2021年2月25日(木)開催 FINANCE FORUM 金融分野における複雑化するサイバー攻撃とセキュリティの課題・対策＜アフターレポート＞

▼イベントのサイトを見る 金融分野における複雑化するサイバー攻撃とセキュリティの課題・対策

金融分野のサイバーセキュリティ強化に向けた取組みについて

＜はじめに＞
今回は「金融分野のサイバーセキュリティに向けた取組み」と題し、主にサイバーセキュリティの動向、サイバーセキュリティ強化に向けた金融庁の取組み、金融機関への期待の3点についてお話ししたい。

＜サイバーセキュリティの動向＞
今は時世柄、コロナ禍に世間の注目が集まりがちである。しかし、けっしてサイバー攻撃が減っているわけではない。むしろ国内外を問わずサイバー攻撃は増えており、このコロナ禍を利用した攻撃や金融犯罪も起きている状況である。それも特定の大手金融機関が狙われているのではなく、業態に限らず被害が発生しているということを、まずお伝えしておきたい。

国内においては、大手のみならず中小金融機関にも被害の裾野が拡大している。資金移動業者の決済サービスを通じた不正出金等のインシデントが複数発生したほか、DDoS攻撃、情報漏洩等も起きている状況である。 また国外においても、ランサムウェア、VPNの脆弱性をついた攻撃といったものが多数発生しており、今後は日本においても同様の攻撃手法が流行するおそれがある。 特に2021年については、オリンピック・パラリンピックという大規模なイベントが予定されている。攻撃者は世間的注目が集まるタイミングを狙って攻撃を行う傾向があるため、サイバーリスクが高まることが予想される。重大なインシデントを未然に防ぐためにも、日頃行っているサイバー対策をより一層強化することが望まれる。

＜サイバーセキュリティ強化に向けた金融庁の取組み＞
政府全体でサイバーセキュリティ分野における方針決定や戦略策定を行っているのはNISC（内閣サイバーセキュリティセンター）である。 その方針にしたがい、金融庁も金融分野におけるサイバーセキュリティの強化に取り組んできた。 具体的な取組みとしては、サイバーセキュリティ演習（DeltaWall）の実施によるインシデント対応の強化などが挙げられる。 日々新たな脆弱性や攻撃手法が発見されるサイバーセキュリティの分野において、インシデントの発生を100％防ぐのは難しい。デジタライゼーションの進展、さらにオリンピック・パラリンピックという重要なイベントを控えた状況にある今、サイバー攻撃に対抗するためには平時の防御体制を整えることはもちろん、インシデント発生時に的確に対応することが求められる。

＜サイバーセキュリティ対策の全体像と金融機関への期待＞
コロナ禍に伴うリモートワークの普及やデジタライゼーションの進展といった要因により、サイバーセキュリティは以前にも増して重要な課題となっている。 サイバーセキュリティ対策には大きく分けて、平時の対策とインシデント対応の2つがあるが、その双方を継続的に行い、PDCAサイクルを回していくことが望まれる。 まず平時の対策としては情報資産の管理及びリスク評価・対策を行うとともに、脆弱性診断を通して対策の実効性を確認し、セキュリティの穴をふさぐことが重要である。 一方インシデント対応としては、有事に備えたコンティンジェンシープランの作成や実際のサイバー攻撃を想定したサイバー演習・訓練といったものが考えられる。 さらにサイバーセキュリティ分野では業界内での情報共有も重要である。自社単独で対策を行うだけでなく、同業者などと連携し、サイバー攻撃という共通の敵に立ち向かうことが重要である。

＜サイバーセキュリティ分野における経営層の役割＞
サイバーセキュリティにおいては、経営層の役割も重要である。インシデントに至っていないだけでサイバー攻撃は日々起こっているものであるし、インシデントが起きた際に誤った対応をすれば顧客からの信頼を失うことにもなりかねない。 サイバーセキュリティは、システム部門だけの問題ではなく、経営全体に関わる問題なのである。その認識を経営層自身が持ち、社内全体で共有することが必要だ。

大変革に向かう金融ビジネス・インフラとゼロトラスト・アーキテクチャへの移行

【講演者】

フォーティネットジャパン株式会社
副社長　兼　マーケティング本部長

西澤　伸樹　氏

【講演者】

フォーティネットジャパン株式会社
FortiGuard Labs
セキュリティストラテジスト

寺下　健一　氏

＜サイバーセキュリティの主要な傾向と課題＞
今日、金融機関は様々な課題に直面している。その1つが、サイバーセキュリティだ。APIやIoT、リモートワークなどの普及に伴って攻撃対象は拡大を続けているにも関わらず、現場担当者としては限られた予算、人的リソースで広範な攻撃対象を防御しなければならない。さらに多種多様なアプリケーションやプロトコルが混在している状況にあることから、現場には柔軟な対応も求められている。以前と比べても、セキュリティ対策は難しくなっているのである。

＜金融業界を取り巻く情勢＞
金融業界は金融資産を扱うという性質上、サイバー犯罪の攻撃対象になりやすい。犯罪者が犯罪を行う最大のモチベーションともいえる「金銭」にもっとも近い業界だからだ。数ある業界の中でも、金融機関は攻撃者に狙われ続けている業界ともいえる。

近年見られるトレンドの１つが、内部犯行の増加である。外部から第三者が攻撃を行うのではなく、内部関係者の手によるサイバー攻撃が増えているのだ。 またリモートワークの普及に伴い、サイバー攻撃者が企業のコーポレートネットワークではなくテレワーク環境を狙う、といった事例も見られる。

このような状況下では「すでに内部から侵入されている」という前提で対策を行うことを考えなければならない。 そのためにはネットワークの場所、通信元や通信経路を暗黙に信頼しすぎない、いわゆるゼロトラストの発想が必要となる。内部からの不正な侵入による被害を抑えるためにも、認証の強化やアクセス権限のコントロールといった対策を通じて、社内システムを守っていかなければならない。

＜DXとセキュリティ＞
DXの進展に伴い、セキュリティ基盤に対する考え方も変化している。

たとえば資金決済などのシステムにもデジタル化の波が及んだことで、交通や運輸といった他の業界のシステムに金融機関の決済システムが埋め込まれ、あるいは銀行基幹システムを含む複数のシステムがAPIで連携するようになった。 このような状況下で新しくシステムを構築するためには、どうしても汎用のIT技術を利用する必要がある。

しかし、こうした一般に公開されているIT技術には必ず脆弱性の問題があり、また攻撃者もそこを狙って攻撃を行ってくるものだ。 デジタル化はビジネスの生産性向上に役立つ代わり、セキュリティ面のリスクも増大させる。 生産性の向上とリスク対策。この両者のバランスを取ることが、DXにおけるセキュリティ基盤を考える上での課題である。

＜これからのネットワークセキュリティ基盤について考える際のポイント＞
それでは、これからのネットワークセキュリティ基盤をどう考えるべきか。 ポイントは4つである。

1点目は、クラウドやAPI活用に伴う「ビジネス基盤」を特定することだ。今はクラウドやAPIの登場により、どこにリスクがあるのか見えにくくなっている。正しくリスクを判断するためにも、責任分界点や他社のセキュリティ状況を含むリスクを可視化することが重要である。

2点目はプラットフォームで守ることである。攻撃対象が拡大しているため、プラットフォーム自体で防御を行うという発想が必要となる。

3点目は既存のシステムと新しいシステムをハイブリッドで守る戦略を立てることである。新旧システムが共存する状態が続いている以上は、既存のシステムも含む形でのセキュリティ戦略を考えなければならない。

4点目は人工知能なども活用しながらセキュリティを運用することである。拡大し続ける攻撃対象に対し、限られた人的リソースで対応するために人工知能をはじめとするテクノロジーの活用が不可欠である。

当社のようなネットワークセキュリティベンダーのプロダクトもご活用いただきながら、御社の状況に合わせたソリューションを考えていただければ幸いだ。

いかにしてソフトウェアのセキュリティを向上させるか?

【講演者】

日本シノプシス合同会社
ソフトウェア・インテグリティ・グループ
マネージング・プリンシパル

大森　健史　氏

＜BSIMMとは＞
弊社シノプシスはこれまで半導体設計からソフトウェア開発まで各種ソリューションの提供を通じて、開発の現場をサポートしてきた。今回は、ソフトウェア・セキュリティ・イニシアティブ（SSI）の測定結果を基にした年次レポートの最新版BSIMM11の報告内容から、ソフトウェアのセキュリティ向上に必要な施策や対策のトレンドについてお話ししたい。

BSIMMは弊社が2008年に行った先進的な企業におけるソフトウェア・セキュリティの取り組みに関する調査が基で生まれたものである。この調査結果を基にBSIMMソフトウェア・セキュリティ・フレームワーク（SSF）を作成している。BSIMMの特徴は観測結果に基づく科学的な手法での調査分析というところにある。誰かがどこかの時点で考えたあるべき姿との比較ではなく、世の中の動きやトレンドと自社の現状を比較できるというのが特徴だ。BSIMMの調査結果はレポートの形でまとめられ、毎年BSIMMレポートとして発行されるが、その際に調査結果に基づいてSSFも毎年更新される。BSIMM SSFには、ガバナンス、インテリジェンス、SSDLタッチポイント、デプロイメントの4つの領域があり、それぞれの領域について行うべき３つのプラクティスと複数のアクティビティが定められている。BSIMMに基づいて各アクティビティの実施状況を可視化することで、自社のソフトウェア開発セキュリティについての取り組み状況を客観的に評価することが可能になる。

＜ソフトウェア・セキュリティの現状と課題＞
現在、技術の進歩や業界トレンドの変化に伴い、製品・サービスのライフサイクルの速度が加速している。これまで数年かけて金融システムを開発していたのが、DXによりアジャイルで数週間、数日、あるいは数時間毎にリリースするようになると、1か月間ペンテストにかけるというのが現実的ではなくなり、開発の速度にセキュリティ対策が追いつかなくなってきているというのが実状だ。このようなスピード重視の開発現場でソフトウェア・セキュリティをどう高めていくのか。これが、セキュリティにおける課題となっている。

＜ソフトウェア・セキュリティの新たな波＞
最後に、BSIMMの最新版であるBSIIM11から読みとれる、ソフトウェア・セキュリティの新たな波についてご紹介したい。この波における主なキーワードは3つである。

１つは「開発者主導のソフトウェア・セキュリティ」である。これは、開発者自身がセキュリティについて責任を持ち実装するということを意味する。開発のスピードについていくために、トップダウンでセキュリティ対応を行うのではなく、各現場の人間が互いに連携してセキュリティを担保するということだ。十分な時間が取れず「ゼロ・リスク」が望めない以上、セキュア開発を通常業務として取り入れ、レジリエンスを高めていく必要がある。

2つ目は、「「シフト・レフト」から「シフト・エブリウェア」」である。これはセキュリティを単純に上流の工程に移す「シフト・レフト」ではなく、セキュリティ向上の効果が見込める複数の工程において必要なアクティビティを行うというものだ。

3つ目が「DevSecOps」、すなわちDevOpsにセキュリティを組み込むということである。 ソフトウェア開発にスピードが求められる時代、特にフロントエンドのシステム開発では日々新しい機能やサービスが追加されている。 こうした状況下でセキュリティを担保するためには、セキュリティのアクティビティを属人的なものでなく、定型化・自動化していくことも考えなければならない。 セキュリティを品質の一部と考え、品質テストの中にセキュリティも組み込んでいくことが必要だ。

皆様にもぜひBSIMM、さらには弊社製品、サービスをご活用いただき、自社のセキュリティ向上に役立てていただければ幸いである。

金融業界の働き方の変化と、テレワークを狙うサイバー攻撃

【講演者】

エムオーテックス株式会社　
マーケティング部　部長　

山岸　恒之　氏

＜サイバーセキュリティをめぐるトレンドとキーワード＞
弊社はこれまでエンドポイントセキュリティツールの開発を通じて、金融業界のセキュリティ対策を支援してきた。今回は、テレワークの普及を始めとする業務環境の変化に伴うセキュリティリスクとその対策について紹介したい。変化に伴うセキュリティ上の問題について考えてみると、次のようなキーワードが見えてくる。

1つ目のキーワードはDXである。DXは業務の抜本的改革、新サービスの開発に結びつく一方で、外部データとの連携も多いためセキュリティが問題になりやすい。

2つ目のキーワードはテレワークである。コロナ禍における大きな変化の1つがテレワークの急速な普及である。企業側が予期しない形で普及したことに起因するひずみが今、セキュリティ上のリスクとして表面化している。

3つ目のキーワードはゼロトラスト。つまり端末やネットワークを信用しすぎない、ということである。これはDXやテレワークに対応するためには、非常に大切なセキュリティ上の考え方である。従来は外部のネットワークであるインターネットは危険である一方、社内のネットワークは安心なものと考えられていた。そのため、インターネットと社内ネットワークの境界線だけを守ればよかった。 しかし今はインターネットの利便性を最大限に活用して業務を効率化しようという考え方が主流になりつつある。ネットワークの切り分けで安全を担保できなくなった今、攻撃の糸口となりやすいエンドポイントにおいて、よりいっそう脅威から防御できる仕組みが必要であると考える。

＜テレワークとセキュリティ上の脅威＞
テレワークの増加に伴い、社内ネットワークに比べてネットワークのセキュリティが脆弱なテレワーク環境を狙った攻撃も増えている。セキュリティの基本的な対策として、最新のOSのパッチを適用する、アンチウイルスの定義ファイルを常時更新する、といったものがあるが、これらの対策を個人任せすると対応状況が不揃いになってしまう課題が出てくる。さらに社内で情報共有がされにくいことから、インシデント発生時に初動対応の遅れが生じ、被害が拡大するリスクもある。

＜安全と生産性の両立をめざして＞
ビジネスのスピードが加速し、さらにセキュリティ上の脅威も増しているという状況では、安全と生産性の両立が課題となる。弊社では安全と生産性の両立を使命として、業務プロセスへの負担が軽いセキュリティ製品を開発してきた。安全と生産性をどのようにして高めるのか。弊社のプロダクトを例としてあげながら紹介したい。

まず、強力なアンチウイルスを用意して防御力を最大限に高めるという考え方だ。弊社の提供するBlackBerry Protectは、最新のAI技術の活用によりマルウェアをDNAレベルで解析し、99％の高精度で検知・防御する。この「予測脅威防御」により未知・変異性のマルウェアにも対処でき、いわゆるゼロデイ攻撃であってもマルウェア感染リスクを最大限軽減することができるのである。エンドポイントのアンチウイルスで防御力を高めることで、結果的に対応工数・対応コストを減らすのが狙いだ。

さらに弊社では脆弱性への対応状況などを管理できるツールも開発し、セキュリティリスクの可視化・管理も支援している。

＜まとめ＞
IT活用において、セキュリティ対策は不可欠なものである。特に働き方が多様化する現在では、エンドポイントデバイスの防御力を高めることの重要性が増している。セキュリティ対策によって生産性を損なわないためにも業務環境に依存しないエンドポイントに重点を置いたセキュリティ対策を実現していかなければならない。

サイバーセキュリティおよびシステムリスク管理におけるDXとは？
～金融規制に高度に対応するICTの有効活用～

【講演者】

ServiceNow Japan 合同会社
金融ソリューションコンサルティング本部
本部長

水野　拓郎　氏

＜金融業界の全体のトレンド＞
弊社はこれまでクラウドベースのプラットフォーム提供を通じ、各金融機関様のDX推進をサポートしてきた。今回の講演では、金融規制対応およびサイバーセキュリティ現状と課題、さらにその解決策ともいえるDXについてお話しできればと考えている。

まずは、話の前提となる金融業界全体のトレンドについて簡単にご紹介させていただきたい。 Fintech、オープンAPI、RegTechといったテクノロジーの登場、あるいはコロナ禍や世界的な金融規制強化、異業種・他社サービスとの連携の広がりといったビジネス上の環境変化により、金融業界は従来型のビジネスモデルから大きく変わろうとしている。特に、日本の場合、少子高齢化に伴う国内市場の縮小を見据える必要もある。業務変革によって新しいビジネスモデルを生み出すことは、各社共通の課題といってよいだろう。

＜金融規制対応およびサイバーセキュリティの現状と課題＞
現代でビジネスの変革を行うために、不可欠といえるのがDXである。特に、金融業界においては、リーマンショック以降の金融規制強化やIT環境の変化によって規制対応業務およびサイバーセキュリティ関連業務が肥大化し続けている状況である。限られた予算と人員でこれらの状況に対応するためにも、DXでの業務変革による効率化が迫られている。

＜システムリスク管理およびサイバーセキュリティ領域におけるDXとは？＞
そもそもDXとは、デジタルの技術を活用推進していくことによって、ビジネスや業務を変革していくこと、と定義されている。DXはこれまで存在していた業務そのものをなくしてしまう、あるいは根本的に変革できる可能性を持つものである。

たとえば、金融規制対応業務であればRegTechによってシステムリスク管理の高度化・効率的を行う、サイバーセキュリティ関連の業務であれば脆弱性管理のプロセスを自動化する、といったことも可能になる。

＜ICT活用、DX後のあるべき姿、およびServiceNow活用による実現例＞
DXを実施する際には、守るべきポイントがいくつかある。 ここで注意しなければならないのが、現行のやり方を踏襲しないということだ。現行のやり方を単純にデジタル化するのではなく、その業務の本来あるべき姿を考え、「本当にこの業務はいるのか？」というところからスタートする必要がある。またDX施策に現場の実務担当者を参画させることも重要だ。そして、小さく始めること。まずは試験的に導入してみて、価値を体感しながらすばやく展開することが、DX施策を成功させるための最大の勘所である。

しかし、小さく始めるといっても、1つの機能を導入するたびに時間をかけているようではスピーディーな展開は難しい。その課題を解決するための1つの答えが、DXを行うためのプラットフォームを作ることである。プラットフォームを通じてDXを進めることには、小さく始めてスピーディーに展開できる、というメリットがあるからだ。

弊社ServiceNowでもPlatform　of　PlatformsというコンセプトのもとにDXプラットフォームを開発・提供し、サイバーセキュリティ分野やシステムリスク管理分野における業務改革を支援している。弊社プロダクトを導入した担当者からは、セキュリティ関連の業務に必要な時間が大幅に減った、リスク管理が容易になったなどの声をいただいているところである。 現代においてDXは必須の経営課題であり、セキュリティやシステム管理の現場においても対応するべき課題である。弊社のプラットフォームを通して、御社のDXを「小さく始めて、大きく育てる」お手伝いができれば幸いだ。

サイバーセキュリティリスクをめぐる脅威動向と管理策

特別講演

【講演者】

株式会社三菱UFJフィナンシャル・グループ
グループCISO　事務・システム企画部部長

大日向　隆之　氏

＜組織全体で目指すべき目標＞
現在、金融機関における共通の経営課題の1つとして、社会の変化に合わせて自らを変革させていくということが挙げられる。そして、その際に欠かせないのがDXの存在である。

しかし、DX推進はビジネス改革の助けになる一方で、セキュリティ上のリスクを伴うのも事実である。改革を成功させるためにも、まずはどんなリスクがあるのかを認識し、DX推進とセキュリティ対策を同時に進めていくことが重要だ。サイバーセキュリティの分野は変化が激しく複雑ということもあり、経営層としてはリスク判断がしにくい部分もある。しかも実際の施策の実行にはさまざまな社内のステークホルダーが登場してくる。リスクに対する適切な判断・行動を行うためにも、従来型の啓発活動に加え、利害対立や価値観の違いを乗り越え、経営層を含む社内全体が協力して動ける仕組みを作らなければならない。そのためにも情報・知識を共有するのはもちろんのこと、これまで以上に活発にリスクコミュニケーションをとっていく必要がある。

＜ITサービスの利用環境の変化と管理策の勘所＞
次に、ITサービスの利用環境の変化と管理策についての勘所について考えてみたい。

まず脅威動向についてみてみると、個人を狙ったマルウェアによる被害がやや減り、フィッシングによる認証情報の窃取や窃取した情報の使用といった被害例が増えてきている。またクラウドなどのインターネットサービスの設定ミスに起因するインシデントが増えているのも、注目するべき点といえよう。デジタル化が進行する中、一般人・一般法人がモバイル端末でインターネットサービスを利用する機会が増え、開発側もクラウドサービスを利用する例が増えている。侵入が難しい自社環境にくらべ、これらのインターネット公開サービスについては攻撃者としても狙いやすい。実際、なりすましや脆弱性をついた侵入、ランサムウェアといった攻撃が発生している。

重大なインシデントを防ぐためにも、まずはNISTがまとめた「特定・防御・検知・対応・復旧」というサイバーセキュリティフレームワークに基づき、基本的な部分から対策を進めることが重要だ。

＜脅威シナリオの類型と注意すべき最近の脅威事例＞
サイバー攻撃の事案には多数のバリエーションが存在するが、「誰がやるのか」「何の目的でやるのか」「どんな攻撃方法を選ぶのか」「どうやってやるのか」「何を狙うのか」といった切り口を用いることで、ある程度分類が可能である。

たとえば金銭目的で動く犯罪組織であればコストパフォーマンス重視で行動するため、一番狙いやすいところを狙うという傾向がある。適切な対策を立てるためにも、まずは敵の動向を知らなければならない。最近の脅威事例としては、外部委託のサービスITプロバイダーのような外部の接続先が狙われたケースやクラウド基盤の設定ミスや脆弱性を突いたケース、さらには近年流行しているランサムウェアやEmotetの被害があげられる。

＜テレワークのセキュリティ＞
最後に、テレワークのセキュリティについて簡単に紹介したい。

どんな形をとるのであれ、テレワークにはセキュリティ上のリスクがある。 インシデントを未然に防ぐためにも、端末認証・本人認証を強化する、脆弱性管理を徹底する、ユーザーに与える権限を最小限のものにする、といった対策が求められる。またセキュリティに関する啓発活動の実施、サポート体制の強化など、テレワークを行う人への支援も必要になってくるだろう。

＜まとめ＞
現代のサイバー攻撃は多岐にわたり、手口も巧妙化している。これらの攻撃によるリスクを下げるためにも、企業側が現時点における脅威動向やリスクの管理状況をきちんと把握するとともに、セキュリティ向上に向けて全社的に取り組むことが求められている。