金融サービスのセキュリティ向上に何が必要か

Fintech協会がセキュリティ分科会を発足

栗原 雅／2021.1.12

　一方、2017年に改正銀行法が成立したころから、APIセキュリティの議論を主導するのは、電子決済等代行事業者協会へと徐々に移っていきました。そうしたこともあり、フィンテック協会としてはAPI・セキュリティ分科会の取り組みを次のステップに進めるために、活動の方向性を検討していたところだったのです。

――そんな折にNTTドコモやゆうちょ銀行の“事件”が起きた、ということですか。

不正事案の情報共有を促進する

肥後　決済サービスを巡る一連の事案が、分科会を早期に立ち上げるきっかけになったことは確かです。ただし、誰に責任があったのかといった直接の議論をするつもりではありません。セキュリティ対策は互いに競争する領域ではなく、協調しながら高度化を図るべき領域だと考えているからです。

　実施すべきだった対策はあったはずだし、今後実行できる対策は銀行側はもちろんのこと、フィンテック企業側にもあるでしょう。だからこそセキュリティを底上げしていくうえで、誰が悪いのかという議論ではなく、どのような対策を講じていく必要があるのかを前向きに検討を重ねていく。そういう分科会にしていきます。

――分科会はどのような活動を具体的におこなっていきますか？

肥後　2020年9月下旬に分科会の準備会合を開催し、どのようなテーマを扱うかを意見交換しました。そのなかで、フィンテック企業や金融機関のニーズが高そうなテーマは見えてきました。とりわけ重要だと考えているのが、不正事案に関する詳しい情報の共有です。

　セキュリティ対策は競争領域ではなく協調領域です。ところが、セキュリティを脅かした事案の詳細な情報は、トラブルを引き起こしたり、トラブルに見舞われたりした企業の中に閉じてしまいがちです。明らかにしたくないといった思いは理解できます。情報を公開することで模倣犯が出てしまう、といったリスクも想定されます。

　しかし、金融サービスにおける犯罪は年々、高度化してきています。ある企業が不正の被害を受けると、同じ手口の不正が次から次へと、極めて短い時間で広がっていきます。限られた情報に基づいて対応しているような、従来のセキュリティ対策の枠組みでは、もはや対応し切れません。セキュリティ対策を底上げするには、不正の手口や被害拡大に関する詳しい情報、不正のために使われた電話番号や住所などを、関係する業界や企業が共有する枠組み作りが不可欠です。

　枠組みを具現化するアイデアはいくつかあります。現時点でまだ何も決まっていませんが、金融機関の間でサイバーセキュリティに関する情報を共有・分析している金融ISACや、さまざまな業界の間でサイバーキュリティ関連の情報を共有して被害の拡大防止に取り組んできたIPA（情報処理推進機構）など、すでに稼働している枠組みと連携できないかを模索していきたいと考えています。