新たなビジネストレンドがもたらす“脅威”のかたち

世界の金融業界では近年、クラウドをはじめとする先進テクノロジーの活用、エコシステムを通じたフィンテック・異業種との連携、オープンバンキングの普及が進んでおり、デジタル金融サービス拡大のスピードが加速しています。その結果として新たなサイバー脅威が出現し、対応体制のあり方を見直す必要が生じるなど、金融機関を取り巻くセキュリティ環境は大きく変化を遂げています。特に注目すべきは“防御”から“レジリエンス”へのパラダイムシフトです。

エコシステムをベースとした新たなデジタル金融ビジネスの世界で生じるセキュリティ上の問題を正しく認識・予測し、これまでの常識を超えたサイバー脅威に対応するためには、レジリエンスを備えた体制を構築する必要があります。そしてその実現のためには、組織の中核的存在として機能する包括的なITセキュリティ体制が不可欠となります。しかし多くの国内金融機関では、“完璧な防御”を重視するアプローチが依然として主流で、ファイヤーウォールや検知ツール、アンチウィルスソフトなどのプロテクションツールがセキュリティ対策の中核を担っています。 この“防御“を重視したアプローチからの脱却を図り、より広い視野から戦略的観点でセキュリティにまつわる問題へ対応することが今求められているのです。

全3回でお送りする本ブログシリーズでは、日本の金融機関が急速に変化を遂げるセキュリティ環境に対応し、体制を強化するために求められるアプローチと取り組みについてお話します。まず第1回では進化を遂げるサイバー脅威と新たなセキュリティ体制が求められる背景について解説します。

“完璧な防御”の現実とパラダイムシフトの重要性

なぜ今、国内金融機関のセキュリティ体制のパラダイムシフトが求められているのでしょうか?その大きな理由の1つは、既知・未知のものを含めたあらゆるサイバー脅威を未然に防ぐことが事実上不可能になっていることです。例えばマスターカードが2019年を通じて受けたサイバー攻撃は前年比で70%増加し、1日あたり46万件に達しています[1]。またニューヨークタイムズの報道によると、JPモルガンチェイスの年間セキュリティ投資額は約6億ドル(約651億円)[2]にまで拡大。バンク・オブ・アメリカのCEOも、セキュリティ専門チームに予算として「白紙の小切手(blank cheque)を渡している」と発言しています[3]。実際に白紙の小切手を渡し、無尽蔵の予算を投入しているかはともかく、サイバー攻撃の件数と関連投資が近年加速度的に増加していることは紛れもない事実です。

2つ目の理由は、日本の金融機関がサイバー攻撃を受ける可能性が今後急速に高まることです。これまで国内金融機関には、欧米金融機関と比べてサイバー攻撃のターゲットになりにくい傾向が見られました。大きな背景となっているのは、その慎重なマーケットアプローチです。2008〜9年に発生した世界金融危機の影響が軽微だったことに象徴されるように、これまで日本の金融機関はハイリスク・ハイリターンの商品・サービス展開に消極的で、テクノロジーを活用したデジタル市場への露出も限定的でした。言語環境の違いも相まって、大規模サイバー攻撃の標的となることが少なく、比較的安定したセキュリティ環境を維持してきたのです。

しかしこうした傾向がもたらしたのはプラスの影響だけではありません。国内金融機関の消極姿勢が招いたマイナス面の最たるものは、リスク定量化の必要性や新たなセキュリティ脅威に対する認識不足です。金融サービスのデジタル化が加速する中、適切なリスク評価が必ずしも行われていないため、新たな時代に対応するサイバーセキュリティ体制の構築が欧米金融機関に比べて大きく遅れているのです。

そして日本の金融機関は、今すぐに改革へ取り組む必要があります。金融サービスのデジタル化が急速に進む中、セキュリティ上の課題は日を追うごとにますます増加・多様化しているからです。例えば近年、金融業界ではクラウドサービスの活用が急速に広まっており、国内保険会社・クレジットカード会社によるプライベートクラウド・パブリッククラウドの導入率は2017年度時点でそれぞれ11.6%・10.1%に達しています。現在のところ、銀行による導入率は両分野ともに1桁にとどまるなど、他の金融機関に比べて大きく遅れています。しかし収益力低下が進む中、コスト削減効果の高いこうしたテクノロジー活用の必要性は今後著しく高まる見込みが大きく[4]、導入に伴う新たな脅威への対応が必須となるでしょう。

資料:総務省 平成29年度版 情報通信白書

セキュリティ体制のパラダイムシフトが求められる3つ目の理由は、既存アプローチに基づくセキュリティ対策のコストが飛躍的に増大し、金融機関にとって大きな負担となりつつあることです。アクセンチュアが昨年発表した報告書『Cost of Cybercrime 2018』によると、サイバー犯罪対策の年間平均コストは2018年に過去最高となる1300万ドルを記録しました。これは前年比12%増、5年前と比較すると72%増に匹敵する数字です。この結果は全業種を対象としていますが、中で最も大幅なコスト増が見られたのは他ならぬ銀行で、サイバー犯罪1件あたりの年間平均コストは1840万ドルに達しました[5]。またアクセンチュアの推計によると、2019〜2023年にかけて発生する直接・非直接的なサイバー攻撃がもたらす潜在被害額は5.2兆ドルに達する見込みです[6]。

資料:The Cost of Cybercrime, Accenture and the Ponemon Institute

事態をさらに深刻化させているのは、こうした世界のトレンドの中で日本が今置かれている状況です。アクセンチュアの調べによると、日本企業のサイバー攻撃による年間平均被害額は1357万ドルで前年比30%の増加。米国に次いで対象国中2番目に被害額の多い国となっています。国内金融機関による新たなセキュリティへのアプローチ確立が急務であることは、この結果を見ても明らかでしょう。

資料: The Cost of Cybercrime, Accenture and the Ponemon Institute

そして4つ目の理由は、顧客視点のビジネスアプローチが金融の世界でも不可欠となっていることです。これまで国内金融機関の多くは、ともすれば顧客の利便性を犠牲にしてでも、サイバー脅威への防御を強化したいと考える傾向が見られました。しかし顧客視点のアプローチがビジネスの成否を分ける新たな時代には、この考え方は通用しません。オープンバンキングの広まりなどを背景に、顧客ニーズ中心のビジネスという流れが加速しており、企業目線で開発される単一ブランドの限られた商品・サービスラインナップに消費者があわせる時代は終わりを告げました。これからは、ニーズに沿って個別化された多様な商品・サービス(エコシステム上で連携するパートナー企業のものも含む)を顧客がより自由に選べる時代がやってきます。

こうしたトレンドの加速は、企業のITセキュリティ体制に計り知れない影響をもたらします。楽天やアマゾンなどオンラインコマース市場で見られる破壊的変革は、そのインパクトを如実に示す例でしょう。そして金融業界にも変化の波は間違いなくやってきます。エコシステムを通じた異業種との連携がもたらすビジネスのボーダレス化により、金融機関のセキュリティはコントロールの及ばない外部パートナーのシステムから非常に大きな影響を受けるようになります。一企業が社内ITシステムだけを見ればセキュリティを管理できた過去の時代には想像もつかないようなリスク・セキュリティ脅威が出現する可能性が高いのです。新たな金融ビジネスの世界ではサイバー攻撃は不可避の現実です。この事実を受け入れ、ダメージを最小限に食い止めるためには、早期段階でのリスク検知と迅速・柔軟な対応を可能にするための体制作り、つまり防御一辺倒のセキュリティからより積極的なアプローチへの方向転換が求められているのです。

では新たな時代に対応するセキュリティへのアプローチを実現するためには、どのような取り組みが求められるのでしょうか?特に重要となるのは、リスクの定量化・可視化と経営役員によるセキュリティ管理業務への関与拡大という2つのポイントを押さえることです。第2・3回のブログでは、これら2つの要因が今後重要となる理由、そしてその実現に向けてとるべきステップについてお話します。

[1] Capital One Breach Shows a Bank Hacker Needs Just One Gap to Wreak Havoc, New York Times (July 30, 2019). See: https://www.nytimes.com/2019/07/30/business/bank-hacks-capital-one.html
[2] Ibid.
[3] Ibid.
[4] Profits fall at Japan’s top three banks as economy slows, Reuters (2019年5月15日):https://www.reuters.com/article/us-japan-banks-results/profits-fall-at-japans-top-three-banks-as-economy-slows-idUSKCN1SL0YT
[5] The Cost of Cybercrime, Accenture and the Ponemon Institute (2019年):  https://www.accenture.com/_acnmedia/pdf-96/accenture-2019-cost-of-cybercrime-study-final.pdf
[6] 同上