Other parts of this series:
高まるサイバーレジリエンスの重要性と国内金融機関に求められる対応 第1回
現在、国内外の金融機関はサイバーレジリエンス(サイバー攻撃に対する耐性)の強化に向けた取り組みの加速を求められています。いわゆる「ガラパゴス効果」も相まって、これまで日本の金融機関は必ずしも欧米金融機関と同レベルの脅威にさらされてきませんでした。しかしグローバル化の加速とビジネス環境の変化に直面する現在、海外のベストプラクティスを取り入れることが緊要の課題となっているのです。今回のブログシリーズでは、この問題を3回に分けて解説します。第1回では脅威の深刻化と経営層の意識、規制当局の対応について。第2回では、国内金融機関による対応の現状と、サイバーレジリエンスの強化に伴い直面する課題について。第3回では、サイバーレジリエンスのさらなる強化に向けて、戦略・組織レベルで求められる方策について検証します。(サイバーレジリエンスに関する詳細はこちらをご覧ください)
高まる脅威
近年、サイバー攻撃の脅威は世界規模で急速に高まりつつあります。例えば2016年2月にはバングラディシュ中央銀行が攻撃を受け、約91億円が口座から不正送金されるという事件が発生し[1]、4月にはドイツの原子力発電所に設置された燃料棒監視システムでマルウェアが発見されました[2]。また同年9月には、新型マルウェアMiraiがIoTを介して大規模DDoS攻撃を展開[3]。翌年には、ランサムウェア「WannaCry」の感染により英国の国民健康保険サービス(NHS)の関連システム[4]など複数の国・機関で被害が発生しています。
サイバー攻撃の増加という意味では日本も例外ではありません。例えば2016年4月には、ソフトウェアの脆弱性を突いたOSインジェクション攻撃により、複数の民間企業から合計142万人分の個人情報が流出。2017年4月には、発信元の特定が困難な「ダークウェブ」と呼ばれるインターネット上のサイトで、国内クレジットカード会社の利用者約10万人分の個人情報が売買されていることが明るみに出ました。また同年9月には金融機関を標的としたDDoS攻撃が発生。翌年初頭には仮想通貨が不正に外部に送信され、顧客からの預かり資産約580億円が流出しています。
サイバー攻撃増加の重要な背景となっているのは、ビジネス環境の大きな変化です。金融を含むあらゆるセクターでデジタル化が進み、ネットワーク化されたシステムが業務遂行に不可欠となっています。EUC(エンドユーザー・コンピューティング)がシステム開発・運用手法の1つとして普及し、スマート機器やコネクテッドデバイスが日常業務に欠かせないツールとなっていることも新たな脅威の拡大に拍車をかけています。また多様なパートナーとの連携が加速する中、異なったセキュリティ・プロトコルを導入するサードパーティとのデータ・ネットワーク共有が求められる機会も増加しています。
さらなるサイバーレジリエンスの向上に向けて
サイバー攻撃の脅威の高まりが見られる一方で、金融機関は自らの対応能力に対する自信を深めています。アクセンチュアが最近発表した調査レポート『2018 State of Cyber Resilience for Financial Services』によると、金融機関はサイバー攻撃の81%を阻止しています(2017年の調査では66%)。また調査対象となった経営者の80%以上は、テクノロジーやデジタルインフラに対する自社のセキュリティ体制に自信を持っていると回答しています[5]。
しかし攻撃の件数・規模が拡大の一途を辿る現在、こうした自信はリスク要因となる可能性があります。今回の調査結果では、日本を標的とした攻撃の56%以上は1週間以上、14%は1ヶ月以上も検知されなかったという実状が明らかになっています。被害を食い止めるためには(数時間内は難しいとしても)数日内の検知が求められることを考えれば、自社のセキュリティ体制に対する自信はいささか過剰と言えるかもしれません。
高まる圧力
とりわけ日本では、今後さらに脅威が拡大する可能性があります。例えば2019年に開催されるラグビーW杯や、その翌年に開催される東京オリンピックは、サイバー攻撃増加の可能性をさらに高めるでしょう。政府は脅威への対応を図るため、国内外で連携の取り組みを加速させています。規制当局が潜在的脅威への認識を高め、対応策を徹底するための新たな方策を打ち出している今、金融機関にもより積極的なアクションが求められているのです。
しかし現在、規制当局や金融機関は大きなジレンマに直面しています。金融機関の競争力向上に向けて、新たなテクノロジー(クラウドコンピューティング・AI・自動化など)の活用推進が不可欠となる一方、サイバー攻撃のリスクを低減させるためには監視体制の強化も同時に求められるからです。こうした実情は、すでに金融機関に影響を及ぼしています。例えば、オープンバンキング・ソリューションの推進にはパートナーや連携先とのデータ共有が欠かせません。しかしアクセンチュアの調査によると、提携先のセキュリティ基準が自社よりも低く、定期的に監査を実施していると答えた国内金融機関の経営層は3分の1以上(36%)に上っています。
こうした背景の下、金融機関は社内のITエコシステム全体で監視を強化し、セキュリティガバナンスを徹底する必要に迫られています。その実現のためにはセキュリティ担当チームの権限を拡大し、変化を遂げるサイバーセキュリティ環境への対応に向けた研究開発能力を持つ独立部門として確立させることが重要でしょう。
本ブログシリーズの第2回・第3回では、こうした取り組みの実践法について解説します。
[2]https://blog.cloudflare.com/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/
[3]https://blog.cloudflare.com/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/
[4]https://www.theguardian.com/society/2018/nov/16/more-nhs-cyber-attacks-inevitable-warn-experts
[5]アクセンチュアによる同調査では、世界15カ国の企業(年間収益10億ドル以上)を対象として、セキュリティ担当者4600名へのアンケート調査を実施した(銀行・保険会社・キャピタルマーケット企業を含む金融機関の対象者は821名)。日本からは銀行・証券会社・キャピタルマーケット企業に所属する40名、保険会社に所属する40名のセキュリティ担当者が参加している。