全3回でお送りする本ブログシリーズでは、日本の金融機関が急速に変化を遂げるセキュリティ環境に対応し、体制強化のために求められるアプローチと方策についてお話します。第1回ではサイバー脅威の進化とセキュリティ体制のパラダイムシフトが求められる理由について解説しました。第2回となる今回は、セキュリティ体制改革において重要な鍵の1つとなる、リスクの定量化・可視化の取り組みについてお話します。

拡大するリスクプール

第1回でお話ししたセキュリティ体制のパラダイムシフトを進める上で重要な鍵の1つとなるのが、定量化・可視化の取り組みを通じたリスクの正しい理解です。従来の業務において、金融機関が考慮に入れるべき主なリスクは、取引リスクや信用リスクといったビジネス面のリスクに限られていました。しかしデジタル・バンキングの普及や異業種との連携、エコシステムベースの商品・サービス提供といった新たなトレンドの加速に伴い、パートナー企業のITシステムやセキュリティ体制を含む様々なリスク要因が出現しています。セキュリティ体制のパラダイムシフトを実現するためには、多様化するリスクを幅広い文脈から捉え、定量化・可視化する取り組みが欠かせないのです。

しかし市場リスクや信用リスクなど、既存の金融ビジネスで頻繁に直面してきたリスク要因と異なり、サイバー脅威の深刻度や攻撃の可能性は正確な予測が非常に困難です。極めて多くの要因が関連し、脅威や攻撃との因果関係が必ずしも明確ではないためにリスクの定量化が難しく、様々なセキュリティ対策がどの程度ネットワークの強化につながるのか予測するのは事実上不可能だからです。

リスクの可視化

このリスクの定量化にまつわる問題を解消する方法の1つは、社会の一般的な通念や他の金融機関による取り組みといった代替指標を用いてリスクを可視化することです。このアプローチを用いることで、特定領域における自社と他社のパフォーマンスを直接比較することが可能になります。しかしこうした取り組みを実践するためには、様々なリスクシナリオを作成し、最大限のリスクが現実化した場合の損失について予測を行う必要があります。例えば、サイバー攻撃による顧客情報の漏えいが訴訟に発展するというシナリオを想定し、ユーザー1人あたり損害賠償の予想額を算出するといった取り組みは有効でしょう。こうして作成したシナリオや予測値は必ずしも正確なものではありませんが、リスクの深刻度、対策を行わない場合の機会費用、そしてリスク緩和のために求められるセキュリティ対策という3つの要因のバランスを見極めるためには極めて効果的なアプローチといえます。

基幹システムや顧客資産・データといった領域でセキュリティ対策の優先順位を判断することはそれほど難しくありませんが、それぞれの領域における攻撃の可能性を定量化するのは極めて困難です。こうしたリスクの数値化には、パスワードの桁数といった単純な要因だけでなく、システムのロケーションやサーバーの防御力、データの保管場所(例:クラウドや本社)など多岐にわたる複雑なパラメーターを分析する必要があるからです。数値化が困難なこうした要因を、他の金融機関・他業種によるベストプラクティスとの比較で補完すればより効果的なリスク定量化が可能となるのです。リスクの定量化、ベストプラクティスとの比較においての最も身近なアプローチとしてはFFIEC-CAT[1]やNIST CSF[2]がよく利用されますが、脅威シナリオベースのアセスメントやセキュリティ対策検討、サイバー対策運用のKPIにもこういったリスクの定量化の観点を取り入れることが重要となります。

高まるCレベル役員の役割

ただし、社会的通念や他の金融機関の取り組みと比較したベンチマーキングというアプローチには限界もあります。リスクの定量化・可視化という意味で一定の効果を見込めるものの、自社セキュリティ体制の現状を詳細にわたって評価するという目的には向いていないからです。そこで自社リスクを可視化し、特定領域でどの程度許容すべきかを総合的に判断するために重要となるのが、セキュリティの問題に対して戦略的視野から評価できるステークホルダー、すなわちシニア・マネジメント(多くの場合Cレベル役員)の関与です。

しかし国内金融機関の現状を見ると、効果的なセキュリティ戦略の実行のために求められるCレベル役員の積極関与が実現していません。第1回でお話したように、日本の金融機関(特に銀行)ではデジタル時代の市場環境に適応するアプローチの導入が欧米金融機関よりも遅れていますが、重要な経営課題として役員レベルでセキュリティの問題を認識し対応するという取り組みにおいては遅れが特に顕著です。リスクの定量化・可視化、そして(特にデジタル金融分野での)より明確なセキュリティ戦略がますます重要となる今、こうした現状は極めて深刻な問題であるといわざるを得ません。

その背景の1つとなっているのは、サイバーセキュリティの問題が専門的知識を有するIT部門の担当領域と考えられており、セキュリティ分野で適切な投資判断をするための情報がCRO(最高リスク責任者)やCISO(最高情報セキュリティ責任者)と必ずしも共有されていない現状です。日本の金融機関はこれまで定量化の難しいリスクを、複雑な係数・指標や、専門家以外にはわからない難解なシステムを利用して補完してきました。また仮にIT専門チームによって情報が共有されていても、直面する課題や求められるソリューションがCレベル役員にも理解可能な平易な言葉で説明されないことも少なくありません。その結果、シニア・マネジメントはセキュリティチームがどのような取り組みを行っているのか明確に理解できず、サイバー脅威にまつわる問題への関与を敬遠するという悪循環が生じています。セキュリティ分野への戦略投資を怠れば、場合によっては数百・数千億円規模の損害につながる恐れもあります。極めて重要な戦略上の問題として経営レベルで認識することが非常に重要となるのです。

ではCレベル役員によるサイバーセキュリティ戦略の策定・実行への積極的関与を実現するためには、どのような方策が求められるのでしょうか?次回のブログでは、役員レベルの関与が急務となっている背景と、全組織レベルのセキュリティ体制改革に向けた鍵について詳しく解説します。

補足記事: リスクの定量化というチャレンジ

本文でもお伝えしたとおり、リスクの定量化は決して容易な作業ではありません。効果的な取り組みを行うために重要となるのは、実世界(つまり従業員や会社自体)とITの世界の相関関係を正しく理解すること。そして、ITの世界に見られる潜在的脅威・脆弱性やビジネスにもたらされるリスクを数値化することです。

例えば、システムへのログインの際には、実際に適切な権限を持つユーザー自身がログインを試みているのか、あるいは他人がユーザーになりすまして不正アクセスをしようとしているのか、正確に認証を行う必要があります。

そして仮に認証システムが十分に機能せず、なりすましユーザーが侵入した場合、次のステップとなるのはこの不正アクセスがどの程度の損害をもたらすのかを予測することです。もしそのユーザーに顧客リストへのアクセス権限が与えられていたとすれば、情報漏洩により顧客1人あたり例えば2万円の損害賠償が必要となるかもしれません。

仮に漏洩したデータが医療記録など機密性の高い情報を含んでいた場合は、例えば100万円程度の損害賠償が生じるかもしれません。またより大規模なサイバー攻撃が行われ、実際に被害を被れば、さらに多くのユーザーへの賠償義務を想定する必要があるかもしれません。

つまりリスクを正しく理解し定量化するためには、実世界とIT世界の両方に目を向けて様々なシナリオを想定し、資産・情報の価値、そしてそれに対する脅威と脆弱性のレベル、損害の潜在的規模といった要因を正しく理解することが極めて重要になるのです。

[1] FFIEC(アメリカ連邦金融検査協議会) Cybersecurity Assessment Tool

[2] NIST(アメリカ国立標準技術研究所) Framework for Improving Critical Infrastructure Cybersecurity