2021年6月9日(水)開催 FINANCE FORUM 多様化するサイバー攻撃と金融機関に求められる対策<アフターレポート>

2021年6月9日(水)開催 FINANCE FORUM 多様化するサイバー攻撃と金融機関に求められる対策<アフターレポート>

印刷用ページ

2021年6月9日(水)、セミナーインフォ主催FINANCE FORUM「多様化するサイバー攻撃と金融機関に求められる対策」が開催された。2020年の新型コロナウイルスの感染拡大、緊急事態宣言などを受け、金融業界においても在宅勤務など働き方が急速に変化した。そのような中、金融機関を標的としたサイバー攻撃も高度化・複雑化しており、これまでの基本的な対策に加えて、今後はニューノーマル時代に即したセキュリティ対策への取組みも求められる。本セミナーでは、金融業界におけるセキュリティ対策の最新動向をご解説いただくほか、先進企業各社のご講演を通じて、今後金融機関各社がサイバーセキュリティ戦略を検討する上で一助となれば幸いだ。

  1. 金融機関のサイバーセキュリティを巡るリスクシナリオの変化と対策
  2. VPNと同時に実現するコストをかけないリモートデスクトップとは
  3. インテリジェンスベースセキュリティ 脅威インテリジェンスの最新動向
  4. “意味のある”脆弱性対応とセキュリティ製品の導入
  5. 金融機関ユーザー様向け クラウドセキュリティ対策 国内最新事例 ~新型コロナ後を見据えた Salesforce, AWS, Azure環境向け対策例のご紹介~
  6. 横浜銀行が取り組むサイバーセキュリティ対策と組織体制構築

金融機関のサイバーセキュリティを巡るリスクシナリオの変化と対策

伊藤 琢
基調講演
【講演者】
日本銀行
金融機構局 考査企画課 企画役
伊藤 琢 氏

<日本銀行の主な取組み>
日本銀行は取引先である金融機関の経営実態等の確認を行うと同時に、金融システムの安定確保も目指しており、考査やモニタリングを実施している。2015年度の考査より、サイバーセキュリティ管理体制の整備についても本格的に点検するようになった。また、サイバーセキュリティに関する経営方針やリスク管理の現状を確認するため、サイバーセキュリティのアンケートの実施をしており、その結果を金融システムレポート別冊にて公表している。他にも金融情報システムセンター(FISC)のガイドライン策定作業等に参画している。今年度からは金融庁と連携し、大手機関に対してサイバーセキュリティに関する水平レビューを行う予定だ。

<考査での点検ポイント>
2021年度の考査実施方針から点検ポイントについて紹介する。まず、基本的な考え方として、デジタル技術の活用や異業種との金融サービスの連携拡大に伴って、サイバーセキュリティや情報管理の重要性も高まっていることを述べている。また、金融機関がサイバー攻撃を受けた場合においても、重要な業務が遂行できる能力を高めていく「オペレーショナル・レジリエンス」の重要性を掲げている。具体的には、デジタライゼーションへの取組み、人員配置の見直し等の動きが活発化している中、事務リスクやシステムリスクの変化を適切に認識しているか、リスクプロファイルの変化に伴う管理体制の整備・見直しが適切に行われているかが点検ポイントだ。また、サイバー脅威動向等の情報収集や情報共有、顧客情報など重要データへのアクセス権限管理の妥当性、業務復旧に向けた体制やコンティンジェンシープランの実効性、演習の実施を通じた管理の見直し状況を点検する。さらに、自然災害に加えサイバーインシデントの発生に対しても、業務継続体制の見直しが適切に行われているか点検する。

<最近のサイバー脅威動向>
金融機関へのサイバーセキュリティに関するアンケート(2019年9月)結果を見ると、サイバー攻撃に対する脅威認識は引き続き高く、また約4割の先が2017年以降実際にサイバー攻撃を受けたと回答した。全国紙・ニュースにおける「サイバー攻撃」を含む記事件数の推移も増加基調にあり、世間の注目度も高まっている。マルウェア件数の推移をみても、既存のマルウェアの使いまわしだけでなく、新たなマルウェアの数も増加基調を辿っている。インターネットバンキングにかかる不正引出の動向では、2020年入り後は金額ベースで減少したが、件数ベースでは高止まりの状況だ。

<最近見られた特徴的なサイバー攻撃の事例>
最近見られた特徴的なサイバー攻撃について紹介する。1点目としてテレワークの拡大を背景に、VPN装置の脆弱性を狙う攻撃、パスワードの総当たり攻撃が増加している。2点目はクラウドにおけるユーザーの設定不備を悪用する事案で、サービスのバージョンアップ後にデフォルト設定が変化するケースなどで情報漏えいの事例が多発した。3点目のフィッシングに関しては、詐取しようとする情報の種類や量が増加している。4点目はソフトフェアのアップデートを行うとマルウェアに感染してしまうという非常に高度な攻撃で、犯行グループの背後には国家が存在するとの見方も多い。

<サイバー攻撃が多様化した背景>
多様化の背景は大きく2つあり、1つは攻撃者が自ら攻撃方法を多様化していることだ。システムに備わっている機能やツールを活用して攻撃する傾向、マルウェア攻撃より簡易な手法としてフィッシングを選好する傾向もみられる。もう1つは、防御側がリスク特性を多様化させる結果として攻撃も多様化している点だ。在宅勤務を含むテレワークの拡大、新たなデジタル技術の活用機会の増加等が要因だ。

<金融機関に求められる9つの対策>
最後に金融機関に求められる対策について紹介する。個別の対策の前提として、まず①「リスクシナリオの継続的な洗い替え」が挙げられる。サイバー脅威動向や自社のリスク特性の把握とそれらの変化に応じたリスクシナリオの継続的な改善である。この対策が、最も重要かつ最も実施するのが難しい点である。次に②「マルウェア攻撃対策」であり、特にOS・ソフトウェアのアップデート、パッチの適用という基本対策が重要である。③「認証の強化」は、最近のサイバー脅威動向の変化から対策の重要性が高まっている。VPN接続などに関する多要素認証の確保等が求められる。④「脆弱性情報の収集と迅速な検討・対応」は、最も基本的なサイバー攻撃対策である反面、継続的に対応を要する分負担が大きいため、ツールによる自動化や外部業者への委託等を検討することも有用である。⑤「データ暗号化と二重の脅迫への備え」はランサムウェア対策として、被害を受けることを前提に備えをしっかりすることが重要だ。定期的なバックアップ取得だけでなくデータ復旧にかかる時間やコストの事前把握や机上訓練等も重要である。さらに二重の脅迫への備えとしては、自社が保有する情報の分類と外部に公開された場合の対応を事前検討しておくことが挙げられる。⑥「侵入される前提での検知能力向上」はファイルレス攻撃の対策として重要性が増してきている。⑦「クラウドの利用拡大に応じた体制の見直し・強化」については、クラウドベンダーから発せられる情報をユーザー側が主体的に取得していくことが求められる。⑧「ソフトウェアサプライチェーン攻撃への対応強化」では検知能力向上が必要となる。ソフトウェアの改ざんやユーザーの振る舞いに関する検知能力の強化を検討することが考えられる。最後は、⑨「対策の有効性の確認」である。セキュリティ製品そのものの性能確認のみならず、組織体制への親和性やオペレーション対応の有効性等に関する継続的な検証とレジリエンスの強化が重要である。

<セキュリティの高さを競争上の強みに>
ユーザー利便性の追求やコストの抑制とセキュリティ確保のトレードオフ論だけでなく、セキュリティの確保こそが経営上の優位性につながるという考え方が重要である。先進的なセキュリティ対策が、金融機関が培ってきた金融ビジネスに対する信頼感の一層の高まりに寄与し、競争上の強みとなるとの考え方であり、今後重要性が増していくのではないか。

VPNと同時に実現するコストをかけないリモートデスクトップとは

山中 幸代
【講演者】
Ivanti Software株式会社
山中 幸代 氏
藤田 浩
【講演者】
アセンテック株式会社
第二営業本部 第一営業部
藤田 浩 氏
ロッシ セリオ
【講演者】
アセンテック株式会社
製品技術本部 本部長
ロッシ セリオ 氏

<Ivanti社とは>
当社の「Pulse Secure」はグローバル2万社以上で採用され、セキュアアクセスソリューションの業界リーダーだ。Fortune 500社のうち80%でご利用いただいている実績がある。Pulse SecureはNeoteris社で始まり、幾度かの買収やスピンアウトの後、2020年12月にIvantiに買収された。Pulse SecureはSSL VPNの先駆けであり、黎明期から非常に長い歴史を持つため安心してご利用いただける。

<アセンテック社とは>
当社は1998年から23年間に渡ってリモートワークに深く携わってきた実績がある。主な事業領域はVDI・ITインフラ・クラウド・SEサービスの4つで、ディストリビューター事業も展開している。VDI関連の製品を一次店として国内で販売しており、Ivanti様のPulse Secureもその1つだ。

<リモートデスクトップを利用するメリット>
リモートデスクトップ(以下RDP)は普段利用するPC上のアプリやデータを、別の端末で利用できる機能だ。操作端末にデータが保持されないため、データ漏洩対策にもなる。在宅勤務に適しているが、社内LANへアクセスするネットワーク環境が必要だ。

<VPNを用いたアクセス方法>
VPNはあらゆるアプリを継続利用でき、高性能かつ低コストであり、いつでもどこでも使える。VPNを用いたアクセス方式は2種類あり、まずVPN方式は社内用PCを社外に持ち出し、VPN経由で業務システムへアクセスする。2つ目のVPN+RDPの方式はPulse Secureで採用しており、社外の端末から社内用PCにRDPで接続し、社内リソースには社内用PCでアクセスする。

<Pulse Secureの3つの特長>
1つ目は「リバースプロキシRDP接続」で、VPN機器が内部のWebサーバーの代理(プロキシ)として動作し、RDPも利用可能だ。2つ目はリモートデスクトップ設定を、管理者側で一括管理ができることだ。利用者は設定作業なしで、アクセスと認証のみで利用できる。3つ目はHTML5 Accessで、VPNクライアント無しで接続できるアプリの範囲がWeb以外にも拡大する。

<Pulse Secureが実現するリモートデスクトップ>
手元端末のIPは社外IPのままで、社外端末から社内LANに直接アクセスさせない仕組みだ。VPN内の通信をRDPのみに制限することで、社内データの持出を簡単に抑止できる。VPNクライアント端末も不要で、自宅PCの活用も容易になり低コストなのもメリットだ。

<セキュリティと利便性をさらに高める機能>
リモートアクセス用VPNには多要素認証が求められ、Pulse Secureは様々な多要素認証に対応できる。またホストチェッカーという検疫機能により、端末の識別やコンプライアンス状況の確認が可能だ。災害時などにはICEライセンスにより、同時接続数を維持知的に最大数まで引き上げられる。

<Pulse Secureリモートデスクトップ機能のまとめ>
VPNで許可する通信プロトコルをRDPのみに絞ることで、安価に運用が可能だ. 様々な多要素認証、追加機器を買う必要がないなど、VPN機能としては、業界内でも豊富な機能が含まれている。

<リモートアクセス基盤の新たな選択肢>
リモートデスクトップ基盤の選択肢として、物理PC,ブレードPC型、SBC型、VDI型などがあるが、Pulse Secureはすべてに接続が可能だ。しかしながら、セキュリティ、コスト、導入難度、アプリ互換性、管理性など網羅したリモートアクセス基盤ないのが現状だ。また、VDI導入には高い壁があり、コストや導入期間の長期化など多岐にわたり課題が残る。当社はVDIに代わる選択肢として「リモートPCアレイ」を推奨する。単体製品のためコストが低く、設計・構築期間が短縮される。増設が簡単で安定運用をしやすく、故障率も低い。物理PC、SBC、VDIの良いとこ取りが可能だ。

<SaaSへのセキュアアクセス>
RDPだけでなくSaaSへのセキュアアクセスも重要だ。端末のセキュリティを確保するには、「Resalio Lynx 300/700」が有用だ。Pulse Secureとの併用により、SaaSへのアクセス端末の制限、SaaSからの情報ダウンロードの抑制、許可されたSaaS以外へのアクセスの拒否ができる。株式会社三菱UFJ銀行様にもご導入を頂いている。

講演企業情報
Ivanti Software株式会社:https://www.ivanti.co.jp/

インテリジェンスベースセキュリティ
脅威インテリジェンスの最新動向

牛込 秀樹
【講演者】
レコーデッド・フューチャー・ジャパン
執行役社長
牛込 秀樹 氏

<当社のご紹介>
2009年に米国ボストンで創業し、一貫してセキュリティ・インテリジェンスの開発・提供を行っている。ネット上の膨大情報を機械収集し、自然言語処理を行い、機械学習をさせる点が大きな特徴だ。社内にはCIA、NSA等の出身のアナリストが多く在籍している。お客様はグローバルで1,000社以上、8,000名を超えるセキュリティアナリストにご利用頂いている。

<インテリジェンスとは>
インテリジェンスを簡潔に表現すると「価値ある情報」、ITの観点から表現すると「文脈(コンテキスト)を分析し意思決定に利用するもの」となる。文脈の一例を示すと、サイバー攻撃に関する国家の政策、組織の計画・指示、攻撃対象調査といった一連の流れである。もともと軍事・国防の概念で発展した考えであり、英国NCSCでは脅威インテリジェンスの利用を戦略・戦術・運用・技術の4つと定義している。脅威インテリジェンスは現在、一部の方向けの報告書ベースではなく、企業・組織全体へ適用するものとして発展している。

<インテリジェンスでどこを調査するか>
ウェブを氷山に例えると、水面上はオープンウェブ、水面下がディープウェブ、最も深いのがダークウェブとなる。この中で圧倒的に量が多いのがディープウェブで、全体の90%を占めている。顧客情報・起業情報を管理する場所であるため、ハッカーもここを狙っているのだ。情報を売買するダークウェブだけでなく、ディープウェブやオープンウェブの関連も把握することが重要となる。

<インテリジェンスに必要な3つの要素>
インテリジェンスには膨大なデータソースのほかに、自然言語処理、機械学習も必要となる。コンテキストを分析するために必要なのが自然言語処理であるが、多種多言語な脅威データを管理・分析する必要がある。脅威データは自動的に収集・識別し、関連付けを行う。

<ユースケース1.ランサムウェア調査>
ランサムウェアは暗号化・情報開示・DDos攻撃・メールや電話など、二重~四重の脅迫へと凶悪化している。たとえばランサムウェア「DarkSide」は組織化しており、NASDAQや上場企業を狙い、新たな恐喝戦術を拡大している。当社インテリジェンスの調査・分析メニューでは、横軸に時系列、縦軸に攻撃者組織または被害を受けた会社を設定し、攻撃の傾向を把握できる。個々の事件のドリルダウン・深堀も可能だ。

<ユースケース2.金融機関関連の情報>
ダークウェブで売買されるクレジットカード情報を国別にみると、クレジットカードの平均価格、Fullz(犯罪に利用可能な個人データ一式)の価格に関して、日本はいずれも高い。その他に暗号資産アカウント、ソーシャルアカウント、ペイメントサービスなどの個人情報が売買されている。当社のサービスでは金融機関への攻撃ベクターを分析することも可能で、フィッシングやDDos、XSSなどの手法が多いことが分かる。

<ユースケース3.脆弱性・IoC>
脆弱性はCVSSで世界標準的に管理されているが、セキュリティリスクのレベルを示すものではなく、過度に依存することはリスクが伴う。CVSSに加えて外部要因の評価が必要だ。脆弱性に関しても当社のポータルから検索可能で、既に利用されている脆弱性、マルウェアが存在する脆弱性、危険度の高い製品ベンダーなどの情報を把握可能だ。

<ユースケース4.企業・サードパーティ調査>
脅威インテリジェンスによって、サプライチェーンや電子調達接続先のサイバーリスクを監視することもできる。サイバーセキュリティの対策を可視化、数値化することによりセキュリティ対策のPDCAを回し、セキュリティレベルを上げることができる。 また、業界や業種によっても調査することができ、どのタイミングで攻撃をされたのか、など脅威の傾向も分析ができる。海外を含むグループ関連企業のITセキュリティガバナンスに役立てることが可能だ。

<インテグレーションの加速化>
脅威インテリジェンスはセキュリティシステムと統合して機能し、会社・組織のセキュリティレベルの向上や意思決定の加速化も可能となる。API・SOARなど他システムとの連携の流れも今後加速するだろう。

講演企業情報
レコーデッド・フューチャー・ジャパン:https://www.recordedfuture.com/jp/

“意味のある”脆弱性対応とセキュリティ製品の導入

山田 拓明
【講演者】
東京エレクトロン デバイス株式会社
アカウント第二営業部
山田 拓明 氏
渡辺 潤
【講演者】
東京エレクトロン デバイス株式会社
セキュリティ&サービス技術部
渡辺 潤 氏
山下 勝士
【講演者】
東京エレクトロン デバイス株式会社
セキュリティ&サービス技術部
山下 勝士 氏

<当社の簡単なご紹介>
当社は東京エレクトロンの商社部門から独立して設立された。事業内容は主に3つあり、半導体の商社事業、メーカー事業、セキュリティ製品を提供するITソリューション事業だ。売り上げ規模は1400億円ほどである。

<増加する脆弱性の悪用>
脆弱性を悪用する事例が増えており、6万5,000件の情報流出の可能性、VPN製品の脆弱性からの不正アクセス等が見られる。脆弱性の届け出件数の累計は16,000件にも及ぶ。多数の脆弱性対応は優先度の高いもの、攻撃者に使われやすいものから対応するのが最善だ。

<攻撃に使われやすい脆弱性とは>
攻撃に使われやすい脆弱性とは、CVSSが高いものとする考え方もある。しかしCVSSはあくまで汎用的な脆弱性の評価基準であり、環境によって攻撃に使われやすい脆弱性は異なる。本質的な脆弱性対応を実行するには、攻撃者の視点が必要だ。

<攻撃者視点のソリューション>
ペネトレーションテストは、ホワイトハッカーが実際に対象のシステムに攻撃するテストだ。効果が高い一方、人の手で行うので高額な費用がかかってしまう。これに対し、マシンを使った自動ペネトレーションテストの「PenTera」がある。主なメリットは、全て自動で実行できること、優先順位付けができること、最新ハッキング技術を使用していることの3点だ。

<PenTeraによる実際の攻撃の流れ>
PenTeraはまずテスト範囲の情報収集を行い、脆弱性を列挙する。脆弱性を基に攻撃を実行し、管理者権限など目標を搾取する。終了したらテスト前の状態へ復旧し、対応が優先順位付けされたレポートを発行する流れとなっており、レポートに基づき、改善を行う事ができる。

<守る側視点のソリューション>
エンドポイントが発端の感染や情報漏えいが多いため、EDRは効果的だ。導入効果の高いEDRとして「SentinelOne」をご紹介する。2種のエンジン検知による100%の検知力、AIによる自動対応、マルウェア感染から修復可能といった点が特徴だ。第三者評価機関であるMITRE社による2020年の評価テストでも、検知漏れが0件で優れていると評価された。

<PenTeraとSentinelOneのデモ>
ここからマシンハッカーのPenTeraの攻撃と、EDRであるSentinelOneの防御の様子をデモでいくつかお見せする。PenTeraは数分で致命的な脆弱性を発見し、攻撃に成功する。最終的にドメイン管理者のパスワードを搾取できる。これに対しSentinelOneを防御モードにすると攻撃の成功が0件となり、しっかり防御できていることが分かる。

<デモ1.平文パスワードの搾取~MS Buildの悪用~>
PenTeraはNTLMv1の脆弱性を使ってサーバーへ侵入し、悪意あるコードをFTPでアップロードする。MS Build等でマルウェアに変換して実行し、メモリ上の平文パスワードを搾取する流れだ。これに対しSentinelOneはFTPで悪意のあるコードの送り込み、MS Buildを使った悪意のあるコードのマルウェア変換のいずれも検知し、攻撃内容が完全に可視化されている。

<デモ2.認証情報の搾取~Rundll32の悪用~>
サーバー侵入後、PowerShellを使ってマルウェアを取り込む。Rundll32でマルウェアを実行してドメインユーザーの認証情報を取得する攻撃だ。OSの標準機能だけを使っているので先ほどの攻撃より目立たないが、それでもSentinelOneは検知・可視化できていることが分かる。

<デモ3.検知モードと防御モード>
SentinelOneは検知モードと防御モードを切り替えることができ、防御モードでは脅威プロセスを強制停止させる。今回のPenTeraの攻撃によるイベント数は検知モードで147、防御モードでは65に減り、防御モードのサーバーからは重要情報の搾取に失敗した。

<まとめ>
対応すべき脆弱性は多数、環境によって使われる脆弱性は異なり、攻撃者視点での優先順位付けした対応が有効であり、コストメリットのあるPenTeraを推奨する。 また最新の攻撃手法には、既存のウイルス対策では防ぎきれないケースがあり、感染後の 被害拡大を防ぐEDRの導入が有効であり、検知力が高く、AI自動対応などしているEDRとして、SentinelOneを推奨する。

講演企業情報
東京エレクトロン デバイス株式会社:https://cn.teldevice.co.jp/

金融機関ユーザー様向け クラウドセキュリティ対策 国内最新事例
~新型コロナ後を見据えた Salesforce, AWS, Azure環境向け対策例のご紹介~

河野 真一郎
【講演者】
エフセキュア株式会社
法人営業本部 シニアセールスマネージャー
河野 真一郎 氏

<当社の概要>
当社は1988年にフィンランドにて創設され、サイバーセキュリティ業界において長年にわたる実績をもつ企業だ。従業員1,700名のうち、ホワイトハッカーが300名以上在籍しているのが特徴だ。セキュリティサービスを全世界へ15年以上提供し、非常に多くの実績がある。SalesforceやAWS等クラウド環境については社内に専門チームが存在し、それぞれに特化したノウハウを保有するセキュリティコンサルタントが診断を実施するのも強みだ。

<セキュリティコンサルティングの実績>
当社のセキュリティコンサルティングは数多くの大手銀行で採用され、イギリス・北欧ではTOP5全ての大手銀行、アメリカでもTOP5のうち3行でご採用いただいている。脆弱性診断サービスの提供先は全世界で800社以上、うち金融機関は100社以上だ。日本国内でも金融機関様からご依頼を数多くいただいている。なかでも特に多いのは、クラウド環境移行に伴う、クラウド環境に特化したセキュリティ診断、Salesforce環境のリスク診断、Salesforce環境のマルウェア対策だ。

<クラウド環境(AWS) 診断>
AWS環境に適切な設定ができているか、設計上の問題がないか、設計の意図通りにAWSが設定されているか等について診断を実施する。診断対象の例として、AWSアカウント、IAMアクセス、Amazon CloudFront、Amazon CloudWatch等が挙げられる。Azure環境やGCP環境についても同様の診断を提供している。

<Webアプリケーション+API診断>
クラウド環境を利用するお客様はWebアプリケーションを利用するケースも多い。お客様が構築されたWebアプリ・APIが適切に設定されているかを診断する。

<プラットフォーム診断>
プラットフォーム診断ではOS・アプリケーション・ミドルウェアの脆弱性、SSL/TLSなど暗号化アルゴリズムの設定、パスワード強度等を診断する。

<プラットフォームハードニングレビュー>
ハードニングとは、サーバやアプリケーションの設定を確認し、攻撃範囲と攻撃の範囲を低減する手法だ。直近ではクラウド事業者様が提供するサーバレス環境を利用するお客様が多く、サーバレスに対する設定確認を希望されるケースも増えている。

<金融機関様のサービス診断例>
実際の診断で提供したレポートの例をいくつかお見せする。まずエグゼクティブサマリーでは、脆弱性の一覧と重要度が簡潔に記載され概要を把握できる。詳細なレポートも用意しており、たとえばAPIであれば個別のAPIで発見された脆弱性の内容と修正点を細かく記載している。クラウド環境の脆弱性では攻撃に使われやすい設定や、セキュリティを向上できる機能の推奨などを指摘することが可能だ。

<Salesforce環境におけるマルウェア対策の必要性>
Salesforce社はクラウド環境の責任共有モデルの中において、データプライバシー保護の観点から、ウィルススキャンや検疫は実施しないと正式にコメントしている。お客様側で最新のウイルスやマルウェア対策を実行することを推奨しているのだ。Salesforce環境が多く使われるようになったため、Salesforceにアップロードされたファイルを偽装して、ランサムウェアが送られてくるなどの攻撃例が増えてきている。

<F-Secure Cloud Protection for Salesforceの概要>
こちらは、Salesforce環境におけるアップ/ダウンロードファイルやURLのセキュリティ機能のサービスだ。クラウドとクラウトを連携するため、ミドルウェアや新規サーバの導入は不要で、数分間でインストールが完了する。

<国内金融機関・ヤフー株式会社様のご採用事例>
ある国内金融機関様では、新型コロナウィルスの流行以降、窓口業務がオンライン化され、利用者様からの申込書類をSalesforce環境にアップロードする際のマルウェアチェックおよび、送付Email内のURL安全性チェックにご利用いただいている。

また、ヤフー様の事例では、月間10万件と膨大数の問い合わせ対応プラットフォームとしてSalesforce使用している。1日数千件の問い合わせでも、パフォーマンスの劣化なくマルウェアスキャンができたとご評価をいただいた。

講演企業情報
エフセキュア株式会社:www.f-secure.com/

横浜銀行が取り組むサイバーセキュリティ対策と組織体制構築

福田 覚洋
特別講演
【講演者】
株式会社横浜銀行
ICT推進部 グループ長
福田 覚洋 氏

<横浜銀行のご紹介>
当行は神奈川県を中心に営業する地方銀行で、200店舗を展開している。2016年には東日本銀行と経営統合し、「コンコルディア・フィナンシャルグループ」を設立した。

<サイバーセキュリティに関わる情勢>
サイバー攻撃の変遷で当行にとっていくつか重要なキーワードを挙げると、2013年の韓国の銀行・放送局を狙った攻撃、2014年の金融ISAC設立及び当行の加盟、2015年の日本年金機構への攻撃、2017年のWanna Cryによる世界規模の攻撃がある。直近ではドコモ様の口座からの不正送金事案、カプコン様への不正アクセスや身代金の要求等がトピックだ。今後も攻撃のパターンは変化するので、都度対応していく必要があり、CSIRTの役割として、経営陣に対し、どのように対策をするのかを方向性を示していく必要がある。

<関係省庁の取り組み>
金融庁は「サイバーセキュリティ強化に向けた取り組み方針」をバージョンアップしながら継続的に公表している。これに沿って対応することは重要であり、活用する意義がある。また他の取り組みでは、建設的な対話と一斉把握、サイバーセキュリティ演習(DeltaWall)などがある。金融庁から発信されるデジタライゼーションの進展や金融ISAC連携といったキーワードを、当行での取り組みにも生かしている。

<横浜銀行におけるサイバーセキュリティ対策に関わる組織体制の構築>
当行のICT推進部は40名ほどで構成され、6つのグループがある。サイバーセキュリティ対策グループは元々システムリスク管理を担う部署であったが、2014年頃からサイバーセキュリティ関連の業務も担うようになり、グループ名も現在のものに変更された。2014年に地銀で初めて、金融ISACに加盟。2015年7月にはサイバーセキュリティ対策室を設置し、横浜銀行CSIRTと呼ばれている。メンバーはICT推進部および関連する各部の兼務者で構成されている。また、一つの転換点として2015年10月に多数の届くメールが届く事例が発生。被害はなかったものの、業務内容に支障が出るほどのメールを受信し、メールの送受信を止めるなどの対応を実施。これらを踏まえ、12月にサンドボックスを導入した。2017年には当時、DDoS攻撃などが流行していたこともあり、インターネットホームページに対策ツールを導入。同月に、よりセキュリティ面を高めるため、インターネットWeb閲覧分離ツールも導入している。

<横浜銀行CSIRTの組織体制>
2019年4月の機構改革により、コンコルディア・フィナンシャルグループにICT統括部を設置し、CSIRT業務に関して横浜銀行と東日本銀行の一体運用を開始した。CSIRTの業務は大きく分けてサイバーセキュリティ対策の企画推進と監視・分析であり、行員は企画推進を主に担う。行員のサイバー関連資格として、CISSP が4名、CEHとCNDは1名ずつ保有している。またみずほ情報総研様から、2016年と2018年に横浜CSIRTに対する第三者評価をしていただいた。

<横浜銀行におけるサイバーセキュリティ対策の取り組み>
サイバーセキュリティリスクへの対策として、リスクの可視化・洗い上げを行ったうえで、入口・出口対策、内部対策を明確にした。リスクシナリオ別に、サイバーキルチェーンの考え方を用いて、対策ポイントの洗い出しの実施。技術的な対策・態勢的な対策に関してはロードマップを策定し、計画的な対応を実施した。地銀クラスだと自社だけで対策するのは難しいため、マネジメントサービス等の外部委託先もうまく活用しながら、サイバーセキュリティ対策システムを構築している。

<今後の取り組み>
主に4点あり、まずは新たな脅威に対するシステムの検討で、新たなシナリオを基にしたセキュリティ対策システムが求められる。2点目はゼロトラストアーキテクチャーの検討である。3点目はCSIRT組織体制の拡充および地域金融機関共同の取り組みの推進だ。地銀としてはある程度拡充してきたという自負はあるが、まだまだ推進する余地がある。4点目として、FFIEC(米国連邦金融機関検査協議会)やCAT(Cybersecurity Assessment Tool)による成熟度評価も必要と考えている。