2020年9月10日(木)開催 FINANCE FORUM 金融機関におけるサイバーセキュリティの現状と最適化<アフターレポート>

▼イベントのサイトを見る 金融機関のサイバーセキュリティの現状と最適化

みずほフィナンシャルグループのサイバーセキュリティ対応力の進化と実践事例
～アフターコロナで加速する新たな時代へ向けて～

基調講演

【講演者】

株式会社みずほフィナンシャルグループ
執行役員（グループCISO）兼
みずほ情報総研株式会社　代表取締役副社長

高橋　達浩　氏

サイバー攻撃は世界全体で深刻な脅威となり、国内外でシビアな状況が続いている。相互接続したインフラの弱いところが標的になっている状況も変わっていない。国家関与が疑われる高度な攻撃も散見され、サイバー戦争の時代となっている。

最近の攻撃トレンドとして、脆弱性の悪用や不正送金、ばらまき型メール攻撃、クラウド環境の脆弱性(設定ミス)を狙った攻撃が見られる。インターネットバンキング不正送金の発生件数は、2018年まで減少していたが、2019年に再び増加に転じた。フィッシングに関しても、文面の高度化やサイトの乱立、出口ルートの多様化など巧妙化している。

また、急速なテレワークの拡大により、VPN機器・自宅端末・クラウドサービスの脆弱性や設定ミスなどを狙ったサイバー攻撃も見られる。「守るものが外にある」状態のため、従来型の境界防御だけでは限界がある。

サイバーセキュリティに取り組む際には、経営者自らが自社の特性・リスク・能力などを可視化・理解のうえ、対応態勢を構築し、改善にコミットし続けることが大切だ。また、あらゆるものが繋がるDX時代には、攻撃者側の進化や自社として守るべき環境・スコープの変化などを観察・理解し、適時適切に方針を決め、対応できるインテリジェンス能力の強化が求められる。

〈みずほ〉では長年かけてサイバーセキュリティの対応力強化を一歩ずつ進めてきた。〈みずほ〉のサイバーセキュリティ戦略では、社員が各々の持ち場で自律的に対応力を進化させ、高度化のサイクルや成功事例を積み上げることで、サイバーセキュリティを企業文化としてビルトインしていくことを強く意識している。

自社グループの強みを生かした防衛スタイルや対応態勢の整備は概ね完了した。次へ向けた課題として、グループワイドでの展開、新たなリスクポイントへの対応、インテリジェンス機能の強化、サイバー対応人材の継続的な確保などが挙げられる。

サイバーセキュリティ対応の実践例をいくつか紹介する。まず標準フレームワークの活用による自社実態の把握だ。経営者に納得感ある説明を行ううえで、第三者評価やベストプラクティスとの比較の活用は有効だ。

2点目は子会社のガバナンス強化だ。グローバルにわたり各子会社の管理態勢の成熟度にかかる評価と、各システムの防御対策の実施状況にかかる評価を行い、各子会社の取り組み事項を明確化している。

次の実践例はインテリジェンスの強化だ。プロアクティブの面では緊急不審メール速報やフィッシング対策、リアクティブの面ではマルウェア解析、IoCDBなどに取り組んでいる。

またTLPTを実施し、侵入・改ざんの状況の検知や対応の迅速性・適切性を検証しているが、準備負担もあるため、より効率的かつ柔軟に実施するために良い方法がないか検討している。

人材の継続的な育成では、弊社の現場を「道場」としてグループ内外に広く開放し、外部の専門機関とも連携しながら開発した育成プログラムを継続的に回している。

共同防衛では、富士通様との共創で、サイバーセキュリティ監視運用サービスの提供準備を進めている。〈みずほ〉の実践ノウハウを生かしたサービスで、導入期間の短縮やコストの抑制、顧客側負担の軽減に繋がる。

コロナを機にDXの推進、効率性重視からサスティナビリティ重視への転換が大きく加速していく。Afterコロナ時代では、あらゆる人が快適に暮らすためにサイバーセキュリティ確保が必須だ。

今後もサイバーセキュリティの基本は変わらない。リスクポイントを可視化し、急速な変化については注視・点検が必要だ。テクノロジー進化への目配りや、ガバナンスポリシーなども重要だ。最後に自助、共助、公助の基本に則り、自社の垣根を越えて、守る側も繋がって共同で防衛することがとても大切だ。

最新のサイバー攻撃に対応し、コスト最適化を実現する統合セキュリティ・プラットフォーム
～SASE/ZTNAや次世代EDRの展望～

【講演者】

フォーティネットジャパン株式会社
副社長　兼　マーケティング本部長

西澤　伸樹　氏

【講演者】

フォーティネットジャパン株式会社
FortiGuard Labs
セキュリティストラテジスト

寺下　健一　氏

サイバーセキュリティ、特にインフラを構える際には「セキュリティ ドリブン ネットワーキング」が重要と考える。ネットワークとセキュリティが統合された形で利用されるということだ。通信速度とセキュリティの高さはトレードオフの関係とされてきたが、当社は両者のトレードオフを極力少なくするよう取り組んでいる。

金融機関におけるサイバーセキュリティに関しては、コスト削減・可視化・自動化と運用効率・柔軟性・コンプライアンス報告などが重要なテーマだ。

今後IoT端末が増えるに従い、セキュリティを担うのはクラウドではなく「エッジ」となる。ガートナー社はSASE(Secure Access Service Edge)について、2024年までに少なくとも40%の企業はSASEの明示的な戦略を持つだろうと予測している。ネットワークとセキュリティの機能を、クラウドのアーキテクチャを持ったエッジのクラウドに入れてサービスを提供するのがSASEだ。

SASEを考える上ではネットワークも重要で、オン・ネットワークやオフ・ネットワークでクラウドに接続するとき、どこからどこへつなぐかは各エッジが担うことになる。よってネットワークにおける数多くのエッジをセキュアに保護する必要があるのだ。

金融機関でもテレワーク利用が進んでいるが、BYODの利用は避けるべきだ。BYODでシンクライアントにすると非常に狙われやすい。それなりのリソースのあるPCを従業員に配るほうが良い。その際のプロテクションで重要なのがEDRだが、次世代のEDRを使うことを推奨する。当社の次世代EDRは、脅威検出能力の高さ・高い保護機能や運用性・軽快な動作がメリットだ。

ここからは、日本企業を侵害したEKANSランサムウェアによる標的型攻撃の解説と対策の話に移る。6月初旬に国内製造業の企業のシステムに障害が発生し、国内外の工場の稼働とPC使用の停止の事態となった。インシデント直後、マルウェアのサンプルがオープンソースとして共有されていることも発覚し、攻撃ツールの分析が進んだ。これと似たEKANSランサムウェアによる攻撃が、2020年5～6月に、イタリアの電力会社やドイツのヘルスケア企業などでも発生した。

この最新EKANSの特徴として、まず実行する際に端末における様々なプロセスを終了することが挙げられる。新しいタイプのEKANSでは広く一般的なシステムをターゲットにしている。

次の特徴は標的の環境で実行されたかを確認する機能で、組織内ネットワークだけで名前解決可能なドメインを利用している。意図した環境のみで作動する仕組みであり、マルウェアを分析するサンドボックス環境では実行されないので、マルウェアの発見を遅らせ、解析を妨害することにつながっている。攻撃者が内部IPアドレスを発見する方法については、サーチエンジン、オープンソースインテリジェンス、漏洩データ、アンダーグラウンドマーケットやハッカーコミュニティ、さらに内部犯行の可能性も考えられる。

ここからEKANSランサムウェアを実行したときにどうなるのか、デモの映像をお見せする。意図したとおりの環境で実行すると、バックグラウンドでファイルの暗号化の作業が進み、デスクトップの壁紙も暗くなり、端末利用者に対して感染したことを示す結果となる。

ここで当社のFortiEDRのプロテクションをONにして実行した場合は、画面の右下にメッセージが現れる。フォーティネットのロゴとともに、怪しい動作を発見したのでブロックしたという旨のメッセージが表示される。

FortiEDRはプログラム実行中に動作を分析し、悪性か良性かを判断する。悪性の場合はリアルタイムで止めに行く仕組みだ。

今後の金融システム開発環境を踏まえたサイバーセキュリティの取り組み

【講演者】

日本シノプシス合同会社
ソフトウェア・インテグリティ・グループ
マネージング・プリンシパル

大森　健史　氏

金融システムの変化のトレンドとしては、クラウド・コンテナ化・アジャイル型開発・CI/CD・RPA・DX・モバイル決済・API連携などがあげられる。

そんな中、「情報セキュリティ10大脅威2020」の個人編では、「スマホ決済の不正利用」が最大の脅威とされた。これに加えて、不正ログイン等のいわゆる「なりすまし」が10大脅威中4つを占めている。特にモバイル決済・クラウド・API連携などにおいては、なりすまし対策が非常に重要だ。

まずはクラウドについてだが、クラウド移行にはリホスト・リプラットフォーム・再購入・リファクタリングの4つの道筋がある。

まずリホストから始める、あるいは最初からリファクタリングで行くなど、さまざまなケースがあるが、いずれにしてもセキュリティに問題がないかしっかり考える必要がある。

クラウド化したからといってセキュリティが下がるわけではない。悪化したのはそのような設計・構成にしたからであり、クラウド化自体が問題ではない。セキュリティはクラウド事業者と顧客の共同責任だ。PaaSやSaaSであっても、データの区分とそれに応じた取り扱いは利用者側の責任だ。また、ID管理とアクセス管理もクラウド顧客が責任を負う。特にインターネットからアクセスできるオープンなクラウド環境においては、IDを発行する対象やアクセス許可などの管理が、防御のための新たな境界となる。

クラウド移行はなし崩し的に始まることもままあるが、まずはクラウド戦略を立案し、それに応じてセキュリティの実装方法を人・プロセス・技術すべての面で考慮したクラウド・セキュリティ・ロードマップを構築しよう。クラウド環境にデプロイするアプリケーションに関しては並行して個別の診断が必要だ。アーキテクチャのリスク分析やペネトレーションテスト、さらにはクラウド構成の定期的な評価などを行う。

クラウド・セキュリティの継続的な改善活動には、評価・定義・検出の3つのフェーズがある。評価では現状のクラウド構成のレビューとセキュリティ機能の評価を行う。定義ではクラウドのセキュリティ標準やベースラインの策定・改定を行う。検出では継続的なクラウド構成の管理・監視・評価・修正を行う。

次に、モバイル決済（スマホ決済）のセキュリティについて、モバイル決済アプリに関する最近の動向として、決済SDKの活用がある。自社の決済機能を抜き出して、他社のモバイルアプリに組み込んでもらう方式で、決済APIをSDKとして提供する企業が増えている。

モバイル決済アプリのセキュリティ上の考慮点としては、脱獄・ルート化対策、ユーザー認証、アプリケーション認証、サーバー認証、QRコードの盗取・改竄、取引データの漏洩などがある。これが決済SDKの場合だと、脱獄・ルート化対策一つとっても、SDK自体に実装するのか、アプリ開発者向けに対策方法を提示して組み込んでもらうのかなど、複数の方法から選択し実装する必要がある。

モバイル決済アプリにおけるセキュリティ診断では、まずはアーキテクチャや設計上の問題を調査するために、脅威分析・リスク分析を行うことが重要だ。さらに静的解析による実装上の問題の調査、動的解析による脆弱性の調査、サーバー側の調査も必要となる。

決済SDKのセキュリティ診断でも必要なことは同じだ。脅威分析・リスク分析ではSDKだけでなく、決済システム全体のアーキテクチャのリスク分析が求められる。ただしSDKの場合、動的解析はできない。

一方、オープンAPIによる連携の場合、基本的に必要なことはSDKと同じだが、動的解析も可能である。

シノプシスはこれらすべてについて、適切なアドバイスと診断、並びにツールの提供により支援が可能だ。

今増えているパスワードリスト型攻撃を徹底解説
～悪性Botを利用した高度な手法とは？～

【講演者】

マクニカネットワークス株式会社
第２営業統括部　第２営業部　第２課

佐藤　貴文　氏

パスワードリスト型攻撃は、個人に成りすまして不正にアカウント利用を行う攻撃だ。IDとパスワードのセットでログイン試行を行う。ダークウェブなどでのアカウント情報獲得により、ログインの成功率が高まっているのがトレンドだ。

また攻撃側が分業を行っているのも最近の傾向で、アカウントリストの作成・アカウントリストの精度向上・リストを利用した実際の不正ログイン実行の3層で分業体制を取っている。

2019年から2020年にかけても、下物流・金融・小売りなど多種多様な業種で被害事例が報告された。

すべての攻撃で金銭的な被害が発生するわけではないが、実被害がなくてもパスワード変更などユーザー側の負担は大きい。また閾値設定などで検知できない高度な攻撃も観測されている。

具体的な攻撃例としてまずスローレート攻撃がある。Webサイト側の閾値を回避するような不正ログイン試行を行う攻撃だ。次にIP分散型という攻撃があり、アクセス毎にIPアドレスなどの組み合わせを変えて検知を回避するタイプだ。これらの攻撃は統計情報により後から判明するケースが多い。そのため、未然にリスト型攻撃を防ぐ対策が必要だ。

これらの攻撃では、悪性Botを利用するケースが多い。Botを正しく検知すれば、不正ログインだけでなくその他の攻撃も防止可能だ。

そもそもBotとは自動化されたタスクを実行するアプリケーションやプログラムだが、Webアクセスの約1/4は悪性Botによるアクセスと言われている。脆弱性調査・DDoS攻撃など、セキュリティやビジネスに悪影響を及ぼすツールだ。これに対しGoogle Searchなどの検索クローラ・アクセス分析ツールなどは良性Botだ。人の通信やBotの悪性・良性を正しく識別し制御することが重要だ。

悪性ボットによるトラフィックの割合が高い業種で、金融機関は1位となっている。OWASPでも悪性Botがもたらすビジネスリスクについて言及があり、金融機関でも悪性Botへの対処が重要性を増すだろう。

Bot対策ソリューションを突破しようとする、より洗練されたBotも出現している。マウスの動きやクリックアクションなど、人間の行動を模倣する攻撃手法が生まれているのだ。

そのため、従来の不正ログイン対策手法とは異なるアプローチを用いて防御する必要がある。しかし従来型の不正ログイン対策では、ユーザビリティの低下や属人化といった課題がある。目指すべき対策は、テクノロジーの力で攻撃を正しく検知し、特定のエキスパートに頼らない運用を実現することだ。

従来のWebアプリケーションセキュリティはアプリケーション・OS・ネットワークの3層構造であったが、今後は攻撃の高度化に対応できなくなるだろう。そこでビジネス領域・プラットフォーム・サードパーティーリソースにまでスコープを広げる必要がある。セキュリティへの投資スタンスとしては、インシデント発生時の被害額最少化を見据えたセキュリティ強化だけではなく、併せていかに全体のコスト低減に寄与できるかが求められる。

多層防御汎用型ソリューションと特化型ソリューションを組み合わせ、効率的なセキュリティ施策を実施することが重要だ。

当社の「Imperva CloudWAF」は、不正アクセスを排除し、正規のアクセスのみを保護対象サーバへ送り届けるクラウドサービスだ。世界で44拠点あるが、1つの拠点ですべてのソリューションを提供できるのが強みだ。日本では東京と大阪に拠点を構えている。「Account Takeover Protection」はスローレート攻撃や分散型攻撃へ対応可能で、複雑な設定変更を必要としない。またBot識別に有効なのが「Advanced Bot Protection」だ。Hi-Def フィンガープリント技術により、複数の要素から識別できる。

これまでの流れから大きく逸脱したサイバー脅威について

特別講演

【講演者】

サイバーディフェンス研究所
専務理事／上級分析官

名和　利男　氏

2006年5月から2020年6月の間に、重大なサイバー攻撃を受けた国のランキングを見ると、アメリカ・イギリス・インドなどが上位に入る。アメリカの被害件数は156件と圧倒的で、特に2018年は1年間だけで30件のインシデントが発生した。

重大なサーバー攻撃に利用される攻撃手口で、もっとも多いのはDDos(サービス拒否)攻撃だ。DDoS攻撃によるダメージが大きいのは金融機関だろう。DDoS攻撃はもうないのではないかと考える方もいるようだが、日本では電気通信事業者や通信キャリアが必死にDDoS攻撃を食い止めている状況だ。ここが能力限界を迎えた場合、DDoS攻撃がすぐにユーザーのもとにやって来ることになる。その他にもSQLインジェクション攻撃・中間者攻撃・フィッシング攻撃などがよく利用されている。

攻撃の特徴としてまずサイバー攻撃の方法や仕掛けが定着している点がある。パッカーを使用して容易に検知されないようにしている。次に、ターゲットは個人から企業へとシフトしている点が挙げられる。多くの企業が財政的に苦しんでいる中、ランサムウェア攻撃を受けた場合、莫大な金銭的損害を被るリスクが大幅に上昇しているのだ。

コロナ禍特有のサイバー犯罪も横行している。偽Webサイト、内部の重要なコンピュータのロック、個人データへの不正アクセスなどだ。実績のある既知の高度なマルウェアを使用するのも特徴で、さらに技術サポート詐欺など、古典的でありながら巧妙で執拗な手口が使われることもある。

2020年4月から6月にかけて、イランとイスラエル間で異常なサイバー攻撃が発生した。まず4月下旬にイスラエルの水関連施設がサイバー攻撃を受け、5月下旬にはイランの商港が攻撃され、港周辺の交通に影響が発生した。

6月中旬にはイランの主要な軍事施設や重要な産業センター近隣で爆発・火災が起きた。その中で最もひどかったのがイランのナタンツ原子力発電所での突然の爆発だ。イスラエルのサイバー攻撃によるものであるとされているが、イラン当局は事故であると主張。しかし、「セキュリティ上の配慮」から、原因については明らかにしていない。中東クゥエートの日刊紙「アル・ジャリーダ」によると、イスラエルは、イランの「ウラン濃縮に関連したイランの施設」と、「ミサイル製造の関連施設」の2つの爆発を行ったと伝えた。

2020年7月中旬 イスラエルの2つの水関連施設が再度サイバー攻撃を受け、イランの「サイバーアベンジャーズ」と名乗る攻撃グループが7月14日からイスラエルの鉄道の150以上の産業用サーバーを標的とし、28の鉄道と地下鉄の駅の運用に影響を与えたと声明を発表した。

両国間の攻撃の分析結果から、サイバー小競り合いが異例に露出したことで、これまで秘密裏に行われていたサイバー戦争が、よりオープンな新たな段階に入ったことが分かる。しかし、イスラエル・イランにおける互いのサイバー罵りが示すように、最近では、「沈黙」や「もっともらしい否認」を通じて、帰属を暗に示しながら抑止を与えるやり方に変化してきている。

レジリエンスとはセキュリティ侵害等が発生しても、意図した結果を継続的に提供する企業・組織の能力のこと。レジリエンス態勢を高めることで、事業の継続性を脅かすサイバー脅威を受けたとしても、通常の事業を再開できるようにすることが重要だ。「態勢」と「体制」には違いがあり、前者は事態に対処するための準備ができている状態、後者は基本原理・方針によって秩序付けられている組織のことだ。

サイバーテロのような緊急性の有無を判断するために必要な事態では、観察者による主観的な評価を必要とする。積極的監視・インシデント対処に加え、積極的事実認知によって事態対処・管理が迅速になる。