みずほフィナンシャルグループ 執行理事 情報セキュリティ担当(グループCISO)の阿部展久氏 (撮影:川口紘)

 サイバーセキュリティは、絶えず変化する攻撃者との終わりのない戦いだ。みずほフィナンシャルグループのサイバーセキュリティ体制は、基礎固めを完了し、グループ・グローバルでの管理体制を強化している段階だという。同社のサイバーセキュリティは今後どのように進化していくのか。執行理事 情報セキュリティ担当(グループCISO)の阿部展久氏に話を聞いた。

手口が巧妙化・高度化するサイバー攻撃、国内外から対策への要請が相次ぐ

――みずほのような金融機関へのサイバー攻撃は、どういう手法で行われるのでしょうか。

阿部 展久/みずほフィナンシャルグループ 執行理事 情報セキュリティ担当(グループCISO)

新卒で銀行に入行、法人・個人のお客さまを担当。その後、個人のお客さま向け商品・サービスの開発、経営企画等の本部部署を務めた後に、みずほ銀行長野支店長として北信・東信地域を担当。2015年から新設のFinTech専担組織であるインキュベーションPT長(後のデジタルイノベーション部長)を担当。その後、監査業務部長、執行役員業務監査部長として内部監査業務に携わり、2022年4月より現職。
-----
好きな言葉:「本気ですれば大抵のことができる。本気ですれば何でもおもしろい。本気でしていると誰かが助けてくれる」。大分県出身の社会教育家・社会運動家である後藤静香氏の言葉です。セキュリティを生業にしていて、いつも何か問題が起きたときのことを考えていたら身が持ちません。そんなことは考えずにただ一生懸命やっていると意外と面白い。技術的なチャレンジもあるし、コミュニティに貢献し続けていればコミュニティからの助けもある。今の持ち場、目の前のことに真剣に向き合って取り組むことこそが大事だということを肝に銘じるようにしています。
注目する企業:トライアルカンパニー 競争の厳しい流通・小売業界においてAIやITを内製・駆使して変革にチャレンジしている企業です。
お薦めの書籍:『星野リゾートの教科書 サービスと利益 両立の法則』(中沢康彦著)。企画・構想時に頭の整理が必要な時などに、「定石」に立ち返るための参考書としています。

阿部展久氏(以下敬称略) サイバー攻撃者は、私たちがお客さまからお預かりしている金銭を狙おうとします。しかしながら、金銭を預かっている以上、金融機関側も厳重な防衛策を講じています。そうすると攻撃者は、狙いをお客さま側に変えます。例えば、お客さまの口座を通じて不正送金を行うといった手口です。

 また最近では金融機関もクラウドサービスなどを利用していますので、クラウドサービスやサードパーティなどの経路を使ったサイバー攻撃を仕掛けてきます。つまり金融機関につながっているお客さまやサプライチェーン、バリューチェーンの弱いところを狙ってくるのです。

 インターネットバンキングによる不正送金は、2022年の秋ごろにも急増しました。金融機関側が対策を講じたことで一度は収まりましたが、2023年に入ってからまた増加傾向にあります。まさにいたちごっこです。

 みずほにもこうしたサイバー攻撃の巧妙化・高度化の余波があります。従前は言葉の壁もあって海外から日本への攻撃は少なかったのですが、そのハードルが下がってきていますし、利用しているSaaS(Software as a Service)等のサードパーティへの攻撃も増えてきました。

 こうした状況を鑑み、各国政府やG7サイバー・エキスパート・グループからセキュリティ強化の要請が出ています。国内では、2021年9月に「サイバーセキュリティ戦略」が閣議決定されましたが、ここでは「Cybersecurity for All」という旗印のもと、「DX with Cybersecurityの推進」が掲げられました。DXを推し進めれば、攻撃者が攻撃可能な面が増えていくわけですから、DX推進と合わせてサイバーセキュリティにも目配りし同時推進する必要があるというわけです。

各所からのサイバーセキュリティ強化の要請。G7からはランサムウェアやサードパーティへの対応強化を、国内でもサイバーセキュリティ戦略本部から、経営の重要事項としてサイバーセキュリティに取り組むことを求められている。
拡大画像表示