ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は

金融機関の連携と知見の共有を進め、“共助”の力でサイバー攻撃に備える

金融機関の連携と知見の共有を進め、“共助”の力でサイバー攻撃に備える

多様な金融資産や情報を扱うサービスの性質上、いつの時代もサイバー攻撃の標的となってきた金融機関。見方を変えれば、金融機関の置かれた状況やその対策に最新のサイバーセキュリティ構築のヒントがあるともいえるだろう。金融業界のサイバーセキュリティ連携を推進する「金融ISAC」に創設時から携わり、長年、金融機関のサイバーセキュリティ向上に尽力してきた鎌田 敬介氏に話を聞いた(聞き手:日経BP総合研究所 上席研究員 菊池 隆裕)。

米国を参考に、日本版金融ISACの創設に尽力

―金融業界のサイバーセキュリティに関する情報の共有および分析を行い、金融機関の安全性向上を推進する金融ISACに、創設時から参画されています。組織は9年目を迎えていますが、現状や活動について教えてください。

鎌田創設当初の正会員は20社でしたが、現在は国内に事業拠点のある銀行、証券、生命保険、損害保険、クレジットカード事業者、決済サービス事業者なども合わせ480社を超えています。国内の主な金融機関をカバーする規模になっています。

活動としては、サイバー攻撃事案に関して、攻撃元の手口、目的、対策と結果などに関する情報共有の取り組みがあります。また、これとは別に、11のワーキンググループ活動があります。「インシデント対応」「脆弱性対応」「人材育成」などのトピックごとに、関心のあるメンバーが議論し、ベストプラクティスの提案と共有を行っています。「共助」の観点から有益な対策の情報、知見を集約し、業界全体に広げるリソースシェアリングが狙いです。

一般社団法人 金融ISAC 専務理事 CTO 鎌田 敬介氏

―鎌田さんはIT・サイバーセキュリティ管理業務に従事されていた大手都市銀行のシステム部門を経て、金融ISACに参画されています。当時、組織の創設に向けてどのように取り組まれたのでしょうか。

鎌田そうですね。サイバーセキュリティの世界では、組織間の情報連携が重要だと認識していたので、銀行を中心とする意見交換会を始めました。当初はアンオフィシャルな会合でしたが、徐々に現在の金融ISACにつながる体制をつくっていったかたちです。

ISAC (Information Sharing and Analysis Center)はもともと、米・クリントン政権時代に、重要インフラ業界のセキュリティ情報の共有を目的として生まれた組織です。米国には金融を含め重要インフラのセクターごとにISACがあります。米国のモデルを参考に日本でも金融ISACを立ち上げ、情報連携を進めるべきだという議論がかねてあったことや、日本でもマルウエアが原因の不正送金などが相次いでいた当時の背景も重なり、2014年に日本における金融ISACの創設につながりました。

経営課題としてサイバーセキュリティに取り組む変革を

―鎌田さんは金融業界のサイバーセキュリティ対策について、「組織的対応」「技術的対応」の2つの軸を提唱されています。まず、組織的対応についてお聞かせください。

鎌田サイバーセキュリティの概念が生まれる以前は、ITリスク管理の視点から技術面の対処をしていればよいと考えられてきました。長年メインフレームを利用してきた金融機関は、システム運用をクローズドな環境に閉じることでセキュリティリスクを低減してきました。ただ、この仕組みは基本的に組織外からのアクセスを想定していないため、(いざ外部とつながったときに)外部からの攻撃には非常に脆いといった限界がありました。現在のサイバー攻撃に対応するには、セキュリティの概念そのものをとらえ直すパラダイムシフトが必要です。現在はシフトの途中段階にあり、日本に限らず世界の金融機関にも共通する課題といえます。組織全体の危機管理にサイバーセキュリティを加え、企業としてのリスク管理、危機管理の観点を強め経営課題として対処していく組織的対応が重要となっています。

一方、技術的対応とは文字通り、サイバーセキュリティ向上に向けた技術的な対策に取り組むことです。日本での注目度はまだ高くありませんが、現在、欧米の金融機関が注力している分野の1つが、ハードウエアレベルのセキュリティです。最近の攻撃の特徴に、OSより低いレイヤー、具体的にはファームウエアのレベルにマルウエアを仕込むことで、OSレベルでの対策を回避する手法が目立つようになってきました。ファームウエアの感染によって、コンピューターそのものが乗っ取られるような深刻な事態も起きています。こういった事象は日本国内ではまだ大きな話題となっていませんが、いくつか疑わしい個別の事例を聞いたことがあります。ハードウエアのセキュリティレベルをさらに引き上げるなど、技術的対応を時代に合わせて進化させていくことも重要となっています。さらに技術面のトピックでは、ゼロトラストの実現において、パソコンなどのIT機器のOSより上のレイヤーでのアクセスコントロールの制限、細分化も必要になっていくと考えます。アプリケーションの権限を分離しておけば、早期の検知、封じ込めによって、被害の拡大を迅速に食い止めることができます。

一般社団法人 金融ISAC 専務理事 CTO 鎌田 敬介氏

―前者の組織的対応では、金融機関が構造的に抱える課題に対し、具体的にどのような取り組みが求められているのでしょうか。

鎌田サイバーセキュリティは、今日起きている攻撃への対処だけでなく、10年先、15年先まで見据えた対策が必要な経営課題です。いかに防御するかはもちろん、侵害を受けたときのレジリエンス、インシデントレスポンスをどう高めていくか。経営者は長い射程でリスク管理ととらえ、組織のリソースや権限をどう充てていくかを考えなければいけません。また、攻撃を受けた場合、IT部門だけでなく、組織横断での対応が必要になります。「サイバーセキュリティ対策を全社的に取り組むのだ」という意識を、経営者が組織の先頭に立って浸透させていく必要があると思います。

―ただ、組織ごとに抱えている課題も、セキュリティに関する知見やリソースも変わります。サイバーセキュリティのフレームワークがあっても、すべての組織に有効という訳ではないはずです。金融ISACはその点にどうアプローチしていますか。

鎌田おっしゃるように、サイバーセキュリティにかける予算も人員も組織によって差があります。それぞれの組織にとってのベストにどう近づけるかがポイントになります。そこで金融ISACは、先に紹介した「共助」のためのプラットフォームを提供しています。個々の事例を持ち込み、「共助」の視点で会員同士が議論する。そこで得られたものを自分たちの会社に置き換えながら、対策や行動の材料にすることで、精度の高い「自助」につなげてもらう。それが理想と考えています。

「対策はすぐに陳腐化する、リスクはゼロにならない」

―サイバーセキュリティを経営課題としてとらえ、変革していくには、特定部門だけに委ねることはできないと思います。組織的対応の中心になるべきCIO、情報システム部門はどのような意識を持つべきですか。

鎌田サイバー攻撃はめまぐるしく変化しています。昨日は安全だったものが、今日も安全とは限らず、どんなに防御を徹底してもリスクがゼロになることもありません。CIOや情報システム部門に求められるのは、己を知り、敵を知ることです。自社のセキュリティレベルの、どこにウイークポイントがあるのかを把握しなければいけません。さらに、脆弱性情報、企業への攻撃予告、具体的な攻撃事案といった世の中の変化を察知することにもリソースを割かなくてはいけません。自社の置かれた状況を俯瞰しながら、社内で情報を共有し、議論する。また、何かあった場合には、円滑に行動できるようにするための演習や準備も欠かせません。また、経営陣と情報システム部門の間に意識の乖離があることが放置されているケースも多いですね。社内におけるリスクコミュニケーションの重要性も高まっています。

―確かに、状況変化のスピードは以前の比ではありません。レジリエンスという言葉が生まれた背景もそこにある気がします。

鎌田同感です。対策がすぐに陳腐化してしまう可能性も高まっているため、そのことを前提に組織をつくらなければいけないと思います。昔ながらのITリスク管理の延長でいるのではなく、以前の常識を総入れ替えするくらいの変革が必要な時代です。対応にかかるインターバルを短く、というのはサイバーセキュリティのトレンドであり、重要度が高く、スピード感が求められるものは内製へという流れも明確になってきています。状況や時代に合わせて、組織的対応も変化させていかなければなりません。

後編:欧米の金融機関が注力するハードウエアのセキュリティ

ハイブリッドワーク時代のエンドポイントを守る「HP Wolf Security」

悪質・巧妙なサイバー攻撃が多発する現在、組織を守るためにはセキュリティ対策をアップデートすることが欠かせない。この状況を踏まえ、日本HPが2021年5月に発表したのが「Wolf Security」である。新しいブランディングの下で、20年以上にわたるセキュリティの研究と革新に基づき提供してきた複数のセキュリティ製品を統合し、包括的なエンドポイント保護を実現。「サイバーレジリエンス(回復力)」を強化するソリューションとして、ハイブリッドワーク時代の企業・組織を支援している。

ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は
東海大学 三角教授 「コスト」から「目的達成の手段」へ セキュリティ強化に不可欠な経営層の意識変革横浜国立大学 吉岡教授 システム、人、そしてサプライチェーン 守るべきポイントへ先行投資せよ日本HP 九嶋氏 エンドポイント・セキュリティの新潮流「HP Wolf Security」でビジネスを守るヨコハマ グランド インターコンチネンタル ホテル 巧妙化するサイバー攻撃への備えを実現!「隔離型」のセキュリティ対策で標的型攻撃や新種のランサムウエアから顧客情報を守る情報通信研究機構 伊東氏 国を守ることと企業を守ることは同じ ダメージコントロールが重要になるサイント 岩井氏 狙われた情報は、ビジネスの“金の卵” 攻撃者を知ると見えてくる、新たな可能性

お問い合わせ