1. HOME
  2. サイバーセキュリティ
  3. オープンバンキング時代を乗り切るアプローチ

オープンバンキング時代を乗り切るアプローチ

ジャパンネット銀行は2000年10月の開業から、日本初のインターネット専業銀行として様々なセキュリティ対策を実施してきた。オープンバンキング時代に向けて、どのような備えが必要なのか。本連載の第3回目は、同行 IT統括部長 JNB-CSIRTリーダーの岩本俊二氏に聞いた。

オープンバンキング時代を乗り切るアプローチ
  1. JNB-CSIRTで入口、内部、出口対策を強化
  2. 他社と積極的に情報共有 金融機関は柔軟性が不可欠

JNB-CSIRTで入口、内部、出口対策を強化

─セキュリティ対策はどのように実施しているか。

岩本 私たちは2013年9月に「JNB-CSIRT」という組織を立ち上げた。これは、インターネットバンキングサービスおよび社内システム全般におけるセキュリティ・インシデント(セキュリティに関する攻撃)に対応する社内の専門チームのことである。立ち上げ以前にも社内で取り組んできたサイバー攻撃や脆弱性対策などをJNB-CSIRTに継承するとともに、さらなる体制強化を目指すため、立ち上げ当初は7名だったメンバーを14名に増員した。

─サイバー攻撃とはどのようか。

岩本 攻撃ダーゲット/守備範囲を大きく「OA環境」、「基幹系」、「お客様」の大きく3つのタイプに分けて考えている。ただし、私たちはこの3つのみを扱っているわけではない。FAX誤送信などの人的ミスやお客様の振り込め詐欺被害もセキュリティ・インシデントと切り離せない事案(図表1)のため、取り扱い関係部署はJNB-CSIRTとは別の組織となるが、組織の守備範囲を明確に分けず、時には協力して対策を立てている。

─「OA環境」への攻撃とはどのようか。

岩本 標的型攻撃が多くを占める。アンケート調査や社内メールに見せかけて不正なコードを含むファイルを添付し、開いた途端にウイルス感染してしまう類いの攻撃だ。そこで、私たちは「入口対策」、「出口対策」、「内部対策」と3つに分けて対策を行っている。入口対策とは、ウイルスや犯罪者に侵入されない防御策のこと。例えば、当社に送信されるメールに対して、スパムやウイルスを遮断するフィルタ/検疫を行うなど、複数段のセキュリティ機能を導入している。

出口対策とは、ウイルスや犯罪者が機密情報を見つけ出し、それを外部に持ち出そうとする行為を防ぐことだ。対策として「Webサイトに対するPOSTサイズ制限」を厳しく行っている。外部に送信されるデータに対して、厳しく制限をかけることで、情報漏えいを防いでいる。また、Webサイト閲覧時に不正なコードが実行されないよう無害化することで、悪意のあるサーバへの通信を防ぐ対策も行っている。

しかし、私たちは入口対策や出口対策のみでは不十分と考えている。2015年6月の日本年金機構の顧客データ流出の事案を受けて、翌月にはOA環境内部のセキュリティ対策強化の必要性を経営層に報告した。そこで、JNB-CSIRTを司令塔役に様々なリスク低減策を推進した(図表2)。それが前述の「内部対策」に当たる。特に、「内部偵察検知センサー」の導入は非常に意義のある試みと言える。通常、ウイルスや犯罪者は機密情報を探るために内部の調査行為を行う。これは普通の通信では見られない動きだ。不正な動作がないか、常時チェックしており、不審な振る舞いが確認された端末は、ネットワークから自動遮断される仕組みになっている。また、ほかにもランサムウェア対策ソフトなど多段階のウイルス対策機能をOA環境に導入することで、「横」感染(感染拡大)の防御策も強化している。

─「基幹系」への攻撃の内容と影響は。

岩本 サーバの脆弱性を突いた不正侵入やシステム停止を狙う攻撃のことだ。銀行側とお客様側で受ける攻撃や被害のタイプは異なる。まず、銀行側は、大量アクセスでシステム停止を狙うDDoS攻撃だ。近年では、攻撃を請け負うサービスも登場するなど、攻撃は大規模・深刻化している。お客様側は、偽のインターネットバンキングの画面を表示させ、ワンタイムパスワードを不正に詐取されるケースや、パソコンが乗っ取られ不正送金をされたりするケースが挙げられる。脆弱性やシステム停止を狙う攻撃への対策として、WAF/CDNを導入し、常時監視している。日本の金融機関では自社ホームページの広報画面のみで活用するケースが多い。しかし、当行ではインターネット専業銀行であることを踏まえ、現在約450万口座あるお客様の取引画面を含めて、すべてのサーバを前述の機能で防御している。

お客様側への攻撃としては、なりすましログイン/不正送金が挙げられる。JNB-CSIRTでは、お客様の取引をモニタリングしている。例えば、いつも日本のプロバイダからアクセスするお客様が、急に海外のプロバイダからアクセスした場合、それはなりすましログインである可能性は否定できない。その際は、お客様へ連絡し、確認いただくよう促している。

他社と積極的に情報共有 金融機関は柔軟性が不可欠

─オープンバンキングの海外における取り組みの現状は。

岩本 2011年12月、米国のオバマ政権時にクラウドサービスを政府が調達する際のベースラインとなるセキュリティ基準であるFedRAMP(フェドランプ)を定めた。3段階の評価のうち最高レベルの「High」を取得するのは厳しい審査を経る必要がある。クラウド事業者によっては、SOCレポート(1〜3)を準備している。特にSOCレポート2には、セキュリティや機密情報の取り扱いに関する統制状況について、監査法人などが詳細に評価し、レポートとして提示しているもの。事業者比較や評価が行いやすい点は画期的だ。

─日本の取り組みはどのようか。

岩本 経済産業省と総務省がクラウドサービスの政府調達基準の策定や基準を満たしたクラウドサービスの登録簿の策定について取り組み中だ。当行がクラウド導入やAPIを実装した際は、明確な基準は少なかったため、比較的対応が進んでいると思われ、他社から問い合わせが寄せられた。当行では、従来の銀行のような自前のデータセンターや営業店ネットワークなどを保有していない。そのため、基盤としてクラウドを活用することやAPIを実装すること(提携先サービスから取引明細の参照や振込を行うこと)は自然な流れであった。

オープンバンキングを自然な流れとして受け入れ、実施のために早くから模索をしてきた経緯がある。例えばクラウド利用では国内外のガイドラインやSOCレポートなどを参考にして基準を策定したり、他社と積極的に情報共有をしたりするなど、管理の高度化に向けて取り組んでいる最中だ。日本では米国や欧州を参考に政府や事業者を含め、探り探りといったところだろうか。

─今後、オープンバンキングによって、日本の金融機関はどうか変わるか。

岩本 昨今のFinTechの流れは継続し、よりそのスタンスが鮮明になるだろう。例えば従業員の給与支払いに関して、従来の銀行口座への現金振り込みではなく、キャッシュレス決済アプリへの振り込み(チャージ)に移行する可能性は大いにある。

給与の支払い方法が変わっても、キャッシュレス決済アプリには、銀行口座やクレジットカードなどが紐づけられているケースが多いため、金融機関におけるセキュリティ対策の重要性がますます問われることになる。

サイバーセキュリティカテゴリのオススメの記事
ポストコロナ時代にデータセンターはどう活用すべきか

【PR】新型コロナウイルス感染症により、社会の在り方は大きく変わった。また、リモートワークの普及によって多くの企業がシステムのクラウド化を検討している。クラウドとデータセンター、双方の強みとシステムの特性を踏まえながら、基盤整備を進めていくことが求められる。では、データセンター活用の要諦はどこにあるのか。本稿ではColtデータセンターサービスがまとめたホワイトペーパー「ポストコロナにおけるデータセンターの活用方法」から、この点について一部を解説していく。

金融業界横断的演習「Delta Wall Ⅳ」の狙いと今後

世界的に注目度の高いイベントは、サイバー攻撃の格好の標的だ。2018年の平昌冬季オリンピックでは、大会の準備期間に6億件、大会期間中に550万件の攻撃があったといわれ、開会式ではWi-Fiなど様々なシステムに障害が起きたと報道された。サイバー攻撃は、大手金融機関のみならず中小金融機関もターゲットになる恐れがある。本連載第2回目の今回は、金融庁総合政策局総合政策課サイバーセキュリティ対策企画調整室長の水谷剛氏に対策のポイントを聞いた。

2020年東京オリンピック・パラリンピック大会に向けた政府の取り組み

2020年東京オリンピック・パラリンピックの開催が近づいてきた。世界的に注目度の高いイベントは、サイバー攻撃の格好の標的だ。政府や関係府省庁はサイバーセキュリティの確保の準備を進めており、事前対応・事後対応に磨きをかけている。重要インフラ事業者の一つである金融機関にも、一層のセキュリティ向上が求められている。本特集では内閣官房、金融庁、金融機関のそれぞれに取材し、日本のサイバーセキュリティの「2020年東京大会」とその後を考察する。第一回目の今回は、内閣官房東京オリンピック・パラリンピック推進本部事務局参事官の山城瑞樹氏に、サイバーセキュリティを中心とした取り組み内容などを聞いた。

「適応型DLP」で電子メールの セキュリティリスクを自動排除 ~業務の流れは止めずに、機密情報の流出・流入を阻止

【PR】サイバー攻撃や内部不正など「電子メール」を介した情報漏えい事件が多発する中、企業には情報資産を守る適切な対策が求められている。そこで注目度が高まっているのが、情報漏えい対策ソリューションを提供するクリアスウィフトの「Clearswift SECURE Email Gateway」だ。独自のディープコンテンツ検査技術でセキュリティリスクを自動排除する同システムは、国内外の金融機関などで導入が相次いでいる。

【 インタビュー 】
ジャパンネット銀行
IT統括部長
JNB-CSIRTリーダー

岩本 俊二 氏

The Finance をフォローする
注目のセミナー すべて表示する