「コンコルディア・フィナンシャルグループにおけるサイバーセキュリティ戦略」

＜コンコルディアFGと横浜銀行について＞

コンコルディア・フィナンシャルグループ（以下、コンコルディアFG）とは、横浜銀行、東日本銀行を中心に2016年に設立された金融持株会社だ。グループ会社15社・国内295拠点・海外6拠点をもつ国内最大規模の地方銀行グループである。

中核となる横浜銀行は、1920年に横浜興信銀行として設立され、2020年12月に100周年を迎えた。日本最大規模の歴史ある地方銀行であるだけでなく、地銀の中で先進的なサービスをいち早く提供している。

一方で、サイバーセキュリティ領域において全国の地銀さんと協力していく「地域金融機関における共助」や、県下の企業様のサイバーセキュリティ対策をサポートする「神奈川県への地域貢献」を推進中だ。

＜中小金融機関におけるサイバーセキュリティの現状と課題＞

金融機関は規模の大小問わずグローバルな脅威にさらされているにもかかわらず、現実的にはヒト・カネの面においてメガバンクと中小金融機関では格差がある。地銀単体でサイバーセキュリティをやり抜こうとしても、実際には厳しい。そこで地銀間で共助の仕組みを作って、中小金融機関のセキュリティリスク低減を図りたい。

地銀のヒトの面では、セキュリティの有識者がいる金融機関は非常に少数である。セキュリティ専門の担当者はおらず、IT担当と兼任していることがほとんどだ。横浜銀行の場合、プロパーの銀行員がセキュリティ担当を担っている。セキュリティ人材の市場価値が上昇していることから、中途採用で体制強化をしたくても、メガバンクよりも給与体系が低い地銀は苦戦中だ。また、そもそも金融よりも自動車や流通関連など他の産業の方が人気があるように見受けられる。

地銀のカネの面では、サイバーセキュリティのサービス・製品は年間数千万円から数億円と高額なこともあり、中小の金融機関にとっては導入のハードルが高い。サイバーセキュリティ関連の費用が高いだけでなく、1円も稼がない。そのため経営層のセキュリティリスクへの認識は向上しているものの、稼がないシステムへの予算枠は抑制気味だ。

ヒトもカネもかけられない状況にもかかわらず、金銭を扱う金融機関のリスクばかりは増える傾向にある。

ネットバンキングを狙ったフィッシング・キャンペーンや、評判を気にする銀行はランサムウェアの二重脅迫ターゲットになりやすい。決済インフラとしての公共性もあり、狙われた時の影響は大きい。

＜コンコルディアFGのサイバーセキュリティ戦略＞

横浜銀行では、2018年にNISTのサイバーセキュリティフレームワークをベースにした第三者評価を実施し、IT資産管理が十分でなかったことを把握した。すでに対策はしたものの、セキュリティ対策に終わりはない。

そこで2022年1月に、FFIECのCAT（Cybersecurity Assessment Tool）による第三者評価を実施した。セキュリティ課題を洗い出し、必要な対策を厳選している。

2022年度から3ヵ年の中期経営計画に則り、サーバーセキュリティに経営層にも関与してもらえるような、新ロードマップを作成している。たとえば、頭取などにランサムウェアによるサイバー攻撃の訓練に参加してもらう。勘定系がランサムウェアに感染し身代金の要求が届くといったシナリオに対して「身代金を払わないと勘定系が止まりますが、頭取はどうされますか？」という訓練に、実際に頭取に参加してもらった。

また、セキュリティ監視運用の自動化をはかるほか、専門性の高い中途採用者を「サイバーセキュリティ統括室」に配置して少数精鋭体制を敷いている。他にも高コストなのにニーズを思うように満たさない「外部SOC」に頼るのをやめ、横浜銀行は「SOCの内製化」を決定した。

カネもヒトも有限な中、SOCの成熟度モデルも検討しながら「CDC（サイバーディフェンスセンター）」と規定したプライベートSOCを構築中だ。

24時間・365日運用を目指すために、ヒトが張り付くのではなく、SOCのTier1（監視）とTier2（分析）を自動化して休日夜間への対応を予定している。

3年間にわたりカネ・ヒトを投入することで獲得したスキルやノウハウを、横浜銀行だけで抱え込むのではなく、他の地銀・保険・証券など中小金融機関の共助に役立てたいと考えている。

＜共同防衛を目指した共助の取り組み＞

2021年11月に、NTTデータの勘定系「MEJAR」を利用する地銀5行と勘定系パッケージ「BeSTA」を利用する地銀共同センター13行でワーキンググループを立ち上げた。

まずは、サイバーセキュリティやITリスク管理に関するリソース共有化・ライセンス共同調達等、共同防衛を目指した態勢の検討に着手する予定だ。横浜銀行が手がけているプライベートSOCをはじめとする様々な施策によって培ったノウハウや経験を、いずれは他銀行へ展開できないかと考えている。

地銀共助において提供するセキュリティサービスメニューとしては、「委託先管理」「教育・啓発」「脅威情報」「共同防御・分析」を展開する予定だ。

＜地銀共助の将来的な方向性＞

まず横浜銀行が主幹事行として「金融サイバー共同防衛組織」を立ち上げる。勘定系のベンダー陣営に関係なく、どの銀行でも参加できるようにしたい。

たとえば与信先である取引先が万が一、マルウェアEmotetに感染すると、横浜銀行にもセキュリティと与信管理の両方に影響が及ぶ。そこでセキュリティコンサルメニューを加え、銀行全体のサプライチェーン強化と地域中小企業のセキュリティ向上に貢献したい。

将来はCyberSecurity as a Serviceの提供も視野に入れながら、横浜銀行は本気を出して取り組んでいる。大手SIerやセキュリティベンダーにも声をかけて、そろそろ「金融サイバー共同防衛組織」を立ち上げようとしているところだ。

＜地域貢献活動によるサプライチェーン強化＞

地域あっての地銀なので、セミナーの開催や神奈川県企業サイバーセキュリティ対策官民合同プロジェクトへの参加などの地域貢献活動も行っている。

2022年3月には神奈川県警を招いて、地域のセキュリティ向上をテーマにセミナーを開催した。2022年11月にも同様のセミナーを開催予定で、横浜国立大学とサイバー訓練に関する意見交換をしている。

＜横浜銀行が目指す未来像とは？構想案＞

横浜銀行としては、日本全体の金融サプライチェーンのセキュリティ強化に貢献したいと考えている。「地銀ネットワーク」を対象とした地銀共助の取り組みと、「各地銀の取引先ネットワーク」に対するセキュリティ啓発を掛け合わせる手法だ。

地銀共助の枠組みの中では、製品の共同購入だけでなく監視体制等の共同化も検討していく。取引先に対しては、セキュリティコンサルティングの実施も検討している。

＜さいごに＞

本日は、地域金融機関のサイバーセキュリティ領域における共助や地域貢献活動について説明した。実際に、金融機関は常にサイバー攻撃にさらされており、ワーキンググループや共同防衛組織の発足など、スケールメリットを生かした取り組みが必要だ。 現在プライベートSOCを構築中なので、実際に導入・運用が始まれば、何らかの機会にご説明したいと考えている。