Other parts of this series:
近年、金融機関を含む重要インフラを狙ったサイバー攻撃が深刻化し、利用者に多大な影響を与えています。
被害は財務的なものに留まらず、企業としての信頼をも揺るがしかねません。テクノロジーの進化とともに攻撃手法も驚くほどの速度で変化・頻発化しており、金融庁のガイドラインが存在する中でも実際の被害が発生するなど、対策強化は待ったなしの状況です。
サイバーセキュリティは、もはや技術的な問題にとどまらず、最重要の経営アジェンダの一つとなったと言えます。こうした状況を受け、今回の金融ウェビナーでは金融機関が取るべきサイバーセキュリティ対策の要諦、最新動向から具体的な対策、そして持続可能な体制構築までを掘り下げました。本レポートでは、その要点をお届けします。詳細な解説やQ&Aを含む動画版とあわせてぜひご覧ください。
規制強化を受け、金融機関のセキュリティ対策は新次元へ
まずは、サイバーセキュリティの重要性がかつてないほど高まっている現状から解説します。アクセンチュアのグローバル調査では、CEOの96%がサイバーセキュリティを重要視している一方で、74%が自社の対策に不安を感じ、取締役会レベルで議論しているのは15%に留まるというギャップが明らかになっています。
日本国内においても、昨年、重要インフラを狙ったDDoS攻撃が多発し、一部サービスに影響が出ました。これらの攻撃は高度化しており、思想的背景や犯行声明が見られないことから、国家関与の可能性も指摘され、民間企業のみでの対応の限界が露呈しています。
このような状況下、金融庁は昨年10月に新たなガイドラインを公表しました。これは従来のFISC安全対策基準とは異なり、監督指針としての位置づけを持ちます。経営陣の主体的な関与、リスクベースアプローチの徹底、脆弱性診断やペネトレーションテストの定期的実施、サプライチェーン全体の管理強化、そして情報連携の重要性が強調されています。
さらに、2027年施行を目指し「サイバー対処能力強化法案」が提出され、官民連携によるインシデント報告・共有、政府主導での監視、アクセス無害化措置など、国家レベルでの対応強化が進められています。これは、サイバーセキュリティ先進国である米国の国家主導アプローチを参考にしたものです。
多くの金融機関では、ホールディングス傘下に多様な業態の子会社が存在し、それぞれが個別のセキュリティ基準を持つ「連邦型」の体制が見られます。しかし、グループ全体での統一されたポリシーやルールの遵守、リスクの可視化という観点では、まだ改善の余地が多いのが実情です。国内外の規制当局もグループレベルでのガバナンスを求めており、リスクベースでグループ全体のセキュリティ方針を再定義し、踏み込んだ議論を進めるべき時期に来ています。
求められるサイバーセキュリティ対策の要諦
具体的な対策における4つのテーマとして、「リスクベースアプローチ」「グローバルセキュリティアーキテクチャ」「グループインシデント体制」「サードパーティーリスク管理」が挙げられます。
「リスクベースアプローチ」は、画一的な対策ではなく、個々のリスク評価に基づき濃淡をつけて対応する考え方です。これを実現する上で最も重要なのが「資産管理・脆弱性管理」です。自社が保有する資産(システムやデータなど)と、その重要度、存在する脆弱性を正確に把握することがすべての起点となりますが、外部委託が多い日本企業では課題が多いのが現状です。多岐にわたる資産情報を連携させ、一体的に管理・可視化する仕組みが求められます。
また、「サイバーハイジーン(衛生管理)」は、システム等IT環境のセキュリティを健全な状態(衛生状態)で維持していく考え方です。特に「管理外の資産」や「パッチ未適用の脆弱なシステム」は攻撃の温床となりやすく、これらをいかに迅速に解消し、クリーンな状態を保つかが重要です。ルールに基づいた定期的なパッチ適用などが求められます。
次に「グローバルセキュリティアーキテクチャ」については、業態や地域ごとに異なるルール、ソリューション、管理体制が複雑に絡み合っている現状があるなか、IT環境やセキュリティの複雑性はリスク把握やインシデント対応の遅れに繋がるため、ルールや対策、体制を統一し、シンプルにしていくことが、結果的にセキュリティ強化と効率化につながります。
「グループインシデント体制」では、ホールディングス主導の完全集約型でも、各社任せの分散型でもなく、本社と各グループ企業が密に連携する「ハイブリッド型」が有効であるとの見解を示しました。地域ごとの言語や時差、規制への対応のスピード感を考慮すると、この体制が現実的と考えられます。
最後に「サードパーティーリスク管理」の重要性と複雑性にも言及。クラウドサービスや外部委託ベンダーなど、多様な関係者を管理する必要がありますが、その数は膨大であり、人海戦術には限界があります。そこで、初期段階からシステムやAIを活用した自動化・効率化を前提とした管理体制の構築が不可欠であると強調されました。
サステナブルな将来態勢に向けた三つの論点
最後に、サイバーセキュリティ対策を持続可能なものとするための中長期的な視点について解説。サイバーセキュリティは、もはや金融機関運営に不可欠な機能であるとの認識のもと、「全社横断での判断・舵取り」「人材確保」「管理可能なコストコントロール」の3点を論点として挙げました。
サイバーセキュリティ対策は、テクノロジーだけでなく、ビジネス影響、法令対応など多岐にわたります。技術専門家による個別対応は重要ですが、それらがサイロ化し、全体像が見えなくなるリスクがあります。経営層が適切な判断を下すためにも、対策状況やリスクを全社横断(グループ/グローバル横断)で俯瞰し、計画・管理する機能がますます重要になります。
また、「人材確保」は喫緊の課題です。セキュリティ人材は母数が絶対的に不足しており、採用は困難を極めます。外部リソースの活用も重要ですが、それだけではなく、自社におけるリスクを俯瞰する視点を持った中核となる人材は内部で育成する必要もあります。採用から育成までのキャリアパスを整備し、セキュリティ人材を自社の「花形人材」として位置づけるキャリア改革も重要だと述べました。
そして「管理可能なコストコントロール」も重要なテーマです。対策の高度化に伴い、セキュリティ投資は増加傾向にあります。無尽蔵な投資は許されないため、コストを最適化する視点が必要です。具体策として、全方位を可視化できるシンプルアーキテクチャの追求、AIなどを活用した効率化・自動化の徹底、外部リソースの効果的な活用が挙げられます。なお、ウェビナー本編ではセキュリティ投資額の具体的な目安も提示されておりますので、ご興味のある方は無料の動画版からご覧ください。
サイバーセキュリティは重要な経営課題、継続的な取り組みを
今回のウェビナーでは、金融機関におけるサイバーセキュリティの現状、取るべき対策、そして将来を見据えた体制構築について解説しました。テクノロジーの進化と脅威の高度化、規制強化の流れの中で、サイバーセキュリティが経営アジェンダそのものであることが改めて浮き彫りになりました。
リスクベースでの対策、グループ・グローバルでのガバナンス強化、そしてそれを支える人材育成とコスト管理。これらを統合的かつ継続的に推進していくことが今後の金融機関経営において不可欠です。
本レポートではウェビナーの要点を抜粋してお伝えしましたが、オンデマンドでご覧いただける動画版では、より具体的な事例や詳細な解説、Q&Aの内容もご紹介しています。無料でご視聴いただけますので、ご興味をお持ちの方はぜひご覧ください。
今回のウェビナーでは、金融業界の外部へと目を向け、最新の顧客体験の創造に取り組んでいる事例を紹介しました。本記事の内容は、オンデマンド視聴可能なウェビナーでより詳しく紹介しております。ハンズオン資料のご提供ほか、豊富な図版を交えた説明、視聴者からのQ&Aを含む約60分の映像コンテンツとなっておりますので、ぜひご視聴ください。
アクセンチュア金融サービス本部ウェビナー第69回のご視聴はこちら。
