2023年2月16日（木）開催 FINANCE FORUM「巧妙化するサイバー攻撃とセキュリティ体制の強化」＜アフターレポート＞

1. サイバー脅威に対するサイバーレジリエンスの向上に向けた金融庁の取組方針
   金融庁　釜山　公徳　氏
2. 金融機関におけるソフトウェア・サプライチェーン・セキュリティとサイバーリスク対策
   日本シノプシス合同会社　大森　健史　氏
3. Kaspersky Threat Intelligenceの活用
   株式会社カスペルスキー　関場　哲也　氏
4. セキュリティ対策として優先すべきこととは何か
   エムオーテックス株式会社　西村　忍　氏
5. No.1テクノロジーバンクを標榜するGMOあおぞらネット銀行が目指す新しい銀行セキュリティ
   GMOあおぞらネット銀行株式会社　金子　邦彦　氏
6. グローバルの金融機関が導入を急ぐ、サイバーレジリエンス対策：「サイバー復旧」
   デル・テクノロジーズ株式会社　森川　孝秀　氏
7. ふくおかフィナンシャルグループにおけるサイバーセキュリティ対策の取り組み
   株式会社ふくおかフィナンシャルグループ　島本　栄光　氏
8. 【ご紹介動画】株式会社アシュアード

サイバー脅威に対するサイバーレジリエンスの向上に向けた金融庁の取組方針

＜金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver.3.0）＞

金融分野におけるサイバーセキュリティ取組方針（以下、取組方針）は、2015年7月にVer.1.0を策定、2018年10月にVer.2.0へ、2022年2月に本日ご紹介するVer.3.0へ更新されている。

Ver.3.0への更新は、国家の関与が疑われる高度なサイバー攻撃、ランサムウェア攻撃による被害拡大やキャッシュレス決済サービスにおける不正出金などサイバー空間におけるリスクの変化に対応したものだ。

ここでは、金融庁が策定した新たな取組方針5項目についてご説明したい。

1.モニタリング・演習の高度化

金融業界全体におけるサイバーセキュリティの高度化を目指す施策を3つ行っている。

まず1点目は、サイバーセキュリティ管理態勢の検証だ。金融機関の規模・特性やサイバーセキュリティリスクに応じて検査・モニタリングを実施している。

2点目は、地域金融機関について、サイバーセキュリティに関する自己評価ツールを整備し、各金融機関の自己評価結果を収集、分析、還元するといったサイクルを回すことを重視している。

3点目は、サイバーセキュリティ演習（Delta Wall）の高度化だ。Delta Wallにおいては自職場参加方式を採用し、網羅的に確認・評価を行う。業界全体のインシデント対応能力の底上げを目的としていることから、非参加金融機関に対しても、演習を通じて認められた業態に共通する課題や良好事例をフィードバックしている。

2.新たなリスクへの備え

デジタル化に伴い、フィンテック企業など新たなプレイヤーが参入し、バーコードやQRコードを活用するキャッシュレス決済等のサービスが普及している。これら新しいサービスを下支えする例として顕著なのが、クラウドサービスだ。規模の拡大に伴い、外部委託の拡大やリスク管理の難化といった課題が見られる。

そこで必要になるのが、企画や設計段階からセキュリティを講じる「セキュリティ・バイ・デザイン」の実践や堅牢な認証方式の導入だ。またクラウドを利用する場合には、それぞれの特性に基づき事業者側がやるべきことを把握する必要がある。

IT 資産の適切な管理、速やかなセキュリティパッチ適応などの基本的な行動を組織全体に浸透させる、いわゆるサイバーハイジーンの考え方も重要だ。また、サイバーレジリエンスの強化も必要となる。

3.サイバーセキュリティ確保に向けた組織全体での取組み

内閣サイバーセキュリティセンターでも取り組んでいる標語「サイバーセキュリティは全員参加」が重要だ。経営層の主体的参加はもちろん、「3ライン・ディフェンス」などのフレームワークをベースに適切な組織設計が必要になる。

SecBokなどを活用し、セキュリティ専門人材のロールを理解した上で組織設計に活かすことが重要だ。求められているロールと業務に合わせて、内外における研修や大学院へ派遣するといった合理的な利用が求められる。また業界団体等へ参画しやすい環境を醸成することも必要だ。

なおサイバーセキュリティ確保に向けた取締役会の役割は、グループ全体やサプライチェーンを含めた「全体をみる」ことだ。

4.関係機関との連携強化

金融機関自身による「自助」はもちろん、業界団体など情報共有機関等に参画し情報をもらうだけでなく共有する「共助」、また金融庁をはじめとする当局の支援による「公助」の考え方のもと連携を強化し、サイバーセキュリティを向上させることが重要だ。

5.経済安全保障上の対応

2022年5月に経済安全保障推進法が公布された。中でも「基幹インフラ役務の安定的な提供の確保」が、サイバーセキュリティに関連する項目だ。

とくに金融業界は基幹インフラの1つであり、大量の個人・企業の情報を保有している。そのため多くのリスクを抱えていることから、リスクへの対処で安全性と信頼性を確保していくことが重要だ。

＜サイバー脅威の動向＞

サイバー脅威とは、広範囲に相互接続されデジタル技術に基づいて構成された仮想的空間において、危害を与える可能性のある潜在的な要因のことだ。脆弱性とはシステムの欠陥や設定ミスを指し、サイバー脅威によって利用される弱点のことをいう。

IPAが公表した「情報セキュリティ10大脅威2023」によると、個人においてはフィッシングが、組織においてはランサムウェアが数年連続して1位を占めている。

●フィッシングの脅威

フィッシング件数は年々倍増中だ。たとえばキャッシュレスサービス運営会社や大手通販サイト、メモアプリ運営者を装ったメールによる不正決済が挙げられる。

対策方法の1つとして、SPF、DKIM、DMARCを利用した「送信ドメイン認証」がある。ただしメールフィッシングに対してのみ有効であり、SMSフィッシングやボイスフィッシングには対抗できない。

バンキング型トロイの木馬であるEmotetは、フィッシングの代表例だ。マス型攻撃でありながら、標的型サイバー攻撃の起点になることもある。攻撃の休止と再開を繰り返すマルウェアとしても知られている。

短期間で大量の亜種が作成・配布され、それぞれの検体が複数の不正通信先をもつ。そのため特定の通信先をブロックしても追いつかないという特徴がある。Emotetは正規のメールサーバーを経由して送られるので、DMARCの効果は見込めない。つまり単一の施策では不十分ということだ。

また感染の有無を確認できるEmoCheckというツールがGitHubで公開されている。使用方法については警視庁サイトを参考にされたい。緊急時に備えて、あらかじめGitHubへのアクセスの可否を確認しておくのが推奨される。

●ランサムウェアの脅威

ランサムウェアとは脅迫文を表示して金銭を要求するマルウェアであり、身代金を支払っても復号できるとは限らない。昨今では、標的型攻撃の一環として人が操作するランサムウェア攻撃が散見される。フィッシングも含めたさまざまなチャネルを通じて攻撃を仕掛けてくる。

また多重脅迫型もある。暗号化したデータの復号にまつわる金銭の要求と、支払いがなければ窃取した機密情報を含むデータを暴露するという二重脅迫型のほか、さらにDDoS攻撃を仕掛けるという三重脅迫型も見られる。

Karakurtによる非暗号化ランサムウェアもある。近年では窃取した認証情報をサービスとして売買が可能であるAccess as a Serviceがある。KarakurtはこのAccess as a Serviceを利用したり、Log4j、VPNアプライアンスの脆弱性を悪用するなどで被害者の環境へ侵入し、情報を窃取するなどで脅迫する。

ファイル共有サーバーだけでなく、仮想化のプラットフォーム自体を標的に攻撃するランサムウェアも存在する。具体的には、ベアメタルハイパーバイザー上で稼働している全ての仮想マシンを停止させ、停止完了後に仮想マシン自体や関連ファイルを暗号化するというものだ。

また、クラウドにおける脆弱性では、利用側の設定ミスがフォーカスされがちであるが、ソフトフェア、ハードウェアで日々新たな脆弱性が発生する中で、クラウドもその例外でなく、脆弱性が発生し得ることについても注意を払うことが必要だ。

＜サイバーレジリエンス＞

サイバーレジリエンスとは、サイバー脅威を予見し、攻撃に耐え、セキュリティ侵害から回復し、それに適応できる能力と定義される。戦略としては、組織全体のリスク管理アプローチがある。「予見」「耐性」「回復」「適応」の4つのフェーズを考慮した上でライフサイクルを回すというものだ。

サイバーレジリエンスを高める手法の1つが、脅威ベースのペネトレーションテスト「TLPT」である。サイバーレジリエンスを高めるための手法を押さえた上で、オールレイヤーでのセキュリティを実装することが重要だ。

＜結びに＞

本日は、サイバー脅威に対するサイバーレジリエンスの向上に向けた金融庁の取組方針についてご紹介した。単一のセキュリティで守るという手法は、ほぼ難しい時代になってきている。多層的にサイバー脅威から守るべきものを守ることが非常に重要だ。