{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
トップリスクとして対応するみずほフィナンシャルグループのサイバーセキュリティ戦略(みずほフィナンシャルグループ)
2023-03-27
日本を牽引する企業・組織のセキュリティ責任者や有識者の方々をお招きし、サイバーセキュリティとプライバシーをテーマに、最新の取り組み事例や今後企業がとるべき方策について伺った「Digital Trust Forum 2023」。本サイトでは各社のセッションをダイジェストで紹介します。
本対談では、みずほフィナンシャルグループでCISO(情報セキュリティ担当)を務める阿部展久氏をお迎えし、みずほフィナンシャルグループにおけるサイバーセキュリティ戦略と取り組み内容についてお話を伺いました。サイバー攻撃を「トップリスク」と位置づけ、グループ一丸となって取り組むアプローチは、金融以外の業界でも大いに参考になるはずです。(本文敬称略)
登壇者
株式会社みずほフィナンシャルグループ
情報セキュリティ担当(CISO)
執行理事
阿部 展久氏
モデレータ
PwCコンサルティング合同会社
サイバーセキュリティ&プライバシーリーダー
上席執行役員 パートナー
林 和洋
(左から)林 和洋、阿部 展久氏
巧妙化する金融機関へのサイバー攻撃に対峙
林:
最初に阿部さんの仕事内容について教えてください。みずほフィナンシャルグループは子会社に銀行、信託銀行、証券会社などを擁していますが、関連組織のCISOも担当していらっしゃるのでしょうか。
阿部:
はい。現在はみずほフィナンシャルグループと、子会社の銀行、信託銀行、証券会社、みずほリサーチ&テクノロジーズのCISOも兼務しています。
みずほフィナンシャルグループは一言で申し上げると、「大変大きなお客さまの“基盤”をお預かりしている」ということにつきます。日本における上場企業の70%と取引があり、非常に多くのスタートアップ企業にもご利用いただいています。また、個人のお客さまの預金口座は2,300万口座にも上ります。これは日本総人口の20%に相当し、5人に1人がみずほ銀行の口座をお持ちになっている計算です。また、グローバルでは約40カ国に110の拠点を擁し、お客さまの海外進出の支援や、現地企業との取引などを含め、安心・安全なサービスを提供することを使命としています。
林:
グローバルにビジネスを展開するお客さまを支援するにあたり、「安全・安心なサービスの提供」は重要な要素となりますね。私たちPwC Japanグループでも、グローバル規模で脅威アクター(サイバー空間に脅威をもたらす攻撃主体)の分析調査を実施しています。その一部を紹介させてください。
現在、PwC Japanグループでは全世界で250程度の脅威アクターを追跡しています。その中で金融機関をターゲットにした脅威アクターは55に上り、日本の金融機関をターゲットとしたアクターは11あると識別しています。
私たちの脅威アクター分析アプローチは、最初に収集したデータから攻撃テクニックを分析して構造化し、「どの攻撃フェーズで」「どのようなテクニックが使われているか」を詳らかにします。そして、その攻撃に対して「事前に防御できているか」「侵入された場合はどの段階で検知・防御できるか」などを調査し、攻撃シナリオが最後まで通ってしまった場合、ビジネスにどのようなインパクトを与えてしまうのかといった観点も踏まえてコンサルティングを行っています。
そうしたご支援を通じて感じているのは、金融機関を取り巻くサイバー攻撃の巧妙化です。阿部さんはこの現状をどのようにご覧になっていますか。
阿部:
ご指摘のとおり、攻撃手口の巧妙化は加速していると感じています。金融機関が直接攻撃を受けるケースに加え、お客さまや金融機関が利用するサービスに対してもさまざまな攻撃が仕掛けられています。
金融機関を直接狙った攻撃の手口としては、金融機関のウェブサイトを改ざんしてスパイウェアを仕込んだり、インターネットバンキングを攻撃して不正送金をさせたりといった手口が挙げられます。またイントラネットに不正侵入し、金融機関が保持する情報を盗取する攻撃も確認されています。
インターネットバンキングの不正送金としては、フィッシングサイトでお客さまに認証情報を全て入力させ、パスワードを突破する手口が挙げられます。金融機関がフィッシングサイト対策を徹底したため、その被害件数は減少に転じました。その後はアプリが狙われたり、新たな攻撃手法が登場したりして被害件数は再び増加したのですが、それに対する対策が強化されたことで、被害件数は再度減少しています。
昨今は金融サービスの多様化に伴い、SaaS/IaaS/PaaSの活用やサードパーティとの連携、外部への委託も進んでいます。そうなると当然アタックサーフェスは増加します。攻撃者はサプライチェーンの弱い部分を狙い撃ちしますから、連携箇所を網羅的に俯瞰し、対策を講じなければいけません。やるべきことは日増しに増加しています。
株式会社みずほフィナンシャルグループ 情報セキュリティ担当 執行理事 阿部 展久氏
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシーリーダー 上席執行役員 パートナー 林 和洋
共同CISO体制で臨む、トップリスクとしてのサイバー攻撃
林:
こうしたサイバー攻撃に対してみずほフィナンシャルグループではどのような組織体制で臨んでいらっしゃるのでしょうか。
阿部:
私たちはサイバー攻撃をトップリスクとして選定しています。現在の組織体制の特徴はバックグラウンドの異なるCISOを2名配置し、協働体制を構築していることです。具体的にはグループCEOの下にIT・システムグループ長とリスク管理グループ長がおり、両者にWレポートする形で情報セキュリティを担当する「グループCISO」と「グループ共同CISO」を配置しています。
さらにCISOの配下には、実務を担う「セキュリティ&データマネジメント部」があります。同部はみずほフィナンシャルグループの中にあり、実働部隊として、本部や営業部門に属する各部署のサイバーリスク対応に携わっています。また、銀行・信託銀行・証券会社といった、主要なグループ会社にも同様に、サイバーセキュリティを統括する部署を配置しています。
さらに、金融ISAC*1など外部の専門機関とも密に連携し、「公助」「共助」という形で対策を強化しています。近年のサイバー攻撃は、みずほフィナンシャルグループ単独で対峙できるものではありません。
*1 金融ISAC(Information Sharing and Analysis Center):金融機関間のサイバーセキュリティに関する情報を共有するための組織。金融機関の安全性向上と利用者の安心と安全を継続的に確保することを目的としている。2014年8月1日設立。
ゲートキーパーからコンサルタントへ―DXで変わるセキュリティの役割とBISOの可能性
林:
次にDXとサイバーセキュリティとの関わりについて見解を聞かせてください。デジタル化の進展により、これまで金融機関が提供してこなかった新たなサービスが増加すれば、それに比例してアタックサーフェスも増加します。このような状況をどのように捉えていらっしゃいますか。
阿部:
私たちは「DX with Cyber Security」「Security by Design」といった発想を基に、DX戦略とサイバーセキュリティ対策は両輪の関係にあると捉えています。
みずほフィナンシャルグループではDX戦略として、「オープン&コネクト」を掲げています。これはさまざまな強みを有する〈みずほ〉と、私たちとは異なる強みを有するビジネスパートナーとが連携することで、新しいビジネスを開発したり、既存ビジネスを活性化する戦略です。
〈みずほ〉は、高度なデータ分析力やAI(人工知能)技術、IT実装力を擁しています。デジタルの世界でさまざまなビジネスパートナーと連携してバリューチェーンが広がれば、新たな価値を創出し、付加価値の高いサービスをお客さまにスピーディーに提供できます。そのことでサイバー空間でのお客さまとの接点も飛躍的に増加することからも、DXを推し進めると同時に、それを安心・安全に使っていただくためのサイバーセキュリティは両輪の関係にあると考えております。
林:
「ビジネスとセキュリティの両面から、組織の整備対策を推進していく」というアプローチは、PwCも注目しています。私たちは新たなサイバーセキュリティ上の役割として、「BISO(Business Information Security Officer)」が重要になると考えています。
これまでセキュリティはビジネス上の「ブレーキ」であり、「ゲートキーパー」のような役割が中心でした。しかし、DXを推進してビジネスを加速させていくためには、セキュリティを「ビジネスの成長を支援し伴走するコンサルタント」のような位置づけとすることが大切です。
では、最後に今後の展望を聞かせてください。
阿部:
前述したとおり、セキュリティ対策は〈みずほ〉だけが頑張っても限界があります。今後は、金融業界はもちろん、他の業種・業界や官公庁等の組織とも、より一層横断的に連携し、一丸となって脅威に対峙する姿勢が肝要だと考えています。
セキュリティ対策は、「判断を誤れば、組織だけでなくお客さまも危険にさらしてしまう」というリスクに常に向き合う業務であり、ともするとネガティブに考えてしまうことも多々あるのですが、私自身は「サイバーセキュリティの仕事も本気で取り組むと面白いし、大抵のことは実現できる」を信条に、日々の任務に取り組んでいます。
金融ISACのような“横のつながり”で「公助」「共助」の関係もより一層強化していきたいと考えています。〈みずほ〉がサイバーセキュリティに対して本気で全力をあげて取り組むことで、誰かの役にも立てる。一方で、私たち〈みずほ〉も様々なステークホルダーの支援も受けながら安全・安心をお客さまに提供していくことが出来る。そうした信条でサイバーセキュリティに取り組んでいます。
林:
「サイバーセキュリティの仕事も本気で取り組むと面白いし、大抵のことができる」という言葉は、阿部さんのお人柄を表していると感じました。1人でも多くの方に届いてほしい言葉です。本日はありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
