2023年5月23日開催ONLINE EXECUTIVE CONFERENCE「地域金融機関の未来を見据えたDX推進とセキュリティ対策の在り方とは」＜アフターレポート＞

1. 「複雑化する金融ITインフラに必要となるセキュリティ対策の鍵」PwCあらた有限責任監査法人　ディレクター　小林 由昌 氏
2. 「地域銀行のDX推進とサイバーセキュリティ」株式会社岩手銀行　執行役員システム部長　関村 淳哉 氏
3. 「防ぎきれないサイバー攻撃。データレジリエンスのためのデータ保護『Cyber Recovery』」デル・テクノロジーズ株式会社　DPS事業本部第二営業部　営業戦略推進担当部長　鈴木 敏通 氏

「複雑化する金融ITインフラに必要となるセキュリティ対策の鍵」

＜数字で見るDXを意識した金融分野のITインフラの動向＞

金融業界では、クラウドの活用やリモートワークの普及、オープンAPIあるいはマネージドサービスを介したデータ利活用などデジタル技術の活用が急速に広まっている。

総務省がさまざまな業態向けに行った令和3年通信利用動向調査によると、クラウドサービスを利用していると回答した銀行・保険業の割合は89.1％、テレワークを実施しているとの回答は82.4％、ビジネスにおいて個人データを積極的に活用している、あるいはある程度活用しているとの回答は62.3％であった。データ活用については62.3％と他の2項目より低く見えるが、調査対象産業分類中1位であり、クラウドサービス利用とテレワーク導入の割合についても調査対象産業分類中2位であったことからも、金融分野のデジタル化が進んでいることが分かる。言い換えれば、外部依存性が高まっているとも言える。

クラウドサービスの普及は、サービス自体が持つ利便性や、政府のクラウド・バイ・デフォルト原則の流れとともに、ほぼ全ての金融機関が何らかの形で利用している。テレワークに関しては、多様な働き方の提供による労働力確保の観点からの普及と同時に、2021年に金融庁が公表した「ゼロトラストの現状調査と事例分析に関する調査報告書」に代表されるように、ゼロトラスト原則などの普及によりセキュリティ確保可能な選択肢として広がっている。個人データの活用は、金融機関の保有データは再利用価値が高いという特徴から、既存ビジネスの拡大・強化のみならず、金融オープンAPIの普及により外部連携を伴う新しいビジネスモデルの創出での利用も加速している。

日本銀行による金融機関のデジタル化に関する調査結果においても、金融機関における対面型での事務量は減少傾向である一方、デジタルチャネルの事務量は急増しており、今後の見通し調査を見ても、デジタルシフトを進める方針であることが分かる。もはや金融機関において、DX推進は避けて通れない状況となっている。

＜デジタルトラストの確保が難しくなっている＞

DX推進は相応のメリットがある反面、サイバーセキュリティの観点ではアタックサーフェースが増加している状況であり、サイバーリスクは高まり、リスクの適切な把握と対応が難しくなっている。

クラウドやデータ利活用、リモートワークにおいて、業務委託先や事業提携先との外部データ連携や国内外グループ企業とのデータのやり取りをする機会が多く、境界防御網の外側に存在するIT資産が増加し、アタックサーフェースも増加しているのだ。そのうえ、攻撃手法も高度化していることから潜在的なサイバーリスクは高まる一方、IT資産を守るサイバー人材が質・量の面で不足しており、セキュリティ対策の遅れや人的ミスの増加にも繋がるという潜在リスクをはらんでいる。

2022年にPwCが公表した「第25回世界CEO意識調査」によると、企業の成長見通しに対する脅威について、日本のCEOの回答の1位は新型コロナウイルス感染症などの健康リスク、2位がサイバーリスクであった。世界全体でみると健康リスクを抑えてサイバーリスクが1位であり、グローバル全体でもサイバーリスクが大きくなっているといえる。

＜複雑化するセキュリティ対策の鍵＞

金融機関において複雑化するITインフラのセキュリティに今後必要となるのが「サイバーハイジーン」と「サプライチェーンサイバーリスク管理」の2つだ。

金融庁が2022年2月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針」（Ver. 3.0）や同年10月の G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素、2023年4月「オペレーショナル・レジリエンス確保に向けた基本的な考え方」（案）に対するパブリック・コメントの結果等の公表、といった文書においてもサイバーハイジーンとサプライチェーンサイバーリスク管理が重要なテーマに取り上げられており、これらが重要な鍵となると考える。

＜サイバーハイジーン＞

「サイバーハイジーン」とはサイバー空間の公衆衛生を意味し、社内のIT環境を構成するシステムや機器のセキュリティをきめ細かく実装・設定し、習慣的に管理することで脆弱性を削減し堅牢性を高め、維持することをいう。サイバー攻撃に対して、単に対処療法を行うのではなく、免疫力を高めることを意図している。

クラウドとオンプレミス環境をハイブリッドに活用する企業は、これまで以上に多層防御への意識を高めることが必要になる。新しいセキュリティ製品を導入せずとも、ネットワーク機器、OSなどのIT機器の設定をへ堅牢に実装することで強固なセキュリティ環境を構築できるのだ。具体例として、不要なソフトウェア・コンテンツの削除や不要なサービス・ポートの無効化、ID管理の徹底、ネットワークセグメンテーションの厳格管理、データ・通信の暗号化の徹底などが挙げられる。こういった基本の対策を徹底することがサイバーハイジーンが求めていることであり重要な点である。

国内外金融当局によるサイバーハイジーンへの要求も高まっており、金融庁が公表した先述の取組方針においても「新たなリスクへの備え」としてサイバーハイジーンの徹底を金融機関に促す、と明記されている。また、金融庁幹部はPwCが開催したDigital Trust Forum 2022での対談の中でも、「多くの金融機関では、境界防御に依存の場合、内部対策が不十分なケースもあるのではないか、アクセス権の設定やシステム間の通信制御が厳格に管理できているか、などは検証すべき着眼点である」と述べている。

＜サプライチェーンサイバーリスク管理（SCCRM）とその現状＞

サプライチェーンを悪用したサイバー攻撃の被害が増加傾向にあり、懸念が高まっている。具体的には、標的とする組織を直接狙わずに、セキュリティ対策が比較的手薄なシステム開発委託先やマネージドサービス・クラウド事業者などの関係組織を踏み台とする攻撃や、幅広く使用されるソフトウェア・ハードウェアの調達先、オープンソースソフトウェアを侵害し、委託元企業に被害をもたらす攻撃などが該当する。

SCCRMの特徴は、広い範囲の管理が求められるという点だ。1次先のサプライチェーンの企業のみならず2次先、…N次先となると金融機関からのリスクの可視性は低下し、統制の難易度は上がる。その一方で、N次先で顕在化した脅威や被害が金融機関にも伝播する可能性があり、これらの管理が今後必要とされている。

SCCRMの取り組み強化は、サプライチェーン経由でのサイバーインシデント対策という観点のみならず、国内外の当局がさまざまな問題提起をしていることから、規制対応・コンプライアンスという観点からも今後速やかに取り組むべき課題領域となっている。

では何が取り組みのヒントになるのか。1つは2022年10月改定・公表されたG7「金融分野のサードパーティリスクマネジメントに関する基礎的要素」である。基礎的要素は、法的拘束力をもたないものの、金融機関には整合した取り組みが必要なベストプラクティスであり、高度化に活用できる。また金融セクターのサードパーティ組織に対しても、自身のサードパーティリスクに関連するICTサプライチェーン管理にこの基礎的要素を用いることが推奨されている。

取り組みのヒントの2つ目はPwCが2023年5月に発表した「海外金融機関におけるサプライチェーンサイバーリスク管理の最新動向」レポートである。これは海外金融機関のCISOなどにインタビュー調査を行い、委託先選定時、契約時のリスク評価、委託先のリスク管理、ソフトウェア・ハードウェア管理、経営層への報告の5つの観点に関する先進的な取り組み事例を紹介したレポートであるため参考にしていただきたい。

＜まとめ＞

金融機関はDXが進み、守るべき範囲も拡大・複雑化し、セキュリティ対策の難度が高まっている。そのような環境下において、サイバーハイジーンの徹底は境界や内部対策として攻撃防止・被害最小化に効果を発揮する。またサードパーティサプライチェーン先にも、契約・SLAを通じて明示的に対策や、十分な深度・頻度での評価・点検を求める必要があり、金融当局も着眼している重要なテーマだ。

サイバーセキュリティにおいてガバナンスや管理プロセスの強化は重要だが、現実の攻撃の成否や攻撃影響の大小はITインフラの堅牢性による部分が大きい。実効性を伴うセキュリティ強化の取り組みが必要である。