「ヨーロッパの金融機関におけるデジタル化とリスク、今後の動向」

Ricardo Ferreira 氏
【講演者】
Fortinet, Inc.
EMEA Field CISO
Ricardo Ferreira 氏

ヨーロッパにおいて金融機関は様々な環境、状況に応じて事業継続の力が求められている。また新たなビジネス機会創出を求めてデジタル化を進めている。しかしながら新たなビジネスの創出には多くのリスクが存在していることも否定できない。このセッションではヨーロッパの金融機関におけるデジタル化とセキュリティについて最新情報を紹介する。

<ヨーロッパで加速するデジタル化>

機敏なフィンテックが市場を拡大するなか、ヨーロッパの銀行はパンデミック以前からデジタルジャーニーの真っ只中にあった。デジタル化には若い世代を取り込む目的もあり、その好例がユニコーンのRevolutsで、その他にも様々な次世代型銀行がある。一部の銀行はそれに対抗する形で、この世代に向けた事業部門を創設し、独自のサービスを作り出した。例えばJ.P.モルガンはモバイルアプリに特化したチェース銀行を生み出した。BNPL、いわゆる後払い決済もビッグトレンドの影響を受けた。

フィンテックが最前線にいることは明らかで、伝統的な銀行はデジタル機能を獲得もしくは開発している。銀行はデジタルジャーニーを歩んでいるが、次世代金融と同じスピード感で動くのに苦労しているため、結果は様々だ。リテールバンキングでは顧客のデジタル体験に焦点を絞っているため、支店数が減少している。デジタル体験が重要なのは、銀行がデジタルチャネルを増やす方向に舵を切ったからだ。つまり顧客がデジタル製品やサービスにどれだけ接しているかを測定することが重要となる。

銀行は業務効率化のため、クラウドを多用している。費用は使った分だけ支払えば良く、AIや機械学習などのプラットフォームにもアクセスできる。クラウドプラットフォームの消費の増大と膨大なデータ利用もトレンドとなっており、規制当局の懸念材料だ。

<これまでに発生したサイバーセキュリティの脅威>

脅威の観点からランサムウェアを見ると、今が最盛期だ。ランサムウェアを使えば、スキルの低い犯罪者でも破壊力の高いツールにアクセスできる。特に銀行業界が標的になっており、RaaSを使えばスキルが低くても大規模組織に大きな影響を及ぼす侵入攻撃ができてしまう。

最も危惧しているのは、国家が主導している、高度かつ持続的なサイバー犯罪だ。今年に入って金融業界では多くの攻撃が発生した。特にウクライナへの軍事侵攻により、侵攻初期には預金の引き出しも取引もできなくなった利用者が続発した。金融は国の重要なインフラであることを認識しており、国家に雇われたハッカーが破壊しようとするのだ。

AIの兵器化も懸念されるポイントで、犯罪者がAIを組織攻撃のための予備調査に使っている。1年ほど前、ある銀行の支店長に銀行のCEOと思われる人が電話をかけてきて、ある組織に資金を供与するよう命じた。後日、その電話はなりすましであったことが判明した。犯人は音声データを利用してCEOの声色を真似ていたのだ。このようなディープフェイクを利用する犯罪は急増しており、AIや機械学習の悪用、アルゴリズムの改ざんなどを懸念する論文が金融業界から提出されている。

<FortiGuard Labsが提供するデータについて>

FortiGuard Labsは、Fortinetセキュリティパブリックに実用的な脅威インテリジェンスを提供しているチームだ。世界中のセンサーネットワークで1日1,000億件以上のイベントを解析し、データを生成している。フォーティネットのお客様の安全が常に保護されるよう、チームはデータを用意してFortinetセキュリティポートフォリオに提供する。

今画面に表示しているレポートの主題は 、FortiGuardセキュリティサービスだ。クリプトマイナーへの攻撃が相変わらず多いが、オフィス文書にマルウェアを添付する攻撃も多く見受けられる。セキュリティの強度は一番弱いリンクで決まるという格言があるが、いくらテクノロジーが優れていても、社員教育不足だと社員がオフィス文書をうっかりクリックしてしまうことで組織は侵入攻撃を受ける。

IPS FortiGuard セキュリティラボのレポートを見ると 、昨年はLog4Shellが使用されたケースが圧倒的多数だったが、2017年以来の脅威であるDoublePulsarも使用された。金融業界としては現在の脅威からは常に保護されているが、前回や過去の脅威からも保護されているかを確認する必要がある。

<FinCyber プロジェクト>

FinCyberのプロジェクトでは、金融機関で発生した侵害イベントにフォーカスし、何が起きているかを調べて情報を照合し、侵害に対処するための最善の行動方針に関する文書を作成している。それぞれの侵害が国家主導のものかが分かる貴重なデータであり、興味のある方はぜひご覧いただきたい。

金融機関はデジタル化の取組によりサイバー攻撃者にとって価値の高い格好の標的となっている。厳しい規制を課している世界の当局が、毎日のように侵害やその他の脅威に直面しているのがその証拠だ。銀行は巨大組織のため、受け身のサイバーセキュリティから攻めのサイバーセキュリティへ移行することが難しい。アタックサーフェスは常に拡大しつづけ、テクノロジーも進化し続けている。規制も厳しいため、財務データや個人データの利用方法が問われているのだ。

<サイバーセキュリティの課題>

競合も多数存在する業界で金融機関が競争力を維持するには、コストを管理し、業務効率を最適化する必要がある。一方でネットワークエッジの保護も必要だ。クラウドも集中リスクがあるため、複数のプロバイダを利用する必要がある。金融機関は世界中の全ての人を保護する必要に迫られている。

アプリケーションのセキュリティも課題だ。金融機関がデジタル化に舵を切ると、自社内でアプリケーションの開発に着手し始めるだろう。セキュリティの観点からは、開発者がコードを書いてからサービスリリースまでセキュリティを保護する必要がある。

セキュリティ規模の拡大も大きな課題だ。例えば英国は標的になる回数が異常に多く、セキュリティ運用センターとネットワーク運用センターは山ほどの侵入イベントを受信し、職員がうんざりすることから離職率も高い。攻撃側はAIを使うが、防御側もAIでセキュリティ運用を拡大する必要がある。

<セキュリティドリブンネットワーク>

セキュリティ規模拡大とセキュリティドリブンネットワーキングは、フォーティネットがミッションとビジョンに従って実行してきたことの最前線だ。昔からネットワーク機器は危機意識に欠けており、当社の創業者はセキュリティドリブンネットワーキングによって、そこに活路を見出した。当社のセキュリティドリブンネットワーキングは事業の心臓部である。

セキュリティドリブンネットワーキングを実現するため、A地点からB地点へパケットを転送するだけの機器を、実用的なセキュリティデータで強化することが、当社のセキュリティドリブンネットワーキングのビジョンだ。

<3つの重要なポイント>

第1に、金融業界では驚異の状況が急激に悪化している。持続的な犯罪や国家主導の犯罪がまん延しており、AIの兵器化が大きく取り上げられている状況だ。脅威から身を守るには、何が起きているかをしっかり理解する必要があり、豊富なデータの活用が鍵を握る。

2つ目はセキュリティドリブンネットワーキングで、ユーザーをネットに接続させると同時にセキュリティデータで強化する必要がある。

3つ目はセキュリティベンダーとセキュリティ製品の連携だ。従来から金融機関は各ベンダーから製品を購入するが、通常ベンダー同士が会話することはない。1つのベンダーで全てを賄う必要はないが、互いに会話することの重要性が分かっている少数のベンダーから選ぶことが重要だ。