2023年7月13日（木）開催 FINANCE WEBINAR「金融機関がおさえておくべきサイバーセキュリティの最新動向と対策」＜アフターレポート＞

1. 横浜銀行におけるセキュリティに関する地銀共助・地域貢献の取り組み
   株式会社横浜銀行　佐藤　大悟　氏
2. 金融業界におけるサイバー脅威とその対応
   パロアルトネットワークス株式会社　河本　敦弘　氏
3. 進化する脆弱性管理〜アタックサーフェスの盲点を可視化する
   テナブルネットワークセキュリティジャパン株式会社　花檀　明伸　氏
4. 境界防御に厳格なセキュリティ対策を実施する金融機関で急増するEDR導入について
   サイバーリーズン合同会社　吉田　健太　氏
5. グローバルの金融機関が導入を急ぐ、サイバーレジリエンス対策：「サイバー復旧」
   デル・テクノロジーズ株式会社　森川　孝秀　氏
6. PayPay銀行における「共創型」セキュリティ対策
   PayPay銀行株式会社　藤川　将信　氏
7. 【ご紹介動画】パロアルトネットワークス株式会社
8. 【ご紹介動画】AvePoint Japan株式会社

横浜銀行におけるセキュリティに関する地銀共助・地域貢献の取り組み

＜コンコルディア・フィナンシャルグループと横浜銀行の紹介＞

コンコルディア・フィナンシャルグループ（以下、コンコルディアFG）は横浜銀行、東日本銀行を中心に2016年に設立された金融持株会社で、グループ会社15社・国内295拠点・海外6拠点、国内最大規模の地方銀行グループである。

23年6月末には神奈川銀行もグループの仲間に加わった。グループの一員である横浜銀行は、1869年に設立された日本初の近代的金融機関である横浜為替会社を受け継いでおり、「日本で最も歴史の長い銀行」である。電子決済サービスやGoogleと協業したYouTube広告に取り組むなど地銀の中でも先進的なサービスをいち早く提供し、不正送金などのサイバー犯罪の抑止に貢献し地域金融機関における共助を行っている。

＜地銀共助の取り組み＞

中小金融機関におけるサイバーセキュリティの現状は厳しいものがある。なぜならサイバーセキュリティの脅威は組織の大小に関わりなく発生するリスクがあるが、現実的には体制面や資金面においてメガバンクと格差があるからだ。

中小金融機関の問題は人、金、リスクの3点に集約される。まずセキュリティ担当する人材面の不足だ。セキュリティの有識者がいる金融機関は少数で、セキュリティ専任の担当者はおらず、 IT担当と兼任である場合が多い。全ての業種において必要なセキュリティ人材の市場価値は上昇する一方である。とくに中小金融機関は大手金融機関と比べ給与体系が劣る為、中途採用による体制強化は現実的に難しい。

次に金の面だが、サイバーセキュリティのサービス・製品は年間数千万円から数億円と高額であり、中小金融機関にとっては導入ハードルが高い。経営層のセキュリティリスクに対する認知度は年々向上しているものの、実際にはコストの観点から予算枠が抑制傾向にある。

第3はリスク面である。昨今のサイバー攻撃の目的は金銭の窃取が増えてきており、金銭を扱う金融機関は常にサイバー攻撃を受けるリスクがある。また経済安全保障の観点からサプライチェーンリスクも課題である。地銀の場合、複数の銀行が共同利用しているという事情があり、1つの銀行がサイバー攻撃を受けると他の銀行もダメージを受けるリスクもあり、今後注意が必要だ。

現実問題として全国の銀行ではフィッシング詐欺被害が急激に増加している。それはAI技術の進化で1度に大量のサイトやメールを作成できるようになったことが起因しているようだ。そこで地銀共助の仕組みを最大限活用して、地銀同士が連携し、中小金融機関のセキュリティリスク低減を図りたいと考えている。

実際に23年6月に全国18の地銀が集まりセキュリティに関する研究会も開催された。ASM（Attack Surface Management）を共同調達することで、高額なセキュリティシステムを比較的安く導入できることも考えている。セキュリティに関する教育啓発をする場合でも、同じ文面の標的型メールでも他銀行と回復率を比較することで、自分の銀行のセキュリティレベルを知る指標になる。また脅威情報を銀行同士でリアルタイムに共有することで、共同のマニュアルを作成してセキュリティ対策を強化できるだろう。現在連携する18行は顔見知りで集まっただけに過ぎず関連性はない。これからも連携できる銀行を増やしていき、セキュリティのネットワークを広げていくつもりだ。将来的には共同防衛組織を立ち上げ、より高度なセキュリティサービスを中小金融機関に対し提供していきたい。

＜ゼロトラストモデル移行と.プライベートSOC＞

横浜銀行が現在SOC（Security Operation Center）の内製化を進めているのは、ゼロトラスト問題が理由の1つである。既存のセキュリティモデルでは、データをクラウド上で管理するIT環境に適応できず、新しいセキュリティモデルの構築が急務である。2つ目の理由は働き方改革で、リモートワークで端末が銀行の外にあることも多い。

金融庁が2021年に発表した「ゼロトラストの現状調査と事例分析に関する調査報告書」で「ゼロトラスト・アーキテクチャでは、監視の対象がITインフラよりも業務システムに関するものとなるため、SOCにはより業務の理解が求められることとなる。そのため、SOCの業務の中でも、どこまで自社で対応し、どこから外部のSOCサービスに委託するのか、役割を明確にした上で運用体制を構築することが重要である」と述べられており、ゼロトラストにおけるSOCの重要性がうかがえる。管理する側が、セキュリティシステムを以前より理解しておく必要が迫られている。

23年1月にプライベートSOCであるCDC（Cyber Defense Center）をコンコルディアFG内に設置した。ここまでに至ったのには背景がある。今までの内部監視と外部ベンダーの外部監視では、1日で数千件も出現するフィッシング検知を監視しきれない。内部監視対象が拡大したことから少人数での迅速・高精度・低コストの対応を維持するためには自動化が不可欠だった。自動化することで24時間365日の対応も実現できる。また、外部ベンダーによる外部監視はコストも高くつき、迅速な対応が困難でリスク検知してから銀行に連絡が届いたときには2時間以上経過することも多い。連絡が来たとしても、最終的な判断は銀行に委ねられる。そのような状況であれば、「最初から自分達でやった方が早い」と考え、内製化に踏み切った。今までは中途採用者が担当していた個人的なスキルに依存していたが、自動化により属人的なミスを防ぎ、スキルの継承も可能になった。

SOC構築の目標の第一はグローバルスタンダードの世界水準にすることだった。海外のSOCのフレームワークに乗っ取ることで再現性のあるSOCを構築することができた。第二は人手が足りないので最大限に自動化すること。第三は技術者任せでなく、組織で対応すること。まだ実現には至っていないが、ノウハウが溜まった時点で、プラベートSOCを横浜銀行以外のグループの地銀にも広げていきたい。

＜セキュリティにおける地域貢献の取り組み＞

横浜銀行の取引会社でもランサムウェア攻撃を受け、工場が2～3ヵ月間停止した事案が発生している。Emotetに感染した取引会社からメールが飛んで来て二次災害を受けるリスクもある。自社のみでセキュリティ対策をするだけでは、サイバー攻撃を守り切れない。そのためサイバーセキュリティを通じて地域貢献を推進している。年に数回「神奈川県サイバーセキュリティフォーラム」を主催し、中小企業向けにサイバーセキュリティに関する啓蒙活動を行っている。また個々の得意先に対してセキュリティ対策のセミナーを開き、「中小企業情報セキュリティガイドライン」を解説している。神奈川県警とは密に連携して、県警作成のセキュリティ啓発スライドを各支店のサイネージボードに掲載した。警察や大学などとも連携して、神奈川県全体を守る活動を行っている。

これらのサイバーセキュリティに関する活動を行うのも、コンコルディアFGのサステナビリティ戦略の一環である。環境問題だけでなく、外部からのサイバー攻撃が1番端的に地元の経済を破壊することになる。地元の経済の継続にも貢献できると自負している。

各地銀が地元のサイバーセキュリティの啓蒙活動をすることで、日本全体の金融サプライチェーンのセキュリティ強化に繋がると考えている。