ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は

金融機関の連携と知見の共有を進め、“共助”の力でサイバー攻撃に備える

金融機関の連携と知見の共有を進め、“共助”の力でサイバー攻撃に備える

多様な金融資産や情報を扱うサービスの性質上、いつの時代もサイバー攻撃の標的となってきた金融機関。見方を変えれば、金融機関の置かれた状況やその対策に最新のサイバーセキュリティ構築のヒントがあるともいえるだろう。金融業界のサイバーセキュリティ連携を推進する「金融ISAC」に創設時から携わり、長年、金融機関のサイバーセキュリティ向上に尽力してきた鎌田 敬介氏に話を聞いた(聞き手:日経BP総合研究所 上席研究員 菊池 隆裕)。

※本記事は前後編の後編です。前編はこちら

欧米の金融機関が注力するハードウエアのセキュリティ

―鎌田さんが金融業界のサイバーセキュリティ対策で提唱される「組織的対応」のほかに、もう1つの「技術的対応」についても詳しくお聞かせください。

鎌田先にも述べましたが、技術的対応は、サイバーセキュリティ向上に向けた技術的な対策に取り組むことです。少し前はEPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)などエンドポイントセキュリティが話題の中心でしたが、今はゼロトラストやクラウドインフラをどう守るか、サプライチェーンリスクをどうするのかの議論にトレンドが移ったと感じています。そうした中、欧米の金融機関が重視して対策に取り組んでいるのが、ハードウエアレベルのセキュリティです。

以前の攻撃は、マルウエアをコンピューターのOSレベルで感染させ、遠隔操作で何か悪いことをする、というのがよくみられる基本的な手法でした。一方、現在はOSより下層のファームウエアにマルウエアを仕込むことで、OSレベルでの対策を回避しながら攻撃していくといった手法へ多様化/巧妙化しています。日本の金融機関は、ファームウエアのマルウエア感染から、コンピューターそのものが乗っ取られるような、深刻な事態が起こりうることを認知し、警戒レベルを高めていかなくてはいけないでしょう。

一般社団法人 金融ISAC 専務理事 CTO 鎌田 敬介氏

―具体的にはどのような対策を取る必要があるのでしょうか。

鎌田1つは、より信頼性の高い製品づくりを行っているメーカーの製品を選定すること。もう1つは、自社に届いたハードウエアが、正規のファームウエアを搭載しているのかをチェックする仕組みをつくることです。この両面からの対策を実行することで、仮にメーカー出荷後のプロセスにおいてファームウエアレベルでマルウエアが仕込まれても、被害を未然に防ぐことができます。実際、米国ではファームウエアのチェックを専門に行うベンダーも生まれるなど、サイバーセキュリティ対策の新しい分野の1つになりつつあります。

―前にも言及がありましたが、ゼロトラストの実現に向けてはどのような取り組みが期待されますか。

鎌田そうですね。現在、企業の間で主流となっているゼロトラストの取り組みでは、ネットワークレベルでの権限、アクセスコントロールの細分化によって、被害を最小限に抑える考え方が中心となっています。そこに加えて、今後はエンドポイントのOSより上のレイヤーでも、アクセスコントロールの制限、細分化が必要になっていくと考えています。アプリケーションの権限を分離しておけば、早期の検知、そして封じ込めが可能になります。結果、被害の拡大を迅速に食い止めることができます。

このような一連のアクセスコントロールの厳密化は、米国で重要性の高いシステムを扱う一部の組織では既に実施されています。実際に導入しようとすると、制御が難しかったり、高度な技術が必要だったりする課題もありますが、今後は日本の金融機関でもいずれは広がっていくことになるでしょう。

サプライチェーンセキュリティをいかに守るか

―さらに現在は、業務上のつながりがあるステークホルダーも含めた、サプライチェーンセキュリティを考える必要性も高まっています。金融業界各社が、このサプライチェーン全体のセキュリティを高めていくには、どのような考え方や対策が必要なのでしょうか。

鎌田もともと金融業界には、外部委託している事業者に対して、リスク管理、外部委託管理を行うという考え方があります。ひと言でいうと、「自社のセキュリティレベルと同等のものを求める」が従来の基本でした。この考え方自体は有効ですが、最近は金融機関が、FinTechの新興ベンチャー企業とシステムをつなぐケースも生まれてきています。そこではクラウドを含め、金融機関自身がコントロールできない領域が増えており、「自社と同等レベル」を維持することが難しくなっているのが現状です。

ここで重要なのは、いかにコミュニケーションを密にできるか、です。「APIを開放するので勝手に使ってください」ではなく、どういうセキュリティ要件を定めて使い合うかなどをきっちりと話し合う必要があります。また、サプライチェーンリスクが具現化した事案について、経緯や対策を含めて情報収集しておくこと。そして、自社に置き換えてシミュレーションを行い、対応力を上げる努力も不可欠だと考えます。

一般社団法人 金融ISAC 専務理事 CTO 鎌田 敬介氏

―最近のサプライチェーンリスクにかかわるトピックとして、どのようなサイバーセキュリティ関連の事案に関心を持たれていますか。またその事案に企業はどのように対処していく必要がありますか。

鎌田ニュースとしても大きく取り上げられましたが、プログラム言語「Java」のオープンソースのログ出力ライブラリー「Apache Log4j」の脆弱性ですね。第三者が遠隔から任意でコード実行できてしまうもので、脆弱性単体で見ればリスクが非常に高く、脅威であることは間違いありません。ですが、攻撃を成立させる難易度はかなり高く、それが原因の大きな被害は今のところ確認されていないようです。世の中が騒いでいるから自社も危ないかというと、必ずしもそうではなく、情報を素早くキャッチアップすると同時に、それを精査し、自社にとっての脅威度を含めて正しく理解する必要があります。

また、あるクラウドサービスについて、事業者側で設定変更が行われ、情報漏えいに至った事案もあります。こちらは多くの事業者が被害に遭う可能性があります。繰り返しますが、世の中の脅威を幅広く把握し、情報の収集と分析、そして自社にとってのリスクの高さを理解できる人材が社内にいるかが、ますます問われていくでしょう。

新たに学び、スキルをアップデートできる機会の創出を

―サイバー攻撃は年々、多様化/巧妙化していますが、金融機関が受けやすい攻撃パターンや業界固有の課題にはどんなものがあるのでしょうか。

鎌田サイバー攻撃の約8割は「金銭を得る」ことを目的としたものだといわれます。また、個人情報を狙う攻撃も多くあります。つまり、その両方を保有する金融機関は、攻撃者にとって格好のターゲットになる組織といえるでしょう。執拗な攻撃にさらされた世界中の金融機関が、大きな被害にあっています。日本では、欧米ほど大規模な情報漏えいは起きていませんが、標的にされやすいことは間違いありません。業界全体で知識と経験を共有する金融ISACのような「共助」の仕組みは、今後ますます重要になると考えています。

―金融機関のサイバーセキュリティの重要性はより高まっています。組織のリーダーたちはどう考え、行動していけばいいのかのメッセージをお願いします。

鎌田特に強調したいのは「人」に関する部分です。国内でセキュリティの仕事をしている人は、その多くが専門の教育を受けておらず、組織に入ってから業務の延長で携わっているケースがほとんどです。ここが欧米との大きな違いです。欧米の金融機関では、ITとサイバーセキュリティの専門教育を受けた人が、極めて専門性の高い業務に携わっています。

もちろん、実務を通じて学ぶことはたくさんありますが、新しい知識を学び、スキルをアップデートしていく機会が日本は乏しい気がします。状況の変化が激しい今、古い知識、スキルのままではリスクに対応できないでしょう。IT部門、セキュリティ部門が、知識もスキルも常にアップデートできるようにリソースを注ぐ取り組みも、これからの時代には重要といえるのではないでしょうか。

―鎌田さんはセキュリティ人材の育成にも長く携わっていますが、専門性の高い人材を育てるために、特に必要なものは何でしょうか。

鎌田インプットだけを続けていても、なかなか自分の血肉とするのは難しく、インプットと同様、アウトプットする機会をつくることが大事です。新しい知識、スキルを学んだら、そのままにしておくのではなく、社内の研修などの機会を設け、アウトプットする。人に説明する過程で、自分の中で整理、吸収が進み、議論によって新たな発見が生まれることもあります。アウトプットすることで、知識とスキルを定着させる。こうした環境も、経営サイドから用意していってもらえればと思います。

ハイブリッドワーク時代のエンドポイントを守る「HP Wolf Security」

悪質・巧妙なサイバー攻撃が多発する現在、組織を守るためにはセキュリティ対策をアップデートすることが欠かせない。この状況を踏まえ、日本HPが2021年5月に発表したのが「Wolf Security」である。新しいブランディングの下で、20年以上にわたるセキュリティの研究と革新に基づき提供してきた複数のセキュリティ製品を統合し、包括的なエンドポイント保護を実現。「サイバーレジリエンス(回復力)」を強化するソリューションとして、ハイブリッドワーク時代の企業・組織を支援している。

ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は
東海大学 三角教授 「コスト」から「目的達成の手段」へ セキュリティ強化に不可欠な経営層の意識変革横浜国立大学 吉岡教授 システム、人、そしてサプライチェーン 守るべきポイントへ先行投資せよ日本HP 九嶋氏 エンドポイント・セキュリティの新潮流「HP Wolf Security」でビジネスを守るヨコハマ グランド インターコンチネンタル ホテル 巧妙化するサイバー攻撃への備えを実現!「隔離型」のセキュリティ対策で標的型攻撃や新種のランサムウエアから顧客情報を守る情報通信研究機構 伊東氏 国を守ることと企業を守ることは同じ ダメージコントロールが重要になるサイント 岩井氏 狙われた情報は、ビジネスの“金の卵” 攻撃者を知ると見えてくる、新たな可能性

お問い合わせ