2020年11月12日(木)開催 FINANCE WEBINAR クラウド時代におけるセキュリティ対策の現状と課題<アフターレポート>

2020年11月12日(木)開催 FINANCE WEBINAR クラウド時代におけるセキュリティ対策の現状と課題<アフターレポート>

印刷用ページ

昨今の情勢から、金融機関におけるクラウドサービスの利用率がますます上昇している。一方で、クラウドサービスの利用にあたり、多様化・複雑化しているサイバー攻撃に対し、セキュリティの強化は必須となっている。またクラウドの活用に伴い、システムリスクや情報セキュリティへの管理体制が必要となっている。本フォーラムではクラウドサービス活用に伴うシステムリスクやセキュリティに対する有益な情報を、金融機関の事例を含め、ご紹介した。

  1. 金融機関等の事業環境の変化とサイバーセキュリティ対応態勢の整備
  2. 金融機関ユーザ様向け クラウドセキュリティ対策 国内最新事例
    ~新型コロナ以降の Salesforce, AWS, Azure環境向け対策例のご紹介~
  3. ソニー銀⾏におけるクラウド活⽤状況とセキュリティ管理のポイント
  4. 最新のサイバー攻撃事例とセキュリティトレーニングの重要性について

金融機関等の事業環境の変化と
サイバーセキュリティ対応態勢の整備

栗田 学
基調講演➀
【講演者】
公益財団法人金融情報システムセンター
監査安全部 参事役
栗田 学 氏

サイバーセキュリティの観点から見て、金融機関を取り巻く事業環境の変化でおさえておきたいポイントがいくつかある。

1つ目は就業環境の変化による、在宅勤務の増加とセキュリティ対策の停滞だ。もともと金融業界でテレワークは困難とされてきたが、メガバンクが先鞭をつけ、地銀もその流れに乗ることとなった。セキュリティ対策として、マルウェア対策ソフト、最新のセキュリティパッチの適用などがあるが、20%~30%の企業は実施できていない状況だ。

2つ目として、サプライチェーンの広がりによる異業種連携の増加も大きな環境変化だ。多くの金融機関では外部のITベンダーにアウトソーシングするのが一般的であり、最近ではFinTech企業との提携やクラウドの活用も広がっている。業務委託先のセキュリティ意識の高さ、具体的な取組みなどに注意が必要だ。委託先の業務の理解や、管理できる人材の確保も大きな課題となっている。

3つ目の変化はシステム環境で、API・RPA・AIといった新技術が金融機関でも導入されている。しかしセキュリティ上の規定の整備、クラウドベンダーと自社との責任分界点の把握、セキュリティ要件の遵守の確認などはできていない企業が依然として多い。

大きな環境変化に対し、サイバーセキュリティ関連経費は高止まりの状態だ。一方でセキュリティ要員を十分に確保できていない金融機関が多く、業務委託で補っている状況である。結果としてサイバーセキュリティに関してベンダーと対等に議論できず、セキュリティ対応がベンダー任せになってしまう恐れがあるのだ。

サイバーセキュリティに関する課題が多い中、金融機関はどのように取り組めば良いのか。多くの金融機関では、サイバーインシデントに対応するための組織はある程度整備され、用意された手順を実行することとなっている。問題なのは、そのとおりに実行してインシデントが実際に収束するのかどうかだ。2017年以降にサイバー攻撃を受けた金融機関は4割に達し、このうちの1/4は業務・経営に影響があったと回答している。

サイバーセキュリティは破られることを前提とした対策がより重要だ。重要な外部委託先も含めてBCPを整備し、演習・訓練を通じた実効性の向上を図る必要がある。対策のキーワードは、『サイバーレジリエンス』と『サプライチェーン』である。

サイバーレジリエンスを高めるにはマニュアル整備と診断・テストを繰り返すのが一般的だ。診断・テストは3種類あり、このうち脅威ベースのペネトレーションテスト(TLPT)は人の動きや手順書も評価の対象となる。人や組織が適切に対応できるかを診断する手段として、TLPTの実施のすそ野が広がりつつある状況だ。対応するメンバーの多くは訓練だということを知らないまま対応するため、実戦さながらであり、組織の本当の対応力が試されるテストだといえる。

TLPTの実施対象となるシステムの選定では、訓練の実効性を高めるために本番環境を対象にするべきだ。TLPTの情報開示は、最小限の人にしか行わない。TLPTのような高コストのテストは、予算確保の段階から経営層の協力も必要だ。プロバイダーとの調整に関しては、テスト後のシステムをテスト前と同じ状況に戻すことなどを契約で取り決めておくことも重要だ。グループ会社やサプライチェーンを対象とした取り組みとしては、モニタリングや、情報共有・意識共有が重要となる。

サイバーセキュリティを高めるには、経営層、サイバーセキュリティ主管部門、非主管部門の三者が積極的に取り組むことが大切だ。情報共有や危機意識を共有することによる、信頼関係の構築が鍵となる。

金融機関ユーザ様向けクラウドセキュリティ対策 国内最新事例
~新型コロナ以降の Salesforce, AWS, Azure環境向け対策例のご紹介~

河野 真一郎
【講演者】
エフセキュア株式会社
法人営業本部 シニアセールスマネージャー
河野 真一郎 氏

エフセキュアは1988年に設立されたフィンランドのヘルシンキに本社があるサイバーセキュリティ企業だ。全世界で1700名の従業員のうち300名が、セキュリティコンサルタントとして在籍しているのが特徴。セキュリティコンサルタントは、お客様のシステムに対する攻撃演習やリスク分析などを担当している。

2020年に入ってから、マルウェア/ランサムウェアの攻撃方法として Webや Salesforceを経由する攻撃が増加している。銀行口座開設や生命保険の申込みなどをSalesforce環境で構築する金融機関が多いことも、Salesforce環境を対象とした攻撃が増加している理由の一つだ。一般消費者からの問い合わせや申込みで、ファイルをアップロードする危険性に加えて、外部の攻撃者が意図的にマルウェアやランサムウェアを送り付ける事例も数多く報告されている。新型コロナウイルス感染症の影響で、窓口業務のオンライン化が進んだことも、攻撃増加の要因だ。

次に攻撃に対する防御例や日本国内の金融機関における対策について説明する。まず前提として、Salesforceではクラウド上コンテンツの安全性確保はユーザー側の責任としている。Salesforce側ではデータプライバシーの観点から、”ウイルススキャンや検疫はお客様データをファイルデータとして取り扱うため実施しません。” とコメントしている。このためユーザー側で最新のウイルス対策やマルウェア対策ソリューションを実行する必要があるのだ。

この対策として有効な対策が当社の「F-Secure Cloud Protection for Salesforce」だ。F-SecureとSalesforceをクラウド間で連携されているため、Salesforce環境のファイルをアップ/ダウンロードする際にリアルタイムにセキュリティチェックが実施できる。またクラウド間連携のため、ミドルウェアのインストールや新規サーバの導入が不要。ソフトは数分間でインストールでき、すぐに利用を開始できる。

サービス提供事例として、国内保険系の金融機関様では損害保険の申込みで身分証明書などの書類がSalesforce環境にアップロードされた際に、F-Secureのセキュリティチェックが実施され、安全が確認されたファイルのみ、金融機関の社員ユーザーに送られる仕組みだ。また国内のネット銀行様では、口座開設や住宅ローンの申し込みなどで、一般消費者からの受付サイトがSalesforce環境で構築されている。この環境のアップロードファイルに対し、F-Secureのセキュリティチェックが実施される。

ヤフー株式会社様でも「F Secure Cloud Protection for Salesforce」をご採用頂き、ヤフオク!やYahoo!ショッピングでの、1日数千件に及ぶ一般ユーザーからの問い合わせ対応でご利用頂いている。やり取りされる添付ファイルやURL等によるマルウェア混入リスクの低減、わかりやすいUI、スキャン時のタイムラグのなさといった点に評価を頂いた。

また、エフセキュアでは金融機関様に対し、クラウド環境向けセキュリティコンサルティングサービスを提供している。セキュリティコンサルタントチームは攻撃者の観点と学術的な知見を背景に、全世界で実績を上げている。過去15年以上サービスを提供し、クラウド(AWS、Azureなど)、OS、ネットワークなどさまざまな観点から診断・アドバイスを行う。アメリカ・イギリス・北欧など数多くの大手銀行で、コンサルティングサービスを採用頂いている。

講演企業情報
エフセキュア株式会社:https://www.f-secure.com/jp-ja
 

ソニー銀⾏におけるクラウド活⽤状況とセキュリティ管理のポイント

福嶋 達也 氏
基調講演➁
【講演者】
ソニー銀行株式会社
執行役員
福嶋 達也 氏

当社は、ソニーフィナンシャルホールディングスの100%子会社であり、2001年に新規参入のネットバンクとして開業した。

当社におけるITの基本方針として、「低コスト」「高品質」「短期調達」いわゆるQCDを満たしていくという考え方で進めている。この方針を実現するために世の中にあるオープンベースのテクノロジーを組み合わせて調達・活用し、システム構成についても疎結合で構成し、システムに柔軟性を持たせるコンセプトでシステムを構築している。

これらのコンセプトを実現するためのテクノロジーとして、2011年ごろからパブリッククラウドに注目した。2011年から情報収集・調査を開始し、2013年末から社内および銀行周辺系システムでのAmazon Web Service(以後AWS)利用を開始した。2017年末には、勘定系システムの一部である財務会計システムの基盤にAWSを採用することを決定した。さらに2019年4月からは一般業務端末をシンクライアントから仮想デスクトップサービスAmazon WorkSpacesへ移行、2020年7月には銀行業務で使用する端末でもAmazon WorkSpacesへの移行を開始した。

結果、クラウドの導入効果として、インフラコストが最大60%程度減少、インフラ導入・構築期間は半分以下に短縮した。

現在のクラウドの活用状況は、財務会計システムの一部やリスク管理システム、融資管理システムなどの銀行周辺系システムや社内業務システムでクラウドを積極的に活用している。 クラウドの利点は、リソースコントロールができることである。稼働状況を定期的にチェックし、あまり使われていないシステムは規模の縮小や夜間停止、必要な場合はオートスケーリングを検討し、クラウドの特性を生かしたコストの最適化が可能になっている。

クラウド活用のポイントをまとめると3点ある。1点目はオンプレミス環境で最適なシステム構成・方式が、クラウド環境でも最適とは限らないという点である。2点目は特徴・機能を理解し、クラウド環境に適したシステム構成・方式を検討する必要がある点。3点目はクラウドベンダーが提供するコンテンツなどを参考にし、クラウドデザインパターンを整理・蓄積していくことが重要であるという点である。

続いて、当社でのクラウド活用にあたり、システムリスク・情報セキュリティをどのように管理しているか説明する。当然のことながら、責任共有モデルがシステムリスクや情報セキュリティを考える上で最も重要だと考える。どこまでがクラウドベンダー側、利用企業側の責任範囲になるのか、境界線をしっかりと理解したうえで、評価することが重要である。

当社は、AWSが公開しているSOCレポートや各種ホワイトペーパーなどの情報の確認に加え、情報セキュリティ・システムリスクのチェックリストの外部委託管理の項目にクラウドの観点を含めることで、当社の観点に基づく評価を実施している。チェックリストは、社会・技術動向やFISC安全対策基準等の各種ガイドラインなどを踏まえ、定期的な見直しを実施している。また、導入時だけではなく、1年に1回、最新のチェックリストで評価することで、経年変化も捉えたチェックを行っている。

最後に、当社で検討している、次期勘定系システムにおけるクラウド活用について紹介する。現在、2022年度の本番稼働を目標とし、AWSを用いた次期勘定系システムの開発を進めている。
AWSを全面採用し、国内2拠点のリージョンを活用した可用性の高いシステムを目指している。また、サーバーレスでクラウドネイティブなアーキテクチャを実現するため、AWSの機能・サービスを最大限に利用し、独自開発範囲の縮小を図っていく。

当社の次期勘定系システムは一般的な勘定系だけでなく、情報系、外部接続、インターネットバンキング、オープンAPIなども含まれている。銀行業務のアプリケーションは富士通が開発を進める勘定系のプラットフォームを採用している。預金、為替、融資など、各業務アプリケーションをコンテナ化することで拡張性、保守性の高いアーキテクチャを実現し、独自開発範囲を極小化している。

今後次期勘定系システムが稼働すると、オンプレミス環境に置かざるを得ないシステムやネットワーク機器以外は、ほぼすべてのシステムがクラウド上で稼働する見込みである。従来のクラウドファースト、ハイブリッドクラウドといったものを超えて、クラウドオンリー、クラウドネイティブという視点を軸に「どこまで」クラウドにするかではなく、クラウドを前提に「どのように」クラウドを活用するかという考え方で活用を進めていく予定だ。

最新のサイバー攻撃事例と
セキュリティトレーニングの重要性について

石原 紀彦
【講演者】
株式会社サイバージムジャパン
代表取締役CEO
石原 紀彦 氏

当社は2013年に、イスラエル電力公社とCyber Control社の共同事業として設立された。イスラエル電力公社は世界でもサイバー攻撃を受けていることで知られ、2019年の年間では2億回以上に及んだ。そのような状況でもインフラやオペレーションを守れている主な理由は、経営層から一般社員まで全社員を対象にしたトレーニングを実施していることだ。日本でも2018年にトレーニングセンターを赤坂に設置し、IT・OTやIoT向けのトレーニング設備を完備している。現時点で400社弱の方にトレーニングを受講いただいた。

当社はcybereason様と提携しており、サイバーセキュリティ人材の育成で協業を進めている。cybereason様は国内シェアNo.1の信頼性があり、EDR製品は当社のトレーニングとのマッチングも良いため、トレーニングでも使用している。

従来のサイバー攻撃はデータ漏洩などITに由来するものが多かったが、最新のサイバー攻撃はOT関連のものが多い傾向だ。2020年にはランサムウェアにより米国天然ガス施設が2日間停止された。悪意のあるリンクをスタッフがクリックしたことで、最終的にパイプラインの制御が不能になったのだ。ノルウェーのアルミ大手企業のNorsk HydroはITとOTの両方に影響を及ぼす攻撃を受け、世界各地の生産施設を手動操作に切り替える事態となり、莫大な損失につながった。

イスラエルとイランの対立に関して、2020年4月~5月にイスラエルの下水道・水道がイランに攻撃されて停止した。7月にはイスラエルが報復として、イランのウラン濃縮のための遠心分離機を開発する施設に対してサイバー攻撃による火災を発生させた。またイランの医療施設でガス漏れも発生させた。

その他にもイギリスの大手外国為替会社はサーバー攻撃で10日間のシステムオフライン、ハンガリーの金融機関では通信サービス業務の停止に追い込まれた事例がある。サイバー攻撃は自社に起こる、侵入するという前提での準備が必要だ。

金融機関でもネットバンキングやサプライチェーンを狙ったサイバー攻撃が増えており、システム面と人材面の両軸の対策が求められる。米国ではセキュリティ標準化の動きが主流で、NISTが定めたSP800-171準拠が取引に必要だ。自動車業界でもIATAF 16469の要求事項にセキュリティ事項が追加され、セキュリティ標準化の流れが進んでいる。

サイバーインシデントの95%は人的要因であり、普段からセキュリティの意識を持つことが重要だ。当社のトレーニングはセキュリティ部門だけでなく、経営者層・マネジメント層・OT部門・委託先などさまざまな対象者に向けたものがある。経営者層向けとして、慶應義塾大学の田村教授と共同開発し、サーバーセキュリティマネジメント・法務・交渉をトレーニングとして提供している。

セキュリティ部門やIT部門向けのトレーニングでは、サイバー攻撃の検出、攻撃の特定、対応・復旧、ペネトレーションテストなどを実施する。ここで実際のトレーニング動画をご覧いただこう。座学だけでなく、実践的なトレーニングとなっているのが特徴だ。イスラエルにいる当社のメンバーがトレーニング環境に実際に攻撃し、どのように対応するのか学ぶ内容だ。

サイバージムの親会社である、バルクホールディングスについてもご紹介する。セキュリティ事業では当社に加え、脆弱性診断を行うCEL、さらにバルク自体もセキュリティのコンサルティングを行う。CELではTLPTやAIペネトレーションテスト、AIを活用した検査サービス等を提供し好評を頂いている。

講演企業情報
サイバーリーズン・ジャパン株式会社:
https://www.cybereason.co.jp/
株式会社サイバージムジャパン:
https://s-c-h.co.jp/