェックにより理解度を検査できる。

セキュリティ・テストの需要は、買収や情報漏洩といった「イベント」により変化する。内部リソースが不足した場合の一つの回答として、シノプシスのマネージド・サービスを紹介したい。専門家による遠隔でのテスティング・サービスだ。必要な時に、必要とするセキュリティ・テストを利用することで、 優先度やリスクに応じたリソースの最適化が可能になる。固定価格の年間契約の場合、より柔軟かつ短期間でのテストが可能だ。

皆様には、まずは自社のリソースで何をするのかを明確にし、その上で溢れた部分にどのような手当てをするか考えていただけたら幸いである。シノプシスもご支援させていただく。

複雑化するネットワーク環境の課題解決

～真のモニタリングネットワークの在り方について～

昨今のネットワークの課題として、複雑化・多様化する監視ネットワークと運用の煩雑化がある。企業における対応には、セキュリティ製品の新規導入における投資コスト・運用費の増加、既存の製品の追加・アップグレードにおける柔軟性・拡張性の欠如、TAPやスイッチ追加における障害ポイント増加・可用性の欠如、クラウドや仮想環境へのシフトにおける監視範囲拡大・可視化の困難化といった課題がある。

こうした課題を解決するのが、NPB(ネットワークパケットブローカー)だ。標準機能は、1トラフィックコピー、2アグリケーション、3トラフィックフィルタ、4負荷分散及びフェイルオーバーの4つ。各機能を組み合わせ、自由に監視トラフィックをコントロールできる。フルポート・フルワイヤレートでも処理可能なことも強みだ。

セキュリティ投資コストの削減とネットワーク運用の効率化について説明する。まず、投資コスト及び運用費の削減について。効率の良い投資や運用の負荷抑制をいかに行うかが重要。次に、ネットワークの柔軟性・拡張性・可用性について。ネットワークには、様々な欠点(Fail Pointの増加、障害の切り分けが困難、メンテナンス時の通信遮断など)がある。NPBを導入して簡潔な設計にすると、Fail Pointの削減や可用性の確保ができる。また、NPBはポート数が多いため、通信を遮断せずにツールを追加可能だ。更に、NPB自体でSSLを復号し、IPSやWAFのコスト削減もできる。

ネットワーク環境は多様化しているが、必要な要素は共通している。セキュリティ、パフォーマンスの監視、ログの解析やTelemetry。これらを取り入れるには、環境の可視化が重要だ。NPBを活用した可視化のメリットを環境ごとに説明する。

まず、物理環境及び仮想環境。物理環境では、NPB活用により各種ツールへ最適なパケットを転送できる。NPBでネットフローを生成することも可能だ。仮想環境では、仮想サーバー上のEast-West通信を集約して監視範囲を拡大できる。

次に、パブリッククラウド。NPB活用により、クラウドの通信を既設のオンプレミスのツールに送ることができ、物理環境からの移行期間中もセキュリティを担保できる。また、クラウド上のツールに最適なトラフィックを転送可能。クラウドサービス利用に伴う運用工数の増加も防げる。

最後に、コンテナ。NPB活用によりコンテナ間の通信を集約できる。また、各種ツールへの最適なパケット転送も可能。OSSが主流な中、コンテナだけではなく物理環境やクラウド、各種プラットフォームに対応可能なため、一つの製品で様々な環境の可視化ができる。

近年、SSL通信が普及しているが、 従来のSSL可視化ソリューションは拡張性と柔軟性に課題がある。NPBの場合は、ポートが空いている限り転送先や対象回線を柔軟に拡張できる。また、パフォーマンスの追加に筐体のリプレースは不要で、CPUモジュールの追加で対応可能だ。更に、セキュリティ機器の種別に応じて転送トラフィックを選別でき、機器の投資コストやパフォーマンスを最適化できる。

この他に、SSL通信には多層防御に伴う課題もある。コストの増加、通信遅延、ツールのCPU逼迫、運用やメンテナンスの困難化など。NPBを活用する場合、一筐体で復号・暗号化を実施するため、これらの課題を解決できる。

最後に、NPBを提供するGigamon社を紹介する。アメリカに本社がある、NPBのリーディングカンパニーである。導入実績は、官公庁・金融・サービスなど幅広い業種の3,100社以上。重要ネットワークを持つ連邦機関やグローバル銀行など、通信遮断や停止が許されない機関にも導入されている。興味のある方は、ぜひ当社にお問合せいただきたい。

目に見えない脅威にどのように立ち向かうのか
脆弱性を低減しサイバー攻撃に備えるポイント

クエスト・ソフトウェアは、世界100か国にサービスを展開するグローバル・ソフトウェアプロバイダーである。そのグループ企業であるOne Identity社は、セキュリティに特化した製品を取り扱う、ID/アクセス管理分野のリーダー企業だ。

目に見えない脅威には、外部からの攻撃に加え、内部からの脅威がある。例えば、従業員による個人データ等の販売や、故意または過失による情報漏洩といった内部からの脅威は、最高の境界防御システムでもブロックや検知ができない。

情報漏洩に対する脆弱性対策の状況はどうか。国内外を問わず、インシデントが発生しなければ対策を講じないケースが多々見られる。原因は、見えない脅威に対する適切な対策や投資が分かりにくいことだ。こうした状況を打開するには次の5つのポイントが重要である。

まず取り組むべきなのは、現状把握と可視化だ。可視性を高めるためのソフトウェアとして、当社の「Enterprise Reporter」を紹介する。オンプレミスとクラウドのハイブリッドな構成で、様々な権限等の情報に関するレポートを自動で作成。事前定義されカスタマイズ可能なレポートにより、コンプライアンスとセキュリティの評価、アクセス権の評価などを簡単に実行することができる。

次に必要なのは、異常な行動の把握・分析だ。情報セキュリティを担当するIT部門は、膨大で誤検知も多いアラートへの対応に多くの時間を費やしている。未調査のままのアラートも多く、重要な情報が見過ごされる状況だ。

当社の「Change Auditor」は、様々な変更履歴をリアルタイムに検知し、独自にログを記録・生成して、各種コンプライアンスレポートを自動で作成する。ある事例では、約3億8,700万件のイベントをAIで分析し、脅威の恐れがあるものを1,153件、そのうち真の脅威となるものを304件、関連するユーザは180人と導き出した。AIを駆使したツールの活用により、限られたリソースの中でも 脅威の簡単・迅速な把握が可能になる。

続いて、権限の過剰な付与や濫用を防ぐために、特権アクセスを管理・モニタリングする必要がある。当社の「Safeguard for Privileged Sessions」は、特権ユーザの操作ログを全て監視・録画する。また、疑わしい行為にアラートを発出し、不正操作と認識するとアクセスを完全にブロックする。特権ユーザの操作画面のリアルタイム監視や段階的な権限の割当ても可能だ。この他に、特権ユーザの挙動情報を学習・分析する「Safeguard for Privileged Analytics」 という製品もある。人では対応が難しい部分をAIで補うことが可能だ。

更に、サイバー攻撃を受けた後の迅速な復旧に必要なのが、データのフルバックアップだ。当社の「QoreStor」は、バックアップデータの重複除外・圧縮を行い、最大93%のストレージコストを削減。ランサムウェア対策としてオフラインで多くの世代のフルバックアップをコンパクトに保管しておくことが可能だ。また、エンドポイントのOSやアプリを常に最新の状態にすることも重要である。当社の「KACE SMA」は、OSや各種アプリケーションのパッチの適用を自動化し、脆弱性を低減する。

最後に、IDのガバナンスと管理について。業務で使用するID数の増加、ID管理工数の増加、不正アクセスの危険性増加が課題となっている。過剰なアクセス権をタイムリーに削除するには、自動化が有効だ。One Identity社では、IGAソリューションとして「One Identity Manager」を提供している。中心に存在するリポジトリが、Active Directory、LDAP、SAP、各種アプリケーションや人事システム等と連携。職務に合わせた適切な権限の割振りと一元管理が可能となる。パスワードの定期的な更新や権限の設定・廃止も自動化できる。

こうした製品を導入することにより、可視化、予防・管理、監視・検知、そして復旧対応を正確・迅速に実行できる体制を整備していただけたら幸いである。

ネットワーク分離のコスト・運用課題を解決！
～インターネット分離・無害化×暗号化で
実現するセキュリティ対策～

ネットワーク分離は、バンキングシステムなどの内部ネットワークとインターネットやメールなどの外部ネットワーク通信を分離するセキュリティ対策だ。外部脅威や内部不正から守る対策として、総務省や金融庁など各機関が推奨している。

ではネットワーク分離はどのように実現できるのだろうか。「物理分離」は、ネットワークの外部・内部の完全な分離により安全性が高まる。一方で、分離した端末間でやり取りできず非効率であり、かつ、コストも比較的高い。他方、「VDIやSBCによる論理分離」は、一台の端末でインターネットとイントラネットに接続可能だが、VDAライセンスなどのコストが高い。これらに比べてコストを抑えられる方式が 、「仮想ブラウザによる論理的分離」及び「アクセス制御による論理的分離」だ。

まず、仮想ブラウザによる論理的分離(Web分離)について。インターネットへアクセスした結果を、ブラウザコンテナの中で実行・レンダリング。その結果を無害な画像に変換し、ブラウザで表示する方式だ。画面の操作性は通常のWebアクセスと遜色ない。ただし、この方式は従量課金が一般的で、コストを抑えるにはWebアクセスを最小限にする必要がある。そこで、Web フィルタリングを導入した上で、未知の脅威が含まれる可能性がある未分類のWebサイトのみ分離することで、安全を確保しつつ運用コストを抑制できる。

次に、ネットワークアクセス制御による論理的分離について。ネットワークアクセスをコントロールするエージェントをPCにインストールし、ユーザごとにアクセス権限をルール化して制御する方式だ。あるIDでログインした場合はインターネットにはアクセスできるがイントラサーバーへのアクセスはできず、別のIDでログインした場合はその逆といった制限をかけられる。

以上の分離方式において、データの受け渡しをいかに安全かつ簡単に行うかもポイントとなる。情報流出を前提とした、リスクへの多層防御が不可欠だ。近年厳格化されている法令やガイドラインに沿った、ネットワーク分離における情報漏洩対策を三つ説明する。

第一に、PCへの外部デバイスのアクセスを禁止にした上で、例外的にセキュリティ機能付きUSBメモリのみ使用可能とすることでデータの受け渡しを可能とする方法。このUSBメモリのデータ領域は暗号化され、万が一紛失しても情報漏洩は防止できる。

第二に、第一の方法に加え、予めファイル自体を暗号化する方法。ガイドラインに則した多層防御として有効だ。

第三に、デバイス制御とファイルの無害化を利用する方法。外部デバイスのアクセスを禁止し、ネットワーク間のデータ移動はサンドボックスエリアを経由する。サンドボックスエリア内で危険なスクリプトやウイルスを多重にチェック・除去することで、データを無害化して受け渡しできる。

アルプス システム インテグレーションが提供する「InterSafe シリーズ」でこれらを実現できる。低コストなネットワーク分離ソリューションとして、Webフィルタリングと組み合わせ可能なWeb分離「InterSafe WebIsolation」や、ネットワークアクセスを制御する情報漏洩対策「InterSafe ILP」をラインナップ。また、「InterSafe ILP」は、ネットワーク間の安全なデータ受け渡しソリューションとして各種機能も持ち合わせている。

「InterSafe シリーズ」は、国内大手通信キャリア3社をはじめ、業種業態・企業規模を問わず幅広い導入実績がある。サポートサービスも充実しており、導入前の試用版利用から無償サポートが受けられるので、是非お気軽にお問合せいただきたい。※
※問い合わせ先：https://www.alsi.co.jp/contact-us/security/

サイバーセキュリティ確保に向けた
わが国金融機関の取組状況
～考査やアンケートの結果を踏まえて～

日本銀行は、取引先である金融機関の経営実態等の確認、延いては金融システム全体の安定確保の観点から、考査やモニタリングを実施している。その中で、金融機関のサイバーセキュリティ管理体制の整備状況についても点検している。

本日は、2019年9月に実施した「サイバーセキュリティに関するアンケート」の結果について、ポイントを抜粋して紹介する。※1,2
※1アンケート結果の詳細は、金融システムレポートの別冊( 2020 年 1月)にて紹介。
※2調査対象は日本銀行の当座預金取引先金融機関等のうち402先、回収率100%。同アンケートの実施は、2017年4月の前回調査に続く2回目。

まず、脅威認識と攻撃の発生状況。2年前と比較したサイバー攻撃の脅威認識について、7割強の先が脅威はより高まってきていると回答。また、約4割の先が2017年以降実際にサイバー攻撃を受けたと回答した。

金融機関の取組に進展がみられた点としては、第一に、組織体制。経営トップの関与の下、サイバーセキュリティの確保に向けた計画を策定している先は7割強に達している(前回は約5割)。また、サイバーインシデント対応の専門組織を常設している先は6割弱。前回(約2割)から大幅に増加した。第二に、セキュリティ監視の対象。項目によって実施状況に差はあるが、前回比で着実に改善。特に「マルウェア検知・感染状況」及び「不審なファイルが付されたメールの受信状況」は9割前後の先が監視している。第三に、技術的な対策の強化。9割前後の先が外部記憶媒体の接続を制限しているほか、OA端末が属するネットワークとインターネットを分離している。特に後者のネットワーク分離は、前回(6割弱)から大幅に増加した。

一方で、課題もみられている。体制面では、6割弱の先がサイバーセキュリティに係る企画要員を十分に確保できていない。金融業界においても深刻なサイバー人材の不足が続いていることが確認された。

技術対策に関しては、脆弱性診断やシステムへの攻撃試行等による検査を実施している割合が5割強にとどまり、前回からの改善がみられなかった。また、被害発生時の対応計画（コンティジェンシープラン）を整備済みの先は8割強に上回る一方で、訓練まで実施しているのは5割前後にとどまっている。

また、新たなデジタル技術の導入に関しても課題が確認された。パブリッククラウド利用のための管理体制は、「リスク評価の実施状況を確認」「クラウドベンダーと自社との責任分界点を把握」「自社が求めるセキュリティ要件の遵守状況を定期的に確認」がいずれも5割に満たないなど、一部の先では十分ではない。

サイバー攻撃対策にはコストがかかるため、一段のセキュリティ強化を行う前提として、外部環境を確認しておく必要がある。

金融機関を取り巻く最近の外部環境の変化点として、一つはデジタル技術の利用可能性の高まりがある。技術を導入する場合には、その脅威やリスクを認識し、体制整備や技術面の対応を検討する必要がある。

もう一つは、サイバー脅威の動向。攻撃手法が巧妙化する中で、脅威は全体として一段と高まっている。

以上の点を踏まえると、金融機関が一定のコストをかけて、サイバーセキュリティを強化することが正当化されやすい状況にあるといえる。

こうした環境変化を踏まえたリスク 管理上の着眼点を例示する。

まず、クラウドの管理。ユーザー側の設定ミス等でインターネットから接続可能となっていないか。導入後もプロバイダー側におけるサイバーリスク評価を定期的にモニタリングするルールを設けているか。

次に、RPAの管理。管理台帳や開発・維持管理に関するルールを設けているか。アクセスコントロールは適切か。

最後に、グループ会社や業務委託先を含む管理。グループ会社や業務委託先のセキュリティレベルが、自社の基準に照らして十分か定期的に確認しているか。

以上を参考に、管理に見落としがないか、ご注意いただきたい。

日本銀行は、考査・モニタリングや各種セミナーなどを通じて、金融機関の皆様の取組を引き続き後押ししていく。