2022年2月24日(木)開催 FINANCE FORUM「金融機関におけるサイバーセキュリティの動向と態勢整備」<アフターレポート>

2022年2月24日(木)開催 FINANCE FORUM「金融機関におけるサイバーセキュリティの動向と態勢整備」<アフターレポート>

印刷用ページ

2022年2月24日(木)セミナーインフォ主催 FINANCE FORUM「金融機関におけるサイバーセキュリティの動向と態勢整備」が開催された。新型コロナウイルスの対応として、リモートワークの普及や社会全体でのデジタルトランスフォーメーションが浸透しつつある中で、サイバー攻撃も増加の一途をたどっている。また、日々巧妙化するサイバー攻撃の手口に対して、各金融機関は持続可能なセキュリティ対策を打つことが求められている。本フォーラムでは、サイバーセキュリティ対応の最新事例として、基調講演では金融庁に、特別講演では三菱UFJフィナンシャル・グループにご講演いただいた。その他、先進企業各社による金融機関におけるサイバー攻撃とセキュリティの課題と対策の最新動向についてご紹介した。

  1. 「金融分野のサイバーセキュリティ強化に向けた取組みについて」
    金融庁 齊藤 剛 氏
  2. 「インシデント事例から考える⾦融システムのセキュア開発」
    日本シノプシス合同会社 松岡 正人 氏
  3. 「ランサムウェア攻撃から学ぶ金融DX推進に抑えるべきサイバー脅威対策とは」
    サイバーリーズン・ジャパン株式会社 菊川 悠一 氏
  4. 「ホワイトハッカーを企業が利用!?DX時代に求められるBug Bountyの世界とは」
    株式会社スリーシェイク 尾張 厚史 氏
  5. 「内部からの情報漏えいはサイバー攻撃の約10倍 米国政府に学ぶ内部脅威対策」
    日本プルーフポイント株式会社 増田 幸美 氏
  6. 「サイバーセキュリティリスクをめぐる脅威動向と管理策」
    株式会社三菱UFJフィナンシャル・グループ 大日向 隆之 氏

「金融分野のサイバーセキュリティ強化に向けた取組みについて」

齊藤 剛 氏
基調講演
【講演者】
金融庁
総合政策局リスク分析総括課
サイバーセキュリティ対策企画調整室長
齊藤 剛 氏

はじめに

金融機関におけるサイバーセキュリティの動向と態勢整備については、金融庁としても金融業界と連携し、態勢整備およびその実効性の向上に取り組んできた。

この度、ランサムウェア攻撃など新たな脅威動向を踏まえ、金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0) を公表した。今回はこの新方針の内容をご紹介しつつ、金融セクターのサイバーセキュリティを強化するための金融庁の取り組みについて説明したい。

サイバー攻撃の脅威動向

まず、金融セクターを取り巻くサイバー攻撃の脅威動向について振り返っておきたい。サイバー攻撃は単純なものから国家が関与するような組織化された高度な攻撃まで多岐にわたる。攻撃の手口も巧妙化し、その脅威は年々増大している状況だ。ここ数年に限っても大規模なサイバー攻撃が何件も起こっている。

国内金融分野に限っても、ここ2年のうちに、顧客情報の流出、本人認証の脆弱性を突かれた不正出金、クラウドの設定不備による不正アクセスやデータの暗号化などさまざまな被害が生じている状況である。なかでも特に最近注目されているのが、ランサムウェア攻撃とサプライチェーン攻撃である。

まず、ランサムウェア攻撃については、国内でも実際に被害が出ており、早急に対策を進める必要がある。2021年1月に更新されたIPAの情報セキュリティ10大脅威のうち、1位はランサムウェアであった。また、ランサムウェアについては、2021年4月にNISCからも注意喚起が出されている。国内拠点にとどまらず、海外拠点において、システムの脆弱性を突かれる例も散見されるため、そちらへの対応も含めて対策を考える必要がある。

次に、サプライチェーン攻撃であるが、これについては2020年にSolarWinds社のOrionにバックドアが仕込まれた事例が記憶に新しい。こうしたサプライチェーン攻撃については、サプライチェーンの複雑化、国際化による管理難易度の高まりから、今後よりいっそうの注意が必要になることが予想される。

金融分野におけるサイバーセキュリティ強化に向けた取組方針

このたび金融庁が発表した取組方針(Ver. 3.0)は、こうしたランサムウェアやサプライチェーンリスクを含めた新しい脅威動向に対応するために作られたものである。昨今の情勢を踏まえ、特に5つの項目に焦点をあてて「取り組みの柱」としている。以下、順番にご紹介したい。

検査を含むモニタリングおよびサイバー演習の高度化

1つ目の柱は、検査を含むモニタリングおよびサイバー演習の高度化である。これは、各金融機関の規模・特性、リスクに合わせて検査・モニタリングを実施し、金融業界全体のサイバーセキュリティ管理態勢の検証・高度化を促すものだ。基本的なセキュリティ対策を徹底するとともに、業界共通の課題および事例の共有を通じて業界全体のサイバーセキュリティ向上につなげていただきたい。

まず、3メガバンクについては現在の脅威動向や海外先進事例を参考に、サイバーセキュリティの高度化を図りつつ、モニタリングを実施する。

また、地域金融機関については、現在サイバーセキュリティに関する自己評価ツールの開発中だ。これまで地域金融機関については、自己の組織のサイバーセキュリティ管理態勢について自己評価するための適切なツールが存在しない状態だった。開発中のツールは、こうした課題に対応するためのものである。対策強化のサイクルを回すためにも、リリース後はぜひみなさまに活用していただければと考えている。

これらのモニタリングに加え、有事に備えるためのサイバー演習も引き続き実施していく。年々巧妙化するサイバー攻撃に適切に対処するためには、金融機関自身による「自助」、情報共有機関を活用した「共助」、当局の支援による「公助」が重要だと思われる。

そのうち、公助の一環として、当庁が開催しているのが金融業界横断的なサイバー演習、DeltaWallだ。2021年10月に行われたDelta Wall Ⅵでは合計150の金融機関にご参加いただいた。引き続きご参加いただき、インシデント対応体制、インシデントに対する対応力の検証・強化に役立ててもらえたら幸いである。

新たなリスクへの備え

取組方針2つ目の柱は、新たなリスクへの備えである。金融ビジネスを取り巻くIT環境が加速度的に変容している今、金融ビジネスの担い手の多様化、キャッシュレス決済をはじめとした連携サービスの拡大、サプライチェーンのグローバル化といった環境変化に伴い、新しいセキュリティ上のリスクが生まれている。これらの新たなリスクに対して、セキュリティを確保することが求められる。

たとえば、キャッシュレス決済サービスの安全性の確保だ。商品・サービスの設計段階からセキュリティ要件を組み込むセキュリティバイデザインの考え方を実践し、リスクに見合った適切な対策を講じる必要がある。

また、クラウドサービスを含むサードパーティの拡大などへの対応も必要だ。それには、クラウドの仕様・特性を理解した上で、リスク評価などを行っていくことが求められる。

加えて、IT環境においてもIT資産の適切な管理、セキュリティパッチの適用などの基本的な行動を組織的に浸透させるサイバーハイジーン、インシデントが起きた場合に影響を最小限に抑えるためのサイバーレジリエンスの強化といった取り組みも必要になるだろう。

サイバーセキュリティ確保に向けた組織全体での取り組み

取組方針3つ目の柱は、サイバーセキュリティ確保に向けた組織全体での取り組みである。サイバーインシデントはIT部門だけの問題ではない。実際にインシデントが起きた場合、その影響は業務全体あるいは顧客に及び、金融機関としての信頼性を損なうリスクすらある。

サイバーセキュリティの確保は、経営層・実務層といった社内での立ち位置に関係なく、すべての部門の人間に関係する問題だ。組織全体でのサイバーセキュリティ管理の実効性を高めるためには、経営陣の積極的な関与やリーダーシップの発揮が必要である。そのためにも実務層と経営層の相互理解が重要となる。

さらに、サイバーセキュリティ確保のためにはITシステム部門以外の部門の関与も必要になり、各部署に求められるサイバーセキュリティの知見も異なる。人事的なローテーションがある場合はそれも前提とした上で、各部署に必要なセキュリティ人材を配置していく必要がある。

他の機関との連携

4つ目の柱は、他の機関との連携である。ここまで金融庁の取り組みを紹介してきたが、サイバー攻撃の犯罪者に対する対応は、金融庁だけでは難しい。インテリジェンス面ではNISC、金融ISAC、捜査に関しては警察を始めとする捜査当局といったように、他の機関との連携を積極的に進めていきたいと考えている。

サイバーセキュリティと経済安全保障

5つ目の柱は、サイバーセキュリティと経済安全保障である。もっとも、サイバーセキュリティと経済安全保障には重複する部分もある。金融庁としては、政府全体の経済安定保障の取り組みの中で、機器システムの利用や業務委託を通じたリスクについて適切に対応していきたい。

最後に

ここまで、当庁の新しい取組方針を中心にお話をさせていただいた。金融業界にとってサイバーセキュリティの確保は一層重要性を増し、緊急の課題となっている。今後も、金融業界の皆様とともに当庁も力を入れて取り組んでいきたいと考えている。