今回は、金融分野のサイバーセキュリティについて取り上げます。金融機関のサイバーセキュリティ対策の指針となるのが、2015年7月に金融庁が策定した「金融分野におけるサイバーセキュリティ強化に向けた取組方針(以下:取組方針)」です。

参考:金融分野におけるサイバーセキュリティ強化に向けた取組方針(概要)PDF

参考:金融分野におけるサイバーセキュリティ強化に向けた取組方針(本文)PDF

取組方針策定の背景

1.サイバーセキュリティ基本法の制定

取組方針策定の背景にあるのが、前年11月に制定されたサイバーセキュリティ基本法です。サイバーセキュリティ基本法の中で、金融分野は重要インフラの1つに指定されています。

参考:サイバーセキュリティ基本法

重要インフラとは、国民生活や経済活動の基盤となるインフラのうち、機能が停止したり、低下したりすれば特に大きな混乱を招くと見込まれる14分野です。金融以外では鉄道、電力、政府・行政サービス、医療などがあります。

金融機関がサイバー攻撃を受けた場合、経済へのダメージは大きく、場合によっては、国民の経済活動に大きな支障をきたします。

2.金融機関を狙ったサイバー攻撃の増加

金融機関には、金銭があることが明白なので、他の産業に比べて経済的な利益を目的としたサイバー攻撃を受けやすい傾向があります。そこで、近年の金融分野へのサイバー攻撃が世界的に増加していることも、もう一つの背景です。

事実、取組方針が策定された2015年における、金融分野の世界全体での情報セキュリティ被害は、前年を30%も上回って増加しています。特に、2014年から2015年にかけては、日本では大きな事件はなかったものの、世界では1200万ドルが不正送金された事例をはじめ、多くのサイバー攻撃が発生しています。

最新の取組方針の内容

取組方針は2018年10月に、以下の金融を取り巻く状況の変化と、政府の方針を踏まえて、アップデートされています。

  1. デジタライゼーションの加速的な進展
  2. 国際的な議論の進展
  3. 2020年東京オリンピック・パラリンピック競技大会の開催
  4. 政府全体の基本戦略である「サイバーセキュリティ戦略」の改訂(2018年7月)

最新の取組方針における施策内容は、「アップデート後の新たな課題への対応」と「これまでの進捗・評価を踏まえた施策の推進」の2つです。

1.アップデート後の新たな課題への対応

(1)デジタライゼーションの加速的な進展を踏まえた対応

デジタライゼーションの進展が金融業に与える影響、サイバーセキュリティに係るリスクやその対応策等について把握・分析に取り組む。

変化への対応を金融機関に促すとともに、こうした変化に対応した当局のモニタリングのあり方等について検討する。

(2)国際的な議論への貢献・対応

サイバー攻撃に国際的に協調して対応するため、G7財務大臣・中央銀行総裁会議をはじめとするサイバーセキュリティに関する国際協調の議論に対して、各国当局と連携しつつ貢献・対応していく。

(3)2020年の東京オリンピック・パラリンピック大会等への対応

金融分野の連携態勢を整備するため、関係省庁、関係団体との連携を一層緊密にし、危機管理態勢を構築する。

サイバー攻撃の増加、各分野をまたがるような攻撃や大規模インシデントの発生などに備え、広く情報収集・分析に取り組む。

2.これまでの進捗・評価を踏まえた施策の推進

(1)金融機関のサイバーセキュリティ管理態勢の強化

平時のサイバー対策

  1. 大手企業は、海外の動向を念頭に対話を通じてより一層の高度化を促す。
  2. 中小企業は、業界団体を通じた底上げ、実態把握、立入検査を行う。

インシデント対応

  1. 大手企業は、国際的な合同演習への参加、実践的な侵入テスト(TLPT)を実施する。
  2. 中小企業は、金融庁演習、NISC等の演習への参加を行う。

(2)情報共有の枠組みの実効性向上

「共助」の取組みの第一歩となるよう、金融ISAC・FISC等とも連携し地域内の情報共有を推進する。

(3)金融分野の人材育成の強化

財務(支)局とも連携して、経営層向け地域セミナーを全国的に開催する。

「サイバーセキュリティ戦略」で掲げられた、「戦略マネジメント層」の育成・定着に向けて、海外や他分野の優良事例等を収集し還元する。

取組方針の評価と改善点

2019年5月、金融庁は金融業界のこれまでのサイバーセキュリティへの取組を評価し、今後の改善を図るために、「金融分野のサイバーセキュリティレポート(以下:レポート)」を公表しました。レポートの中では、サイバーセキュリティへの「取組みの現状」と「今後の取組み」が示されています。

1.取組みの現状(評価)

取組みの現状として、デジタライゼーションへの対応などが挙げられています。デジタライゼーションの活用状況に関して、大手金融機関において、クラウドサービスやAIなどの分野では相応に活用が進んでいる状況と、そのリスク対策を説明しています。

(1)クラウドサービスの促進

多くの大手金融機関ではクラウドサービスの専門チームを設置し、ノウハウ等の蓄積を進めながら段階的に進めてきている。

金融セクター全体を俯瞰すると、大手クラウドベンダーへの集中は高まってきている状況にあり、今後、ノウハウの集積により、さらに集中が進む可能性があると考えられる。

(2)AIの促進

大手金融機関では特に既存業務の自動化(RPA)に注力している状況にある。

AIを推進するにあたっては、データやアウトプットへの信頼性の確保や顧客への説明責任が重要という意見が多くみられる。

このため、既にAIが使われている領域についても、アウトプットが導き出される過程がブラックボックス化しないよう、結論部分に関しては人が関与しているケースがみられる。

(3)リスク対策

大手金融機関では、適切にリスクを管理するため、ノウハウ・専門人材の確保などを進めつつ、基本的には、これまでのサイバーセキュリティのフレームワーク10に沿ってセキュリティ対策を講じている。

他方で、デジタライゼーションによりシステムが一層複雑化してきており、情報資産の網羅性の確保やリスクコントロールが一層重要となってきている。

このため、大手金融機関では、CASB(Cloud Access Security Broker)の活用やクラウドサービスのログを自社で監視・分析するなどの取組みがみられる。

(4)その他

その他にも、取組の現状として「国際的な議論への貢献・対応」、「2020年東京オリンピック・パラリンピック競技大会等への対応」、「金融機関のサイバーセキュリティ管理態勢の強化」などがあります。

2.今後の取組み(改善点)

金融庁の今後の取組みとして、デジタライゼーションおよび東京オリンピック・パラリンピックへの対応を挙げています。

(1)デジタライゼーションの進展を踏まえた対応

メガバンク、地方銀行、ネットバンキングなど、金融機関の規模と特性を踏まえながら、デジタライゼーションの進み具合を把握し、今後に生かす。

他の分野も含めた、サイバーセキュリティについて積極的に情報を収集し、金融機関のサイバーセキュリティ対策に生かしていく。

(2)2020年の東京オリンピック・パラリンピック向けた対応

実態の把握や対話などを通じて、各金融機関のサイバー対策を強化する。

脆弱性診断、脅威ベースのペネトレーションテストや演習など通じて、サイバー対策の実効性向上に取り組む。

「サイバーセキュリティ対策関係者連携会議」などを活用し、金融ISACや金融情報システムセンター等とともに、金融分野における大規模インシデントへの対応等への態勢強化を推進する

参考:金融分野のサイバーセキュリティレポート(概要)PDF

参考:金融分野のサイバーセキュリティレポート(本文)PDF

リーガルテック社の「フォレンジック技術」は金融分野のサイバーセキュリティをサポートします。

今回は、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を中心に取り上げました。金融機関は、国民生活に欠かせない重要インフラであるが故に、サイバー攻撃を受けたときの被害は計り知れません。

金融分野においては、インターネットによる金融取引とキャッシュレス決済の増加により、サイバー攻撃のリスクは、年々高まっています。また、外部の脅威だけでは不十分で、内部の脅威にも対策をしなければなりません。

事実2018年は、地方銀行での内部不正による融資が、大きな問題となりました。そのため、「外部からの攻撃」と「内部不正」の2つの対策に頭を悩ませている金融関係者の方も多いのではないでしょうか?

そこでオススメなのが、リーガルテック社の「フォレンジック技術」です。リーガルテックの高速フォレンジックツール「AOS Fast Forensics」は、「外部からの攻撃」と「内部不正」の両方への対策が可能です。

「AOS Fast Forensics」は、調査対象となるパソコンにUSBメモリを挿入し、プログラムを実行するだけで、インストールすることなく素早いデータ収集が可能です。

収集したデータを分析することで、「外部からの攻撃」と「内部不正」の早期発見に、効果を発揮します。

そして「AOS Fast Forensics」は、調査対象パソコンへのデータ改変を最小限に抑えられるので、業務への影響も少なく安心です。「AOS Fast Forensics」を使うことで、少ない時間と労力で「外部」と「内部」の、両方のサイバーセキュリティ対策ができます。

USBメモリを挿入するだけ、高速フォレンジックツール「AOS Fast Forensics」

万一、内部不正が起きてしまった場合や、不正が疑われる場合には、その調査を行う上で企業内フォレンジック調査ルーム「AOS Forensics ルーム」が役立ちます。内部不正が起きてしまった場合、被害を最小限にするためには、時間との勝負です。

なぜなら、その原因究明と公表が遅れるほど、お客様や取引先の信頼を失ってしまうからです。言い換えれば、迅速に不正調査を行い公表することが、早期の信頼回復につながります。

「AOS Forensics ルーム」とは、不正調査を行うことを目的として、組織のフォレンジック調査スタッフが作業を行うための専用ルームの構築支援サービスです。

リーガルテック社は、「AOS Forensics ルーム」の設立のためのコンサルティングからフォレンジックツールの選定、使い方のトレーニングまで、さらには、より高度なフォレンジック調査サービスを通じて、インハウス・フォレンジックルームの設置をサポートいたします。

企業内フォレンジック調査ルーム「AOS Forensics ルーム」