13_Phunkod/Shutterstock.com

 デジタル化が進む金融業界。それに比例するように金融機関を狙ったサイバー攻撃も高度化、多様化している。国家の関与が疑われる高度なサイバー攻撃もみられるようになり、水際で防ぐ「境界防御」は限界を迎えている。こうした現状に金融庁は、悪意あるシステムへの侵入を前提とした上で、被害や影響を最小化する「サイバーレジリエンス」の指針を示した。「回復力」や「しなやかさ」を意味するレジリエンス。さらには経営全体で取り組む「オペレーショナル・レジリエンス」も求められているという。KPMGジャパン主催のセミナーに登壇した金融庁のITサイバー・経済安全保障監理官、齊藤剛氏が、サイバーセキュリティ強化の考え方、金融機関にとって特に重要となる対策などについて語った。

本稿は2023年12月1日に配信された「KPMGジャパン サイバーセキュリティセミナー2023」のうち「対談:『サイバーレジリエンス』×『オペレーショナル・レジリエンス』論考~サステナブルな社会の実現に向けて~」の内容を採録したものです。

侵入やインシデントを前提とした対策を

齊藤 剛/金融庁 ITサイバー・経済安全保障監理官

2004年金融庁入庁後、2010年監督局総務課監督企画室課長補佐、2013年保険監督者国際機構、2019年金融庁総合政策局総務課国際保険規制調整官などを経て、2021年7月より金融庁総合政策局リスク分析総括課サイバーセキュリティー対策企画調整室長、2023年7月1日から現職。

 金融機関がさらされているサイバー攻撃の現状について、齊藤氏は「攻撃の手法が高度化している。守る側の(守備)範囲が広がっていて非常に厳しい状況」と分析した。高度化の点では、「犯罪集団の手法も国家と見まがうような手法が出ている」と指摘する。さらにランサムウエアやディープフェイクの武器化、サードパーティーのサプライチェーンを利用した攻撃など、自組織が直接攻撃を受けるわけでなくとも、影響を受ける事例が増えている。フィッシング攻撃、DDoS攻撃(分散型サービス妨害攻撃)、さらには内部者による犯行も絶えない状況だ。

 齊藤氏は「攻撃されることで影響を受けることを前提に備える必要がある」と説く。金融庁が2022年2月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver.3.0)」に沿って、未然防止に限らず「早期回復」を軸とする「サイバーレジリエンス」の考え方を紹介した。

「金融機関は未然防止だけでなく、インシデントによって重要業務が中断した場合も、業務やお客さまへの影響を許容水準内に収めるよう、サービスの強靭(きょうじん)性を高めることが一層求められている」と、その重要性を指摘した。

薩摩 貴人/KPMGコンサルティング 執行役員 パートナー

金融機関向けサイバーセキュリティーサービスを統括。TLPTやインシデントレスポンス、監視高度化など、サイバーレジリエンス関連サービスをリード。

 人工知能(AI)を使った監視(モニタリング)について、齊藤氏は、「有効な手段になり得る」としつつも、「ツールを正しく使う必要がある」とも述べる。また、 ソフトウエアが最新のものに更新されていなかったために、セキュリティーホールを突かれた事例を紹介。さらに、ツールだけに依拠するのではなく、「基本的な行動をはじめとしてセキュリティを組織全体に浸透させることが重要」と、組織としての意識を高く持ち、全社的な対策を進めることが大切だと強調した。 

 KPMGコンサルティングの執行役員パートナーで対談のファシリテーターも務めた薩摩貴人氏は、近年、企業の中で内部不正に関する取り組みが浸透していることを指摘。「内部不正は正規の権限を使うケースがあり、ブロックできないケースが多く、(モニタリングによる)検知に頼るしかない。サイバーレジリエンスにはこうした製品(ソフトウエア)をうまく活用することが非常に重要な観点になっている」と語った。