{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
サイバー攻撃の手法は日々進化し、規模の大小を問わず、あらゆる組織が攻撃の標的となっています。もはや事前防止策だけでは被害を完全に防ぐことは不可能です。このような状況の下で、世界的に規制対応と態勢強化の必要性も高まっています。特に、国内の金融機関では、攻撃を受けた際にも業務継続性と資産を迅速に守る「サイバーレジリエンス」に注目が集まっています。本セッションでは、金融庁と金融ISACのキーパーソンをお招きし、サイバーレジリエンスの現状や課題、強化すべき点、そしてオペレーショナルレジリエンスとの関係について伺います。さらに、オペレーショナルレジリエンスの考え方に沿ってサイバーセキュリティを向上させるための重要なポイントも解説していただきます。(本文敬称略)
登壇者
金融庁 総合政策局
リスク分析総括課 ITサイバー・経済安全保障 監理官
齊藤 剛氏
一般社団法人金融ISAC 理事
株式会社三菱総合研究所 エグゼクティブフェロー
大日向 隆之氏
モデレーター
PwC Japan有限責任監査法人
パートナー
小林 由昌
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から小林、齊藤氏、大日向氏
齊藤氏
金融業界が「サイバーインテリジェンス」に注目する背景とは
小林:
最初にお2人の所属と業務内容をご紹介いただけますか。
齊藤:
金融庁ITサイバー経済安全保障管理官の齊藤です。3年前から金融機関のサイバーセキュリティ検査・監督に携わっています。
大日向:
三菱総合研究所の大日向です。昨年まで三菱UFJ銀行で15年ほど国内外のサイバーセキュリティ管理体制を統括してきました。現在は金融ISAC(Information Sharing and Analysis Center)の理事や三菱総合研究所のエグゼクティブフェローとして、サイバーセキュリティにかかわる官民連携や対応力・能力の強化に取り組んでいます。
小林:
金融庁が2023年2月に公表した取組方針ver3.0でも「サイバーレジリエンス」の重要性が触れられています。最初に基本的な質問ですが、サイバーレジリエンスとは何か、また昨今どのような背景から注目されているのかを教えていただけますか。
齊藤:
2016年に国際決済銀行決済・市場インフラ委員会および証券監督者国際機構が公表したサイバーセキュリティのガイダンスでは、サイバーレジリエンスは「サイバー攻撃を予期して未然に防ぎ、攻撃に対して封じ込め、迅速に回復する能力」と定義されています。
近年はランサムウェア攻撃の激化に見られるように、サイバー攻撃が巧妙化しており、攻撃を完全に防ぐことは不可能です。その対策アプローチとしてサイバーレジリエンスが注目されています。例えば、2022年10月にはG7サイバー・エキスパート・グループが、「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」を公表しています。
小林:
大日向さんは金融機関でCISO(最高情報セキュリティ責任者)を務められました。そのご経験から、サイバーレジリエンスの必要性をどのように感じていますか。
大日向:
1つは、2017年に英国の金融機関のインターネットバンキングがDDoS攻撃で2日間サービスが止まった事案です。これを機にレジリエンスのテーマが官民で議論されるようになりました。また、2019年にはクラウドの設定不備で、米国の大手金融機関から大量の顧客情報漏えいが発生しました。
2020年には日本でも製造事業者や通信事業者を狙った高度な標的型攻撃による情報漏えいや、政府機関からの重要情報漏えいといったインシデントがありました。さらに、2022年には米国製のネットワーク管理ツールの更新ソフトにバックドアが仕込まれ、大規模なサプライチェーン攻撃が発生しました。現在もVPN機器の脆弱性を突いた侵入によるランサムウェア被害が世界中で猛威を振るっています。
加えて地政学リスクから、敵対する国家による破壊的な攻撃の可能性も高まっています。もはや「攻撃からシステムを守り切ることは不可能」という認識で対策を講じなければならない時代だと受け止めています。
サイバーレジリエンス強化に向けた取り組み
小林:
ご指摘のとおりですね、私もいずれも記憶にありますし、他にも多くの場面でサイバーレジリエンスの必要性を痛感しています。齊藤さんへの質問となりますが、金融庁は金融分野のサイバーレジリエンス強化に向けて近年どのような取り組みを実施されていますか。
齊藤:
金融庁では、各金融機関がサイバーセキュリティを自己評価できるツール「CSSA(サイバーセキュリティセルフアセスメント)」を、金融情報システムセンター(FISC)と日本銀行と共同で開発しました。2022年度版のCSSAには42の設問があり、そのうち8問がレジリエンスに関する内容です。
例えば「インシデント対応や訓練・演習での経験をもとに、規程類などの組織的対応や技術的対応の強化をしたことがあるか」といった問や、攻撃の種類別に「どのようなコンティンジェンシープランを用意しているか」を評価する問も設けました。CSSAは金融機関が自らのコントロールを点検するきっかけとなることを意図しており、必要な対策の実施につなげてもらうことを期待しています。
先述のG7のランサムウェアに関する基礎的要素では、インシデントの発生原因として、「サイバーハイジーン」※が不十分であることが多いと指摘しています。高度なソリューションの導入も有効ですが、セキュリティパッチの適用や適切な資産の管理といった基本的な対策を確実に実施することが重要です。
また、同ガイダンスでは「過去のインシデントから知見を得ることで、ランサムウェアに対するレジリエンスを高めること」と述べています。自社がサイバー攻撃を受けていないことや、世の中で発生しているサイバー攻撃事案が金融業界以外や海外の事例であることは安心材料にはなりません。そうした現実の事例を自らに当てはめて考えることが必要です。現実には、一足飛びにすべての手当を完了させることは難しい場合もあるため、優先度を付けた対応が必要です。例えば、重要なシステムを洗い出し、そのバックアップの改竄耐性を確認し、データの復元などの復旧手順を検証したり、演習を通じて復旧がRTO(目標復旧時間)内に収まるかどうかを確認したりといったことが考えられます。
※サイバーハイジーン:個人や組織がサイバー攻撃やデータ侵害のリスクを最小限に抑えるために実践する基本的なセキュリティ対策。「サイバー空間を衛生的で健康に保つ」という概念から生まれた造語。
小林:
金融機関側のサイバーレジリエンスの取り組み状況はいかがでしょうか。
大日向:
日本の金融機関は、これまでの大規模システム障害の経験から、危機対応体制やプロセスの改善に取り組んできました。サイバー攻撃対応の観点でも、ランサムウェア被害を想定した訓練・演習を行う会社が多いと思います。金融ISACでもサイバー攻撃演習や危機対応を担当できる人材の育成に取り組んでおり、多くの金融機関が参加しています。
その中でサイバーレジリエンスの確保で重要となるのは「攻撃された際の業務影響をいかに極小化するか」です。組織の能力と、個人の能力が問われる課題だと認識しています。
小林:
「業務影響」は重要なキーワードです。現在、「オペレーショナルレジリエンス」も重要な取り組みとして注目を集めています。サイバーレジリエンスを強化する観点から、オペレーショナルレジリエンスに対してどのように取り組むべきだとお考えですか。
齊藤:
オペレーショナルレジリエンスとは、例えば、インシデントにより、重要な業務に影響が及んだ場合、その影響を最小化しつつ迅速に回復する能力を指します。オペレーショナルレジリエンスの観点から見ると、業務の回復や影響を最小化するコンティンジェンシープラン(緊急時対応計画)には、大規模災害やパンデミックだけでなく、サイバーシナリオも含まれています。
サイバーセキュリティでは、すべてのシステムを完全に防御することは不可能なので、重要なシステムを特定し、その重要性に応じた対策を進める必要があります。その際には、各システムの業務影響や顧客へのインパクトを分析しますが、顧客目線で重要業務を判断する上では、オペレーショナルレジリエンスの視点が重要な要素になります。このため、サイバーセキュリティ担当部門とリスク管理担当部門の連携が必要ですが、実際の業務影響や顧客影響を詳らかにするのは、エネルギーを要する作業です。
左から齊藤氏、大日向氏
社内外の連携でオペレーショナルレジリエンスを向上
小林:
お2人にお伺いしたいのですが、サイバーレジリエンスとオペレーショナルレジリエンスの相違点と共通点はどの部分でしょうか。
大日向:
相違点ですが、サイバーレジリエンスが必要とされる事態は、主にサイバー攻撃やシステム障害に起因します。攻撃などで被害が出た特定の企業や業界では対処が必要ですが、自然災害と比べて一般的に世間に認知されづらいという特徴があります。また、発生原因の特定が難しく、解明までに一定の時間を要することが多いです。それでも、システムの応急処置や顧客対応を適時適切に行う必要があります。共通点を挙げるとすれば、事案発生時に「金融システムの安定と利用者への影響の極小化を最優先に考えて行動する」ことで、これもとても重要です(図表1)。
齊藤:
システム障害は原因がサイバー攻撃かどうか最初は分からない場合があります。そのため、サイバーインシデントか否かにかかわらず、業務中断に対しては、技術的な対応のみならず、経営を含めさまざまな部門が連携した組織的な対応が必要です。
小林:
オペレーショナルレジリエンスを踏まえたうえでサイバーレジリエンスを強化していくためには、どのような点に留意すべきでしょうか。
大日向:
重要業務の特定は、すでに各社で実施されていると思われます。ただし、重要業務を支える情報システムやサブシステム、関連するサードパーティやインフラ事業者などの依存関係を整理することは、負荷の高い作業だと言えます。これを実施するためには、業務とシステムの両方に精通した有識者が、組織の垣根を越えて協力して作業を進める必要があります。
また、依存関係の整理は非常時には役立ちますが、平常時にはほとんど使用されないため、地味な作業になりがちで、組織内では評価されにくい傾向にあります。そのためオペレーショナルレジリエンスへの対応では経営陣がコミットメントを示し、十分なリソースの配置や担当者への適切な評価とケアを行う必要があります。一方、現場は必要な投資の意思決定に役立つ分析データを整理し、経営陣に対して適切に報告することが求められます。
加えて、業務部門は、サイバーインシデントによって業務の中断が発生した場合、顧客対応や業務継続の主体となります。このような状況下では、関係部門が組織の垣根を越えてリスクコミュニケーションをスムーズに行うことが重要です。どのような事態が起こり得るかをシナリオとして想定し、平常時から部門横断的に議論を重ねることが必要です。また、日頃からお互いの顔が見える関係を築き、維持し続けることも大切です。
小林:
近年、金融機関のビジネスはデジタル化が加速し、サードパーティやサプライヤーへの依存度が高まっています。サードパーティが被害を受けることで金融機関の重要業務に影響が出るケースも見受けられます。サイバーレジリエンスの高度化にはこうした難しい面もありますが、サードパーティやサプライヤーとのコミュニケーションに関してはどのようにお考えですか。
齊藤:
ご指摘のとおり、非常に難しく課題の多い領域です。一例ですが、海外金融機関では、サイバー演習をサードパーティと共同で行い、レジリエンスの向上に取り組んでいる事例があります。また、サードパーティのサイバーリスクの管理に特化したチームを設け、グループ企業全体を対象に横断的にリスクを管理しているケースもあります。
金融機関のサードパーティは数万にも上ることがあります。これまでの慣行では、サードパーティ管理は表計算シートでチェックリストを作成し、それをベンダーに送付し、回答内容を回収して管理する方法が多く取られてきました。しかし、この方法では金融機関とベンダーの双方に負荷がかかり限界もありますし、実効性の点でリスクもあります。今後のサードパーティのサイバーリスク管理はツールや自動化も取り入れた効率化と高度化が求められるのではないでしょうか。
左から小林、齊藤氏、大日向氏
左から小林、齊藤氏、大日向氏
未然防止と検知能力の成熟度を踏まえたサイバーレジリエンス対応とは
小林:
サイバーレジリエンスは「事前策を尽くしてもなお生じる影響への対応」ですが(図表2)、前提となる未然防止や検知能力が不十分の場合、サイバーレジリエンス確保はより難易度が高まります。サイバーハイジーン等の未然防止策とレジリエンス確保のバランスも重要ですが、いかがでしょうか。また、システム部門やセキュリティ管理部門にはどのような行動が求められるでしょうか。
大日向:
サイバーレジリエンスというと技術的にはバックアップの確保や復旧能力に目が行きますが、それ以前に、未然防止や早期発見、封じ込めなどの能力の確保がベースラインです。
完全にやられる前に見つけて止めるために平常時から何をすべきかが重要です。また、セキュリティ担当者は技術者目線だけではなく、利用者目線を意識して業務部門や経営陣とコミュニケーションを取ることが求められます。
例えば、インシデント発生時やサイバー演習でも「どこが侵害されたか、封じ込め状況はどうか」という技術的な報告だけでなく、業務目線での影響や判断すべきことについても適切に伝える必要があります。バックアップ状況などの業務目線からの情報を提供することで業務部門の気づきと経営陣のリスク認識を促し、的確な経営判断ができるようにすることが、システム部門とセキュリティ管理部門の重要な役割だと思います。
齊藤:
企業は内部規程の整備や担当部署の設置など、さまざまなセキュリティ対策を講じていると思われます。しかし、もしそれらの対策が実践されていないとすれば、その要因は、サイバーリスクによる業務やビジネスへの影響範囲や、顧客が被る被害状況について理解が不足しているからかもしれません。
システム部門やセキュリティ管理部門はもちろん、ITのユーザー側である各業務部門にも、「サイバーリスクへの対処を怠った場合、自分たちのビジネスやお客様にどのような影響を与えてしまうのか」を理解できる人材が必要です。そして、適切な対策を講じ、統制を敷くことができる人材の存在が重要だと思います。
小林:
最後に、これまでの議論を総括してコメントをいただけますでしょうか。
大日向:
「サイバー攻撃によるシステム障害や業務中断はいつ起こってもおかしくない」という危機感を持つ必要があると認識しています。サイバーレジリエンスは組織と人の能力が問われます。ですからどのようにして組織的なチーム力を高めていくか、そのための組織体制やリスクコミュニケーションのあり方をよく考えなければなりません。金融ISACでも、こうした課題認識を持って情報共有や議論に取り組んでいきたいと思います。
齊藤:
従来から想定しているシナリオだけでなく、自分の組織や業界以外で起こっていることにアンテナを張って情報を収集し、インシデントやシナリオを自らに当てはめて検証してみることが重要だと思います。
従来の想定を超えている場合には、技術的対策や組織的対策が必要かもしれません。G7のガイダンスにも書かれているように、「過去のインシデントを見て自分に当てはめ、対策が必要かどうかを考えること」が重要だと思います。
小林:
齊藤さん、大日向さん、本日はありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
