{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
2022年2月改訂「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)」について(金融庁 齊藤氏)
2022-09-21
日本を牽引する企業・組織のセキュリティ責任者などをお招きし、サイバーセキュリティとプライバシーをめぐる最新の取り組みを伺った「Digital Trust Forum 2022」。本シリーズでは各セッションをダイジェストで紹介します。
金融庁は2022年2月、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」をVer. 3.0(第三版)にアップデートしました。ランサムウェアをはじめとするサイバー攻撃は巧妙化の一途をたどり、その件数も急増しています。サイバー空間における脅威が一層高まる中、デジタル活用が広がる金融分野はどのように対応すべきなのでしょうか。本稿では金融庁 総合政策局 リスク分析総括課サイバーセキュリティ対策企画調整室長の齊藤 剛氏をお迎えし、「金融分野におけるサイバーセキュリティ強化に向けた取組方針 Ver. 3.0」で改訂したポイントについて解説をいただきました。(本文敬称略)
登壇者
金融庁
総合政策局 リスク分析総括課
サイバーセキュリティ対策企画調整室長
齊藤 剛 氏
PwCあらた有限責任監査法人
パートナー
綾部 泰二
PwCあらた有限責任監査法人
ディレクター
小林 由昌
(左から)小林 由昌、齊藤 剛氏、綾部 泰二
金融庁が考える「モニタリング・演習の高度化」とは
綾部:
「金融分野におけるサイバーセキュリティ強化に向けた取組方針 Ver. 3.0」において、新たに「モニタリング・演習の高度化」が明記されました。この点が興味深く感じたのですが、金融庁では具体的にどのようなモニタリングや演習を考えているのでしょうか。
齊藤:
土台となる考えは、「金融機関の規模や特性、サイバーリスクに応じて検査・モニタリングを実施し、サイバーセキュリティ管理態勢を検証する」ということです。大手金融機関に対しては、サイバー攻撃の脅威動向の変化への対応や、海外大手金融機関の先進事例を参考にモニタリングを実施します。
一方、地域金融機関に対しては、内部規定などの整備にとどまらず、セキュリティ対策の運用や実施、その実効性にも着目して検証します。その具体策の1つが、サイバーセキュリティに関する「自己評価ツール」の整備です。
これまでは地域金融機関が自行のサイバーセキュリティ対策を客観視し、課題点を改善できるようなツールがありませんでした。自己評価ツールを利用すれば、各金融機関が自行のセキュリティ対策の成熟度を評価できるだけでなく、その情報を金融庁が収集・分析し、各金融機関に還元できるようになります。こうした情報を基に、それぞれの金融機関が自行のセキュリティ対策の成熟度や業界内での位置づけを把握し、課題を可視化することでサイバーセキュリティの高度化に自律的につなげてもらいたいと考えています。
小林:
なるほど。では、モニタリングではどのようなポイントに着眼していますか。
齊藤:
一例にはなりますが、多層防御の有効性です。多くの金融機関では、内部(社内ネットワーク)と外部(インターネット)の間に境界を設け、不正なアクセスを入口で阻止する「境界型対策」を重点的に講じています。しかし、内部対策は不十分なケースもあるのではないかと考えています。ですから、アクセス権の設定やシステム間の通信制御が厳格に管理できているか、あるいは侵入されてもその被害を最小限にするための対策がとられているかなども、検証すべき着眼点であると考えています。
小林:
外国金融機関ではマイクロセグメンテーション※の導入などにより、内部対策を徹底しています。また、サーバにアクセスした機器のログを収集・分析するなど、高度なモニタリングや検知も実施しています。そうした取り組みは日本でも必要だと考えます。
※ マイクロセグメンテーション:社内やデータセンター、クラウド環境などのネットワークを目的に応じて複数の細かいセグメントに分割し構成することでサイバー攻撃を受けた場合でも影響の拡散を防ぐセキュリティ技術。
綾部:
自己評価ツールによる評価結果をモニタリングに利用する場合、結果の信頼性はポイントになりますよね。
齊藤:
はい。評価の信頼性は非常に重要です。他の金融機関と正しく比較したり、有益な気づきを得たりするためにも、正確な評価を心掛ける必要があります。サイバーセキュリティ対策は、組織全体の取り組みとして部門横断的に実施しなければなりません。自己評価も特定部門だけで完結するものではありません。ですから、全ての関連部門で確認してもらったり、3つのディフェンスライン(Three lines of defense※)で点検してもらうなどの作業が重要です。
※ https://www.pwc.com/jp/ja/knowledge/column/viewpoint/grc-column001.html
さらに、経営層が関与することで評価の信頼性も上がりますし、組織内における情報共有も活性化するでしょう。金融庁としては、金融機関が自己評価ツールを活用することでセキュリティ対策のPDCAを高速回転させ、自浄機能を働かせる一助になれば良いと考えています。
金融庁 総合政策局 リスク分析総括課 サイバーセキュリティ対策企画調整室長 齊藤 剛氏
PwCあらた有限責任監査法人 パートナー 綾部 泰二
外部連携も包含したSecurity by Designの意識を持つ
綾部:
次に「新たなリスクへの備え」について教えてください。今回の指針では、以下の4項目を取り組む柱として掲げています。
- キャッシュレス決済サービスにおける安全性の確保(Security by Designの実践)
- クラウドサービスの普及への対応
- サイバーハイジーンの徹底
- サイバーレジリエンスの強化
各項目ではどのような取り組みを実施しているのでしょうか。
齊藤:
キャッシュレス決済サービスにおける安全性の確保では、「Security by Design」の実践が求められます。デジタルトランスフォーメーション(DX)が進展したことで、金融ビジネスを取り巻く環境は激変しています。特にフィンテック企業の新規参入により、多様な金融サービスが登場しました。しかし、過去にはキャッシュレス決済サービスにおいて、本人認証の脆弱性が悪用された事案もあります。こうした事態を避けるためにも、新サービスでは企画・設計の段階からセキュリティ要件を組み込むことが不可欠なのです。
Security by Designは、サービス全体で実践する必要があります。フィンテックを活用した新サービスの多くは、複数の企業が連携していますよね。ですから外部連携も含め、プロセス全体で脆弱性やリスクを洗い出さなくてはなりません。さらに、万が一、サイバーインシデントが発生して利用者に影響が及んでしまった場合を想定し、被害者に対して速やかに対処する態勢を整えておくことが重要です。
小林:
私たちの業務の1つに、企業のシステム構築プロジェクトを支援する「プロジェクトリスク評価サービス」がありますが、最近は「機密性や可用性も含めてセキュリティ対策が講じられているか」「プロセスの一環としてセキュリティが備わっているか」を評価してほしいという要望が増加しています。キャッシュレス決済サービスなどはもちろん、基幹系システムを含むさまざまなシステムにおいて、セキュアバイデザインが求められる外部環境になってきたと考えます。
綾部:
次の項目にあるクラウドサービスは、これまでオンプレミス環境でのシステム運用が主流だった金融機関にとってはリスク管理が難しそうですね。
齊藤:
クラウドサービスを活用するためには、その特性や仕様を理解しなければなりません。知識が不足した状態でアクセス権限を設定すると、不正アクセスや顧客情報の漏えいといったインシデントを引き起こしてしまう可能性があります。実際、利用者側の設定ミスによるインシデントは複数確認されています。
こうした事態を避けるためには、クラウドに精通した人材を育成したり、組織内の必要な部門にセキュリティ人材を的確に配置したりといった施策が必要です。さらに、インシデントが発生した場合を想定したコンティンジェンシープラン(緊急時対応計画)を整備することや、演習を定期的に実施し、システムの可用性やデータの機密性が確保されていることを確認することも大切です。
綾部:
「金融分野におけるサイバーセキュリティ強化に向けた取組方針 Ver. 3.0」の中には「金融庁もクラウドサービス事業者との対話を行う」と明記されています。具体的にはどのような対話を想定していますか。
齊藤:
クラウドサービス事業者との対話の目的は、クラウドサービス事業者からの情報提供を強化することです。例えばサイバーインシデントが発生した時に、「クラウド事業者からどのような情報が提供されていたのか」「金融機関の顧客に対してもわかりやすい情報だったのか」といったことを確認するなど、そもそもインシデント対応が適切に実施されていたかを対話を通じて把握していきます。
「経営層の関与」と「セキュリティ人材の育成」がカギに
綾部:
次にサイバーハイジーンの徹底とサイバーレジリエンス(復元力)の強化に対する備えについて教えてください。高度化するサイバー攻撃に対して、これらに集中的に取り組む必要がありますよね。
齊藤:
はい。攻撃手法は日々進化しています。防御策として高機能な製品を導入することも有効な手段となりますが、金融庁に報告されるインシデントの原因を分析すると、既知の脆弱性に対してセキュリティパッチが未適用であったことが多いのが実情です。基本的な設定の不備に起因するサイバーインシデントも少なくありません。
前述のとおり、現在はクラウド導入も進んでおり、管理する情報資産が分散しています。また、情報資産の範囲も複雑化しているため、特定のセキュリティ製品や境界型対策だけでは対応できません。そうした観点からも「サイバーハイジーン(サイバー公衆衛生)」を組織全体に徹底していくことが重要です。
小林:
新たな金融サービスが次々と誕生する状況では、他企業との連携が増加し、サプライチェーンが複雑化します。そうなると、守るべき情報資産の範囲や権限も複雑になり、思わぬところに“抜け”ができてしまいます。これを防止するためにはサイバーハイジーンを徹底し、定期的にセキュリティ対策を点検して改善していくプロセスが必要です。そうした観点からも、“万が一”を想定したサイバーレジリエンスが重要なのですね。
齊藤:
おっしゃるとおりです。守るべき情報資産の範囲は拡大していますから、インシデントの未然防止対策を講じるだけでなく、事前にリスクを洗い出し、万が一の事態に備えなくてはなりません。具体的にはフォレンジックや演習を通じて、サイバーインシデントにより業務が中断してしまった場合でも、業務や利用者への影響を許容範囲内に収められるかを確認する必要があります。金融庁としてもインシデント発生時におけるサイバーレジリエンスの強化に向けた取り組みを促していきたいと考えています。
綾部:
最後に、金融事業に携わる全ての事業者に向けて、サイバーセキュリティ強化のための提言をお願いします。
齊藤:
2点あります。
1つは「経営層の関与」です。前述したとおり、サイバーセキュリティ対策はIT部門やシステム部門だけの課題ではありません。部門や組織階層の枠を超え、組織全体で横断的に実施する必要があります。サイバーセキュリティ対策の実効性を高めるためには、経営層がリーダーシップを発揮し、積極的に関与しなければなりません。サイバーインシデントで業務に支障が生じれば、顧客に影響を及ぼすだけでなく、金融機関の信用低下を招く可能性があります。
もう1つは「セキュリティ人材の育成」です。サイバーセキュリティの確保のためには、業務や企画、広報、監査、コンプライアンス、経営層といったIT・システム部門以外とも連携しなければなりません。各部門で求められるセキュリティの知見は異なりますから、それぞれの部門の業務内容を理解したうえで、「この部門にはどのようなセキュリティ対策を優先させるか」を判断する必要があります。
そのためには組織内で知見が不足しているセキュリティ分野を洗い出し、その分野を担える人材の育成に注力することです。特に、サイバーセキュリティの司令塔を担う戦略マネジメント層の育成には時間がかかります。また、内部の研修だけではなく、金融ISACなどサイバーセキュリティの知見を高める外部の活動にも参加しやすい職場環境を整備するなど、組織全体でセキュリティ人材の育成を図ることが重要です。
綾部:
金融庁の方からこうしたお話をじっくり伺える機会はとても貴重でした。本日はありがとうございました。
PwCあらた有限責任監査法人 ディレクター 小林 由昌
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
