高まるサイバーレジリエンスの重要性と国内金融機関に求められる対応 第2回

 前回のブログでは、サイバー攻撃の脅威が高まる背景やセキュリティ体制に関する経営層の現状認識、そして金融機関・規制当局による対応について検証しました。第2回となる今回は、日本の様々なステークホルダーによるサイバーレジリエンスへのアプローチと、セキュリティ強化の取り組みが金融機関にもたらす課題について解説します。また第3回では、サイバーレジリエンスのさらなる向上に向け、戦略・組織レベルで打ち出すべき方策を提案します。

(サイバーレジリエンスに関する詳細はこちらをご覧ください)

加速する取り組み

サイバー攻撃の脅威拡大に伴い、日本の規制当局は金融機関の意識向上とサイバーレジリエンスの強化に向けた様々な方策を打ち出しています。例えば金融庁は2017年、海外大手金融機関の取り組みについて、現地ヒアリングを含む調査・分析を実施。また、脆弱性診断・攻撃への対応手段といった分野のベストプラクティスについてメガバンク3行と情報共有し、対策のさらなる高度化の必要性を確認しています。

前回のブログでも触れたように、情報の収集・共有はますます重要な問題となっています。現代のサイバー攻撃は、個々の組織を超えてグローバルに波及し、金融システムや基幹インフラ全体に影響を及ぼす可能性があるからです。そのため金融庁は、東京オリンピックなどのグローバルイベントに向けて危機管理システムの強化に取り組むだけでなく、内閣サイバーセキュリティセンター(NISC)やセプター(CEPTOAR)といった業界団体との情報共有・連携を一層緊密にする意向を示しています。

企業レベルでは、国内金融システムの中核を担うメガバンク3行の対応が極めて重要となります。メガバンクは、セキュリティコンプライアンスのさらなる強化に向けて、「脅威ベースのペネトレーションテスト」活用を進めるなど、セキュリティ評価体制の高度化を図っています。地方銀行・第二地方銀行などでもサイバーセキュリティ管理体制の構築が進んでいますが、進化を遂げるサイバー攻撃へ対応するため、対策の実効性確保がさらに求められるでしょう。

克服すべき課題

現在日本の金融機関が直面する大きな課題の1つは、サイバー攻撃がもたらす脅威の深刻さが十分に認識される一方、セキュリティ対策の目的とアクションに乖離が見られることです。例えばマルウェアやシステム侵入の検知、ダークウェブ・添付情報の分析といった分野では、攻撃の特定・リスク軽減にAIや機械学習、RPAといった先進テクノロジーを活用することがますます重要になりつつあります。

アクセンチュアが行なった調査では、こうしたテクノロジーの活用がセキュリティ対策に不可欠だと答えた国内金融機関の経営層が88%に上りました。しかしその一方で、対策の一環として先進テクノロジーへの投資を行っている調査対象者は半数を下回るのが実状です(AI・機械学習では49%。RPAでは44%)。また、過去3年でセキュリティ対策の予算が大幅(少なくとも2倍以上)に増加したとする回答者はわずか21%。今後3年間で予算を拡大すると答えた回答者も40%にとどまっています。

予算の制約は容易に克服できる問題ではありませんが、世界基準のセキュリティ対策を実現する上で大きな足かせとなっているのも事実です。日本におけるサイバーセキュリティ分野の予算規模は、米国の数千億円に対して数百億円にとどまるなど、公共・民間セクターの両方で欧米諸国との開きが顕著です。

しかし、問題は予算だけではなく組織のあり方にも見られます。例えば日本の金融機関では、IT部門が他の業務と並行してセキュリティを担当するケースが少なくありません。またIT部門は、セキュリティよりもシステムの開発スピードや質、機能性、使いやすさを優先しがちで、予算の制約もこうした傾向に拍車をかけています。

経営構造の変革

組織のあり方という問題の中でも特に深刻なのは、トップマネジメントのレベルでサイバーリスクへ対応する体制が必ずしも整っていない現状です。国内金融機関は、サイバーレジリエンスにまつわる意思決定のあり方を見直し、より戦略的かつ正確な情報に基づく、バランスのとれたセキュリティ投資を実現する必要に迫られているのです。

テクノロジーの進化とセキュリティ環境が絶え間なく変化する中、潜在リスクやサイバー攻撃への既存対応策がいつ時代遅れになってもおかしくありません。また意思決定構造の改革が行われなければ、セキュリティ投資の拡大が期待する効果につながらない恐れもあります。

こうした点を踏まえ、サイバーレジリエンス強化に向けて最も重視すべき点は、経営層がセキュリティ担当チームから十分な情報を得て、リスクを明確に理解できる仕組みを作ることです。経営全体を俯瞰しながら投資とリターンのバランスを考慮し、セキュリティに関する戦略的な意思決定を行うことが極めて重要となるのです。そして、こうした仕組みの実現にはCISO(情報セキュリティ最高責任者)の存在が欠かせません。次回のブログでは、サイバーレジリエンスのあるべき姿とCISOの重要性について検証します。

大茂 幸子

テクノロジー コンサルティング本部 マネジング・ディレクター セキュリティ グループ

View Profile

新井 英明

テクノロジー コンサルティング本部 マネジング・ディレクター アクセンチュア マイクロソフト ビジネス グループ共同日本統括

View Profile