地銀協月報2020.3月号掲載記事のご紹介(全3回)

第1回:
特集 金融機関のサイバーセキュリティ対策 サイバー攻撃の現状と対応策について

経営陣として認識・対応すべきこととは

⑴ サイバーセキュリティは貴行のビジネスリスク

サイバーセキュリティリスクは、組織が管理しなければならない重大リスクの1つである。サイバー攻撃を招く不十分なリスク管理態勢(態勢:Program)は、企業ブランドの低下、株価への悪影響、金銭的な被害、そして法規制による罰則等へ至る可能性がある。現在もサイバー攻撃やデータ侵害の被害は拡大しているために、サイバーセキュリティのリスク管理は重要な課題であり続けている。

2020年1月の世界経済フォーラム(WorldEconomic Forum:WEF) の年次総会( ダボス会議)の手前には、WEF サイバーセキュリティセンター(WEF Centre for Cybersecurity)の年次総会が開催されている。アクセンチュアは創立パートナーとして参画し、世界中のサイバーセキュリティのリーダーと10の優先事項をまとめた。そのうち半数は経営層に積極的なリーダーシップを改めて喚起するメッセージであった(Ten Messagesfor Global Leaders in Davos, WEF AnnualMeeting on Cybersecurity Enabling Leadershipfor a Secure Digital Future)。

ちなみに、2020年版のWEF グローバルリスク報告書(The Global Risks Report 2020)には、世界が直面するリスクが記載されているが、今回は気候問題が大きく取り上げられたことで、「データの不正利用」と「サイバー攻撃」は世界的に発生可能性が高いリスクの6位と7位に後退した(2018年版・2019年版では各々上位5位内)。しかし、サイバー脅威が依然として大きなリスクであることに変わりはない。

同報告書は「第4次産業革命技術(インダストリー4.0)のIoT やAI、量子コンピューティングといった最新技術が持つデジタルな性質は、サイバー攻撃に対する様々な脆弱性を内在するため、データ窃盗やランサムウェア、システムの乗っ取りに至るまで、予期せ大規模な混乱を社会全体に対して引き起こす可能性がある」と警告している。

⑵ 経営陣によるサイバーセキュリティリスク管理

サイバーセキュリティリスクを重大なコーポレートリスクの1つとして認識し、責任を持って対策にあたるためにも、経営陣はサイバーセキュリティを十分理解する必要がある。ただし技術的な詳細を理解する必要はない。他のリスク管理の課題と同様に、リスクを評価し、組織体制やコンティンジェンシープランを備え、演習に参加し、監査を実施する等のサイクルを組織横断的に循環させること、そして経営者として強いリーダーシップを持って、集めた情報をもとに「トレードオフ(調整)」の判断を行うことが求められる。

具体的に言うならば、経営陣自らがサイバーセキュリティ管理を定期的に取締役会の議題に上げ、そこでは全社横断的なサイバーセキュリティ管理態勢を構築するための人材・予算を確保し、サイバーセキュリティリスク識別・低減・回避・移転(保険)等を議論する。さらに経営陣と現場のセキュリティ担当部門との橋渡しとなるCISO(Chief InformationSecurity Officer:最高情報セキュリティ責任者)等の任命も必要で、組織内での位置付けや役割を明確化し、必要な権限を付与することが肝要である。

サイバーセキュリティは、単にシステム部門等で対処するものではなく、CIO やCISO等の統括責任者へ一任するものでもなく、また近い将来IT 技術が解決する課題でもない。年々高度化していく手口や増大する攻撃数を目前に、「どこまで対応すればよいのか」への判断は、利便性・セキュリティ・コストの3つのバランスのトレードオフ(調整)になる。3つすべてを採ることは不可能であり、各要因を調整する戦略的な意思決定が求められる。このような投資やリソース調達には、経営陣がマネジメントチームとしてオーナーシップを発揮する必要があり、担当部門等に委ねることはできない。

⑶ 自行におけるサイバーセキュリティ対策予算

貴行はサイバーセキュリティ対策にどの程度のコストをかけているだろうか?自組織のサイバーセキュリティ対策予算を把握していない経営層は多い。世界標準ではIT 予算の8~12%と言われる。これは企業の売上高(トップライン)にも当期純利益(ボトムライン)にも関係しないコストとなる。

なお、アクセンチュアが協賛する日本サイバーセキュリティ・イノベーション委員会(Japan Cybersecurity Innovation Committee:JCIC)では、サイバー被害額の試算モデル(取締役会で議論するためのサイバーリスクの数値化モデルおよびサイバーリスク指標モデル「想定損失額の目安」簡易シミュレーション)を無料公開している。貴行の情報を入力することで、サイバー攻撃による損失額を簡易に算出することが可能だ。多くの場合、算出される損失額は、IT 予算の8~12%を優に超える。

東京オリンピック・パラリンピックに向けた課題

⑴ 重要インフラとしての金融機関における対策の重要性

2020年東京オリンピック・パラリンピック競技大会(以下「東京オリ・パラ」)は、サイバー攻撃者にとって格好のターゲットである。大会関係機関のみならず、重要インフラ業者である金融機関もサイバー攻撃のターゲットとなる可能性が指摘されている。過去のオリ・パラ大会において、大規模で影響の大きい攻撃は生じていないが、東京オリ・パラは「世界クラスのイノベーション」を謳っており、高度なテクノロジーを使ったサービスをアスリート・観客・観光客・ボランティアへ提供する環境には、複雑で予測不可能な、新たなサイバー脅威が存在する。

米国所在のシンクタンクRAND 研究所の調査(Olympic-Caliber Cybersecurity Lessonsfor Safeguarding the 2020 Games andOther Major Events)によると、東京オリ・パラにおける最もリスクの高い攻撃者は、海外の諜報機関(敵対する海外国家機関からの暗黙的あるいは明示的な支援を受けたハッキンググループ)およびサイバーテロリスト(インターネット経由で募集し活動支援するテロリストグループ)等の手強いプロ集団であると示されている。また、高レベルの脅威のうち、重要インフラ等のサービス障害による社会的混乱が想定される事象として、DDoS 攻撃とランサムウェア攻撃が上がっている。

最近の国内金融機関へのサイバー攻撃には、DDoS / DoS 攻撃(サービス妨害攻撃)、フィッシング(標的型メール攻撃)、IT システムの脆弱性を突いた不正アクセス等が多く発生しているが(図表1)、大手金融機関のみならず、中小金融機関や、仮想通貨交換業者にまで拡大しているのが特徴だ。対策の弱い金融機関への攻撃を足掛かりとした攻撃から、業界全体に影響が拡大する事態が懸念されている。

⑵サイバー攻撃の傾向

金融庁は東京オリ・パラに向けた取組みとして、金融分野のサイバーセキュリティレポートを公表している(令和元年6月)。それによると、地域銀行の対応状況は、「全般的に課題が解消され、銀行間の共助態勢も有効活用されながら、対策強化が図れている一方で、脆弱性診断・ペネトレーションテストの実施においては、外部業者に委託する等の実施は一部に留まっており、実施基準も定められていない等、その必要性が十分浸透しておらず、東京オリ・パラに向けて各々の組織に潜む脆弱性を的確に把握し、その脆弱性に対する改善まで完了しておくことが必要である」等と報告されている。

なお、直近の事例から、2019年12月の警察庁の発表(フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について、全銀協等と連携した注意喚起)によると、同年11月のネットバンク被害は7.7億円と、8月までの数千万円の被害レベルから10倍以上の被害に達している(図表2)。今年に入って地銀を装う手口が横行していることから、今後も被害が拡大していく可能性がある。

ご承知のとおり金融機関を装ったメールやショートメッセージで偽サイトへ誘導するフィッシング攻撃が多数確認される等、サイバー攻撃の手口は加速度的に巧妙化している。さらに、クラウドサービスを対象とした攻撃範囲の拡大が予見される環境において、実効性のあるサイバーセキュリティ対策は急務であり、継続的に新たな脅威を把握・分析し、必要な対策を講じていく必要がある。

⑶ サイバーセキュリティへの実効的対策が急務

2020年1月に日本銀行によるサイバー攻撃の脅威に対するアンケート調査結果[1]が公表された。2017年のアンケート実施時と比べると、多くの金融機関がサイバーセキュリティの体制整備や技術対策等の取組みを進めている一方で、サイバーセキュリティの企画に携わる要員不足や、グループとしてのサイバー管理態勢への改善余地、コンティンジェンシープランに基づく訓練の未実施等、十分ではない状況が確認されている。

さらに技術面での不足として、脆弱性診断やシステムへの攻撃試行等による検査、コンティンジェンシープランに基づく訓練実施、オープンAPI 接続先企業のサイバーセキュリティ管理状況の把握や、パブリッククラウド利用におけるサイバーセキュリティ管理態勢の整備等、デジタルトランスフォーメーション(DX)に向けた新技術の導入に伴うセキュリティ対策についても、未対応の金融機関があることが課題として報告されている。

[1] 日本銀行「 サイバーセキュリティの確保に向けた金融機関の取り組みと課題-アンケート(2019年9月)調査結果-」(当座預金取引先金融機関等のうち402先を対象に、サイバー攻撃の脅威に対する認識、サイバーセキュリティ確保に向けた経営トップの関与、リスク管理体制、サイバーセキュリティ対策の実施状況などについてアンケートを実施)。

*詳しくは地銀協月報2020.3月号P2~P13をご覧ください