このシリーズの記事一覧:
地銀協月報2020.3月号掲載記事のご紹介(全3回)
第3回:
特集 金融機関のサイバーセキュリティ対策 サイバー攻撃の現状と対応策について
新デジタル技術に必須のサイバー対応
⑴ クラウドの普及でセキュリティの境界が変化
パブリッククラウドは今や金融機関の半数が導入する時代となった(図表11)。
金融機関の多くは、競争力強化のため、デジタルトランスフォーメーション(DX)に取り組んでおり、従来のレガシーネットワークからクラウド中心のネットワークへの環境変化でセキュリティ対策の検討範囲が拡大している。このセキュリティの環境変化に伴う対策の見直しは当然であるが、実態はどうか。
先の日本銀行の調査結果によると、ほぼすべての導入先が、パブリッククラウドおよびオープンAPI(更新系)に関してセキュリティ脅威を認識し、情報漏えいにおいては約9割がオープンAPI(参照系)およびスマートフォン・タブレットに関して脅威を認識している(図表12)。しかしながら、クラウド利用先(約5割)の各種クラウド管理施策の達成度は2割~4割にとどまる(図表13)。各クラウド管理施策の内容にもよるが、6割~8割の組織が、パブリッククラウド利用におけるサイバーセキュリティ体制の整備に対して、未対応の状況であることが窺えた。
⑵ 新たなデジタル技術と新たなセキュリティモデル
従来の社内と社外とを分ける境界防御を前提としたセキュリティ対策モデルは、組織の境界を守ることに焦点を当て、ファイアウォールで囲んだネットワーク内のみを信頼する制御モデルだが、これには本質的な欠陥があった。「外からの侵入を防げば、中は大丈夫」という思い込みに象徴される境界防御は、全ユーザーが責任を持って行動し、信頼できることを前提としている。いったん内部に攻撃者が入り込む、あるいは内部犯行を行う者がいる場合、境界防御は非常に脆弱になる。
城に例えると、敵の侵入を防ぐための城壁がファイアウォールであり、中と外とのアクセス制限をする。中に入ることを許可された者は信用されるため、いったん内部に入れれば悪意のある侵害行為は制御できない。「一度信頼したら、その後は常に信頼する」という境界内すべての人を信頼するセキュリティ設定では、アクセスできるデータをすべて盗み出すことも可能で、境界アプローチには限界がある。
現在、多くの組織は、オンプレミスとクラウドの双方にリソース分散される環境にある。社内のネットワークの集中化が有効ではなくなった現在、既にネットワークモデルとしても機能しなくなっているとの指摘もある。現在も企業におけるセキュリティ侵害は絶えないが、今後もデジタル技術を活用したデータ連携が進むほど、クラウド・モバイル・IoT等を活用した多様な環境を守る難易度は上がっていく。
新しいセキュリティモデルとして「ゼロトラスト」の採用が不可欠になってきている。ゼロトラストとは「信頼しない」という意味であり、業務で用いるサービス・アプリケーションにアクセスする時に「常に信頼証明を求める」といった、境界線やロケーションに関係なく、絶えず信用があるかどうかを、個別かつ継続的にチェックする制御モデルだ。境界防御モデルで生じている内部犯行等への対策も期待でき、在宅勤務やモバイル端末の活用で働く上での利便性も向上する。ゼロトラストにより環境に依存しない、統合的なセキュリティ管理・制御が可能となる(図表14)。
実装方法は境界モデルよりも細かな設定を必要とし、ベンダーのソリューションごとに大きく異なるため、どの粒度で実施するかは多種多様な状態であり、組織によっては、現状のネットワーク構成の大きな変更やプロキシを含むIT リソースの大幅な増強等、まずインターネット接続環境自体を見直す必要も想定される。
重要なことは、多くの金融機関がゼロトラストに向けた検討を開始するこのタイミングで、自社のIT アーキテクチャの将来像を想定し、セキュリティ・バイ・デザイン(設計段階からセキュリティを確保する)を実現することにあるだろう。リスクを完全に回避するのではなく、組織がより多くのリスクを引き受けることとなるDX をリードし、自信を持って革新できるよう、システム・設計・データの信頼性を上げ、重要なデータの保護に向かう一貫したストーリーが必要となる。対症療法的な対策ではセキュリティ運用コストは膨らむ一方だ。
⑶ DX 成功の最大の障害は、デジタル化に乗り遅れたサイバーセキュリティ対策
働き方改革に関する法律施行や5G導入など、デジタライゼーションの進展とともに外部依存度が高まる。例えば、委託内容に応じたサイバーセキュリティ対策の見直しも重要である。コストと利便性とセキュリティ強化を追求するため、貴行経営トップの適切な認識・関与のもとで、ゼロトラストモデルの計画着手が望まれる。
各金融機関の環境の違いにより、サイバーセキュリティ確保のために求められる取組みは一律ではないが、デジタル技術の急速な進展に伴い、サイバー攻撃の脅威も増大するため、対策強化に向けた継続的な取組みを経営層のリーダーシップの下に行うことが重要である。まずは、東京オリ・パラの開催を控え、サイバー攻撃による被害を想定した訓練実施等、対応が急がれる項目への優先的実施が望まれる。
新井 英明(あらい ひであき)
アクセンチュア株式会社 テクノロジーコンサルティング本部 マネジング・ディレクター
金融機関向けのテクノロジー・コンサルティングを統括。25年以上に渡りテクノロジーを活用した各種コンサルティングを担当。最近は、Cloud やAI などの新技術を活用したビジネスやサービスの変革を提言するプロジェクトや、新技術をより積極的に取り込むためのIT 部門の変革支援プロジェクト、新技術適用に際し強化すべきセキュリティについてのコンサルティングなどに従事。
大茂 幸子(おおしげ さちこ)
アクセンチュア株式会社 テクノロジーコンサルティング本部 マネジング・ディレクター
経営視点からの情報セキュリティ管理態勢の構築支援を多数実施。金融機関をはじめとした大手企業のサイバーセキュリティプログラム管理を担当し、IT セキュリティ戦略、セキュリティグランドデザイン・ロードマップ策定、各種セキュリティオペレーションのプロセス設計支援などを実施。電力・原子力・航空・自動車・放送などの重要インフラ分野における各種サイバーセキュリティ対応支援も含む。邦銀および外資系金融機関、外資系コンサルティングファームを経て2017年にアクセンチュアに入社。クリティカルなIT システムに関するリスク分野を中心に、さまざまな業界の企業に対しサイバーセキュリティ対策のコンサルティングなどを展開している。
*詳しくは地銀協月報2020.3月号P2~P13をご覧ください