- 我が国金融機関におけるサイバーリスク管理の取組状況と留意点
日本銀行 中井 大輔 氏 - セキュリティ人材における課題と効果的な解決手法
~金融業界の動向を踏まえて~
フォーティネットジャパン合同会社 登坂 恒夫 氏/PwCコンサルティング合同会社 丸山 満彦 氏/株式会社セミナーインフォ 小出 葉月 - ASMからCTEMへの進化の必要性
~昨今のセキュリティ脅威から読み解く今必要な取り組みとは~
株式会社マクニカ 石川 雄太 氏/ULTRA RED, Ltd. 橋本 賢一郎 氏 - ソフトウェア・サプライチェーン・リスク管理と実践的サイバーセキュリティ対策としてのセキュリティ・テスト
日本シノプシス合同会社 大森 健史 氏 - オリックス銀行におけるセキュリティの取り組み
~まもる×成長する~
オリックス銀行株式会社 鈴木 智之 氏 - 【ご紹介動画】フォーティネットジャパン合同会社
- 【ご紹介動画】株式会社アシュアード
我が国金融機関におけるサイバーリスク管理の取組状況と留意点
- 基調講演
-
【講演者】
- 日本銀行
金融機構局 考査企画課
システム・業務継続グループ長
中井 大輔 氏
<我が国金融機関でサイバーセキュリティがトップリスクとなっている背景>
「金融機関におけるモバイルアプリの提供状況と管理体制についてのアンケート結果(2022年11月)」によると、対面型チャネルの事務量が漸減する一方、インターネットバンキングやモバイルアプリ等の事務量が著しく増加している。デジタルチャネルでの事務量の増加の背景として、リテール金融におけるアプリ活用が着実に浸透していると捉えている。金融機関におけるチャネル別事務量の見通しでも、デジタルチャネルの事務量は今後も増加する見込みだ。
デジタル化が進行しても、コアビジネスや守るべきコア資産は変わらない。その一方でビジネスパートナー、インフラ・担い手、コア資産の守り方は変化する。経営戦略としてデジタル化を推進するなら、サイバー空間におけるリスクを点検し、対策を講ずる必要がある。
<ランサムウェアの脅威の高まり>
我が国でのランサムウェアの被害件数は右肩上がりで、手口は二重脅迫型が7割弱を占める。被害額も右肩上がりで、ベンダーの調査によると重要インフラでの平均コストは約5億円で、3年間で15%増加したという結果も出ている。
最近のランサムウェアは、攻撃の高度化・組織化・洗練化が指摘されている。ターゲットとなる企業の内部システムへ侵入し、時間をかけて重要情報の管理サーバを調べ上げ、認証サーバを乗っ取った上で一斉に攻撃を仕掛けるのが特徴だ。また、ランサムウェアは分業化によって洗練され、ハイレベルな攻撃の下支えとなっている。
<実際のインシデント事案>
大阪急性期・総合医療センターでは昨年10月、電子カルテの基幹システムサーバが暗号化され、コア業務である診療に影響が生じた。機能の完全回復には発生から73日を要し、復旧費用で数億円以上、逸失利益は十数億円以上となった。この事案のポイントは主に3つあり、「閉域網神話」によるセキュリティ意識の低さ、不十分な内部セキュリティ管理、VPN装置の脆弱性の放置だ。
金融機関におけるインシデント事案の1つ目として、海外拠点・子会社でのランサムウェア被害がある。本部と比較して相対的に防御が手薄なところを狙われてランサムウェアに感染し、拠点間ネットワークを通じて他の拠点にも波及し、業務データが暗号化された事案だ。2つ目の事案は、関係先とのファイル共有に利用していたサービスがランサムウェア攻撃を受け、ファイル・システムが暗号化されたケースだ。ファイルにパスワードが付与されていない場合、機密情報漏洩に直結する。
<グローバルな取り組み>
2022年10月、G7のサイバーエキスパートグループは世界的なランサムウェアリスクやサードパーティ依存度の高まりを受け、ハイレベルガイダンス(基礎的要素)を公表した。サードパーティに関して、コンティンジェンシープランや出口戦略の重要性も指摘されている。サードパーティのシステムリスクはシステム部署に限定されたものではなく、経営全体のリスク管理として、どのように向き合うかが問われている。
<我が国政府の取り組み>
我が国政府のセキュリティ政策推進体制を鳥瞰すると、NISC(内閣サイバーセキュリティセンター)がハブとなり、我が国全体のセキュリティ確保に取り組んでいる。金融機関は我が国を支える重要インフラ事業者との位置付けだ。金融庁と日本銀行はサイバーセキュリティに関する連携を強めている。
<地域金融機関におけるサイバーセキュリティセルフアセスメントの概要>
サイバーセキュリティリスク管理の枠組みは、NISTフレームワークやCAT評価が一般的と思われる。NISTフレームワークに関して従前は「防御」が中心であったが、最近では「検知」「対応」「復旧」がより重視される傾向だ。大手行が国際的なフレームワークを活用し成熟度評価を行っているのに対し、地域金融機関ではこれに適したフレームワークが乏しいという課題があった。
この課題に応えたのがサイバーセキュリティセルフアセスメント(CSSA)だ。目的は、金融機関が自組織の立ち位置や課題を認識し、自律的な対策強化に取り組むよう促すことである。管理態勢の自己評価ツールを整備し、地域金融機関を対象に、自己評価を求め、集計結果を還元している。各金融機関には、自らの回答と集計結果との差を把握していただく。2022年度が初回で、2023年度も11月頃に集計結果を還元する予定だ。
<経営層の関与>
経営トップの関与のもと、サイバーセキュリティの確保に向けた計画を策定している先は全体の8割弱だ。サイバーセキュリティのガバナンスは、CISOが担うのがグローバルな流れとなってきている。地域金融機関でも今後DX戦略の進展度合いに応じて、CISO導入を検討する先も増えてくると思われる。 サイバーセキュリティに関するリスク評価は、システム導入時や定期的に実施する先が多い。一方で、経営層の判断のもとでリスク対応方針を決定している先は4割強だ。新たなデジタル技術導入により生じ得るサイバーセキュリティに関するリスクを評価できる人材は、7割強の先が十分に確保できていない。
<リスクへの備え①サイバー攻撃への技術的対策>
OA端末のサイバー攻撃対策として、インターネットとの分離、外部記憶媒体の接続制限、パターン検知型マルウェア対策製品の導入が進んでいる。攻撃方法として、OA環境への攻撃、公開システムに対する攻撃の2種類があり、それぞれ対策が必要だ。インターネットに接続しない内部システムも、VPNシステムの脆弱性を突いて侵入された事例がある。
内部システムへ侵入した攻撃者が最も狙うのは認証サーバだ。管理者のアクセス権やID・PWを盗み取り、システムに広く接続し、情報流出や暗号化の被害が拡大する。脆弱なパスワードを利用しないこと、認証サーバへの脆弱性パッチを適用することなど、特権IDの適切な管理が重要だ。
従来の水際対策に加え、昨今ではゼロトラスト「侵入を前提とした多層的な対策」の重要性が高まっている。脅威が侵入した後の「不審な挙動」を検知・対応することだ。振舞検知型ソフト(EDR)は、マルウェアの攻撃プログラムへの変化、自分自身のコピー、認証サーバへの大量アクセス等を検知する。
<リスクへの備え②サイバーインシデントの監視・分析態勢>
セキュリティ関連の監視・分析を行う組織(SOC)は、約8割が設置している。機器のログを収集・分析するシステム的な仕組みや、監視・検知・対応を行うSOCやCSIRTといった組織が重要だ。地域金融機関でSOCのような組織の構築は困難なところもあると思われるが、勘定系システムの共同利用先で協力して組織を構築する動きも見られる。
<リスクへの備え③システム資産の管理、脆弱性への対応>
システムへの脆弱性診断は、多くの先が相応の頻度で実施している。テスト手法として、システムのWebアプリケーションやOS等に潜む脆弱性を発見する脆弱性診断、システムに対する侵入可否をテストするペネトレーションテストがある。
最も実践的なのは脅威ベースのペネトレーションテスト(TLPT)だ。セキュリティベンダー等に依頼し、本番環境で疑似攻撃を行ってもらい、自行の対策の有効性を確認する。第三者目線でテストすることにより、課題や改善点が明らかになるため、非常に重要だ。
<有事への備え>
大半の先がサイバー攻撃(被害)別のコンティンジェンシープランを整備している。以前から金融機関では災害を意識したバックアップ体制を構築しているが、ランサムウェアはバックアップ領域にも被害をもたらすため対策が必要だ。 サードパーティに関するサイバーセキュリティのリスクは、半数以上の先が統括部署にて一元管理している。しかし、セキュリティの責任分界やリスク管理責任者を定めていない先が少なからず見られたのは課題だ。