2024年2月20日(火)開催 FINANCE FORUM「巧妙化が進むサイバー攻撃と実効的なセキュリティ対策」<アフターレポート>
# イベントレポート 印刷用ページ2024年2月20日(火)セミナーインフォ主催 FINANCE FORUM「巧妙化が進むサイバー攻撃と実効的なセキュリティ対策」が開催された。昨今、国内外において、大規模なサイバー攻撃が発生しており、攻撃手法は一層高度化・複雑化している。サイバーリスクは経営上の重要課題とし、迅速かつ強固な対策を継続的に行うことが重要だ。本フォーラムでは、基調講演に一般社団法人金融ISAC、特別講演に株式会社三菱UFJ銀行にご登壇をいただき、2024年のセキュリティ対策の方向性や取組事例をお話しいただくと共に、その他先進企業から、有益なテクノロジーをご紹介いただいた。
- 金融機関に求められるサイバーセキュリティ強化
~2024年の方向性と求められる対応~
株式会社Armoris/一般社団法人金融ISAC 鎌田 敬介 氏 - 日々発見される新たな脆弱性と攻撃手法への対処
~Webアプリの安全性を維持し続けるために~
日本シノプシス合同会社 森 泰人 氏 - 海外でのサイバーセキュリティ対応の最前線
〜脆弱性管理からインシデント対応まで〜
ServiceNow Japan合同会社 内田 太樹 氏 - 調査から明らかになった国内「サイバー復旧」の現状と必要な対策とは?
デル・テクノロジーズ株式会社 森川 孝秀 氏 - MUFGのサイバーセキュリティリスク管理の取組み
~脅威インテリジェンスの活用方法~
株式会社三菱UFJ銀行 瀬古 敏智 氏
金融機関に求められるサイバーセキュリティ強化
~2024年の方向性と求められる対応~
- 基調講演
-
【講演者】
- 株式会社Armoris 取締役専務/CTO
一般社団法人金融ISAC 専務理事/CTO
鎌田 敬介 氏
<サイバーセキュリティの現在地の確認>
主要なサイバー攻撃手法としてランサムウェアを始め、DDos攻撃、脆弱性攻撃、マルウェア等がある。ここ10年ほどはあまり手法に変化がなく、今回お聞きになっているほとんどの皆様は理解されているだろう。
これらの基本的な攻撃手法に加えて、サプライチェーンリスクへの対応が課題となっている。具体的な事例として2023年1月に保険会社から約70万件の個人情報が漏えいし、その原因は外部委託業者システムへの不正アクセスであった。近年は委託業者経由、クラウドサービス経由、海外子会社経由などのサイバー攻撃被害が相次いでいる。
<サイバーセキュリティの論点の変遷>
サイバーセキュリティといえば従来は技術・ITの問題とされていたが、サイバー攻撃ということでDDos攻撃や標的型攻撃が発生し、金融機関をターゲットとしたお金を目的としたサイバー犯罪も発生するようになった。サイバー空間と物理空間の境界が曖昧になり、サイバー犯罪を防ぐにはサイバー空間だけでなく、物理空間でのセキュリティもセットで考える必要がある。その流れで電気・ガス・水道・通信等の重要インフラ防護においてもサイバーセキュリティは重要になってきている。その次にあるのがサイバーセキュリティの管理で、技術面だけでなく組織的な考え方が出てきた。
さらに国家安全保障の文脈の一部でサイバーセキュリティが語られるようになり、様々な企業においても経営レベルでサイバーセキュリティに関与する必要性が増している。このようにサイバーセキュリティは技術・ITのレイヤーから企業経営や国家運営に至るまでどんどん範囲が広がっている。
<レジリエンスとサイバーセキュリティ>
レジリエンスを高めるとは、分かりやすく言うと「しぶとさを高める」ことだ。しぶとさとは、企業がサイバー攻撃を受けて業務を停止する等の弱った状態から、元の状態に戻る力を意味する。一度攻撃を受けて倒れかけても、完全に倒れて死んでしまうのではなく、復活するしぶとさを組織的に身に付けていくことがレジリエンスだ。サイバー攻撃に対してEDRの導入など技術的な話はたくさんあるが、それだけではなく、組織的な準備態勢を作っておくことが焦点となる。
<サイバーセキュリティはあらゆる分野に影響する>
サイバーセキュリティの影響範囲は多様な分野に及んでおり、個人の日常ではサポート詐欺やフィッシング詐欺、詐欺サイトなどに遭遇する危険がある。またランサムウェアなどによって医療、金融サービス、小売り、決済、交通といった日常的なサービスも停止するなどの影響がある。日本ではサイバー攻撃で電気・ガス・水道が止まるケースはまだ発生していないが、海外ではすでに発生している。
ビジネスや経済への影響としては、ビジネスの中断が挙げられ、2日間ぐらい止まってしまうことは珍しくない。サプライチェーンについても考えなくてはならず、コンプライアンスと規制についてもサイバーセキュリティをより意識しなくてはならない。グローバルに見ると投資家は企業のサイバーセキュリティを投資対象の評価項目に加えており、投資やイノベーション、企業のレピュテーションにも影響する。企業としてのリスク管理でも、単純なIT管理ではなく、コーポレートリスクの中心にサイバーセキュリティを位置付けなくてはならない。
社会全体への影響という意味では、インフラへの影響があり、安定的な状態を確保し続けるのが難しくなりつつある。何かしらのモノやサービスをデジタル化する際には、セキュリティをセットで考えなくてはならない。選挙への干渉、戦争とサイバー攻撃など政治面での影響も出てきている。
<金融業界のサイバーセキュリティ情勢について>
「金融分野におけるサイバーセキュリティ強化に向けた取組方針Ver.3.0」におけるポイントは、大手金融機関は海外の先進事例を参考にしていること、地域金融機関については自己評価ツールに基づいて自行を評価・分析して何をすべきかを考える必要があるということだ。また、経営層の積極的な関与、関係機関との連携強化の重要性も指摘されている。
経営層の課題と対応ポイントは、まず取締役会やリスク管理委員会においてサイバーセキュリティに関する議論を行っているか、取組方針や計画を策定しているかだ。次に経営によるモニタリング態勢で、取組遅延や長期間未解決の課題はないか、経営からの指示は出ているかがポイントだ。現場で判断しきれないことについて経営としっかり相談し、組織的に問題を解決していくことが重要だ。
<地域金融機関におけるサイバーセキュリティセルフアセスメント>
地域金融機関が用いる自己評価ツールとして、金融庁が発表したCSSAがある。地域金融機関を対象に2022年7-8月に実施され、結果の概要や点検表は金融庁のサイトで公表されている。質問項目の概要は、経営層の関与や関わり方、情報収集、サイバーセキュリティのリスク評価と監査、教育・訓練、技術的な対策、新技術への対応などだ。
<今後どうなる?>
フィッシングの激化など、攻撃側の深さと広さは拡大傾向だ。防御側はクラウドやB2B接続、モバイル強化等、サプライチェーンの拡大から、広範囲をカバーしなければならなくなる。対策としては、EDR導入などの定型的なセキュリティ対策では限界が見えているため、環境がどうなのかを複合的に評価する実質的なTLPTやASMなどの手法が重要だ。当局のサイバーセキュリティの方向性も、グローバルな議論を見ていると、多角的な視点を求めているようになってきている。
<管理的視点と技術的視点>
サイバーセキュリティの対策は、大きく分けて管理的な施策と技術的な施策に分かれる。技術に関してはフレームワークを用いて組織的に管理する流れが進んだ一方、導入したサービスで本当に防御できているかの視点が不足している。フレームワークやスタンダードに視点がいきすぎていないか注意が必要だ。
<経営層とのコミュニケーション>
サイバーセキュリティについて経営といかにコミュニケーションを取るかも重要だが、経営側と現場側にギャップが発生することが多い。経営者にとっては企業の存続と発展が最優先事項で、直面する課題は戦略立案・財務・人事・市場開拓・製品開発・顧客対応・法規制等多岐に渡る。経営者がサイバーセキュリティに関する技術知識を持つことは非常にまれで、企業全体のリスクを考慮し、限られたリソースを割り当てるのが現実だ。
専門性の高さ、進化スピード、他の経営課題との兼ね合いから、サイバーセキュリティは経営には理解されにくい。経営層とサイバーセキュリティについて話す時には、誰もが理解できるビジネスの言葉で話すこと、リスクベースアプローチを取ること、具体的な事例を使うことが重要だ。
<最後に>
サイバーセキュリティへの対応は、今後さらに複雑化していく。しかも、組織管理など技術的な話ではない方向に複雑化すると考えられる。対応分野が多岐に渡り、IT部門のみでは組織的対応は限界だ。CISOが詐欺行為と内部統制の不備で、米証券取引委員会に告発されるケースも出ている。小さなことが大きな社会的インパクトに繋がるのがサイバーセキュリティだ。従来の日本型IT管理ではサイバーセキュリティの技術対応も限界で、経営の関与度合いを上げることが求められる。必要なのは時代の変化に合わせること、組織のスピード感向上だ。
編集
