写真左:ゼットスケーラー Major営業統括本部 金融事業本部 本部長 岡崎修二氏
写真右:一般社団法人金融ISAC理事 大日向隆之氏
※所属・肩書は取材当時のものです。    

「金融分野におけるサイバーセキュリティに関するガイドライン」が2024年10月に金融庁により策定・公表された。国内の金融機関が対応に向けて動き出しているが、このガイドラインをどのように読み解き、どのような施策につなげるべきか。ゼットスケーラーのMajor営業統括本部 金融事業本部で本部長を務める岡崎修二氏が、元三菱UFJフィナンシャル・グループのグループCISOで、一般社団法人金融ISAC理事の大日向隆之氏に聞いた。

形式ではなく、実効性を追求する

岡崎氏:2024年10月に金融庁が策定・公表した「金融分野におけるサイバーセキュリティに関するガイドライン」では、「リスクベース・アプローチ」にもとづくセキュリティ対策や経営陣の主体的な関与が求められています。金融機関はこのガイドラインをどのように受け止めるべきでしょうか。

大日向氏:大前提としては、コンプライアンスチェックのツールにはしないことです。今回のガイドラインは、単なる形式的な遵守項目の提示ではなく、自社のビジネス特性やリスク環境に応じた、実質的かつ効果的な対応を求めている点が大きな特徴です。つまり「やっているように見せる」セキュリティではなく、実際に守れる態勢を構築することが求められています。

 金融機関としては、従来のチェックリスト型の対応に留まるのではなく、リスクの特定・評価を起点としたセキュリティ戦略の再構築をすることが必要です。加えて、経営陣がそのリスクを十分に理解し、優先度を判断した上で、経営資源の配分や投資判断に結びつける、いわば「経営の問題」として取り組む姿勢が問われていると思います。

岡崎氏:具体的な活用方法を伺う前に、一つお聞きしたいことがあります。このタイミングでガイドラインが刷新された背景をどのように分析されますか。

大日向氏:背景にはいくつかの要因がありますが、特に大きいのは、サイバー攻撃の状況がここ数年で質的にも量的にも大きく変わってきたという点です。近年、金融業界を標的とする攻撃の手法は、ゼロデイ脆弱性の悪用など、国家主体の関与も疑われるような高度で持続的なものに移行しており、過去の想定や対応水準では防ぎきれないリスクが顕在化しているのが実情です。さらに、生成AIの活用による攻撃の自動化・巧妙化、また、クラウドや外部委託の広がりによる依存関係の複雑化や責任範囲の不明確化など、従来の統制モデルが現状に追いついていないという構造的な課題もあります。

 こうした背景のもと、形式的な規範遵守ではなく、変化するリスクにも対応できる能力の強化が必要となり、そのためにガイドラインもグローバルスタンダードにも準拠するような形で刷新されたのだろうと理解しています。

岡崎氏:サイバー攻撃に際し、AIが当たり前のように組み込まれ、効率的に脆弱性を感知してそこを攻撃するエコシステムが出来上がっているという印象ですが、従来は、金融機関個別の対応で十分だったのでしょうか。

大日向氏:そうですね。従来の各金融機関による対応にも一定の効果はありますが、最近ではそれだけでは不十分になってきています。攻撃者は防御の隙を見つけて迅速に攻撃を仕掛けることができるように進化してきています。攻撃者側の分業と組織化、またAIの活用などがその背景です。

 金融機関はこれまで以上に資産管理、脆弱性管理やIDアクセス管理(サイバーハイジーンとも呼ばれる)といった基礎的な対策の徹底に力を入れて、防御を固める必要があります。一方で、完全に穴をふさぐというのも現実的ではありません。そうした状況をよく認識し、防御の隙を破られることも考慮に入れて、いかに早く侵入を発見して食い止めるか、被害を極小化して業務を継続するか。そうしたサイバーレジリエンスの能力を備えることも同時に必要になっています。

岡崎氏:今、金融機関を始めとした企業は、多くのITサービスを使っていますが、それぞれが頻繁にバージョンアップしています。

大日向氏:既存のレガシーなITアセットの保守運用に加えて、多くの企業では現場の業務のモダナイゼーションや対顧客サービスのDX推進も同時に進めています。クラウドサービスの利用や外部委託など、IT部門ではなく事業部門が独自に企画開発から保守運用まで管理するケースも増えています。守るべき陣地が分散化して複雑化しているということです。また、セキュリティ対策もパッチワーク化し、統合的な運用をするのも難しくなっています。こうしたITアセットの全体像をいかに可視化し適切に統制を図るか。この課題を解決するには、まず1線の事業部門のリスク認識と対応力を強化することが肝要です。

 欧米の大手金融機関では事業部門にBISO(ビジネスインフォメーションセキュリティオフィサー)という役割が配置されることが一般的で、打ち手として参考になると思います。そのうえで、ITやリスク管理、監査、経営企画や広報、法務、人事など、組織横断的なサポート体制、協業体制を構築する必要があります。ガイドラインで「経営層の積極的な関与」が繰り返し求められているのも、こうした事情が背景にあると考えられます。

ビジネスを理解しなければ、効果的なセキュリティ対策は成しえない

岡崎氏:ガイドラインでは、サードパーティーのリスク管理、つまり自社やグループの中だけでなく、他社も含めたサプライチェーン全体を考慮したリスク管理の重要性も強調されています。ただ、そこまでガバナンスを効かせるのは難しいと感じる金融機関も多いのではないでしょうか。

大日向氏:金融機関はサードパーティーのリスクチェックに従来から相当力を入れて取り組んでいます。ただ、それでもセキュリティ侵害事案が発生している現実をどのように受けとめ、それにどう向き合うか、これは難しい課題です。まずはセキュリティ侵害を起こさないようにすることに加え、それが起きてしまったときにどうするか備えておくこと。この二段構えが大切になるでしょう。

岡崎氏:具体的にはどのように進めるべきでしょうか。

大日向氏:サードパーティーに関して言えば、まず、自社にとって重要なサードパーティーを特定するところから始めるべきでしょう。問題が発生した際に自社の重要業務が停止したり、大量の重要情報が社外に漏えいしたりするなど、深刻な影響が生ずるリスクが高い取引先をまずリストアップするということです。そうした取引先について、平常時の管理態勢や緊急時の対応について、日頃から重点的にコミュニケーションを図って関係性を強化し、共通認識をすり合わせておくことが大切でしょう。

 サードパーティーの例に限らず、もう少し一般的に申し上げれば、こうした「リスクアセスメント」がとても大事だということです。このプロセスの考え方を簡単にご説明すると、まず自社の根幹となるビジネスとそれを支える情報資産の重要性を整理します(固有リスク)。そのうえで、固有リスクが高いビジネスや情報資産をめぐる脅威環境と脆弱性(コントロールの十分性)の情報を加味して、想定される脅威シナリオの発生可能性と影響を評価します(残存リスク)。この残存リスクの評価結果をベースに、このままだとどういうバッドシナリオが発生する可能性が高いと想定されるか。だとしたら、どのコントロールの強化を優先するか。どのようにどこまでやるか。という形で対応方針を考えていきます。

岡崎氏:脆弱性の洗い出しにとどまらず、ビジネスにどのような影響が及ぶ可能性があるのかを把握することが重要ですね。

大日向氏:おっしゃる通りです。経営陣のコミットと経営判断が必要な場面ですから、セキュリティ担当者としては、事業部門の責任者や経営陣が、よりリアルに被害を想定できるようなシナリオを用意し、取るべき対策への理解を得るべきです。例えば「このままであればビジネスにこのようなリスクがあります。だから、このような技術の導入が必要であり、これくらいのコストがかかります」といった形で、具体的にわかりやすく示し、判断を促すのです。

岡崎氏:私たちも、セキュリティやIT部門の方々の危機感や課題感を、ITやセキュリティ部門の出身ではない経営層の方々にもご理解いただけるような説明の支援、そのための可視化・定量化もお手伝いをしているので、とても共感できるお話です。

他の金融機関の取り組みに学び、専門家の知見も生かす

岡崎氏:今後も脅威は複雑化しながら高度化していくのは間違いがないと思いますが、個人的には、その際の金融機関の一番の課題は、セキュリティの知識を持ち、ビジネス全体を俯瞰できる人材の不足ではないかと考えています。大日向さんが理事を務める一般社団法人金融ISACでは、安全性の向上という同じ目的を持つ金融機関が集まり、情報共有もしているそうですね。

大日向氏:皆が同じ課題を抱えていますので、ワーキンググループでベストプラクティスや成功事例・失敗談、不正送金対策など特定のテーマについてもノウハウをナレッジベースとして作成し、共有するなどしています。私が見聞きする範囲でも、各金融機関独自の取り組みの中に、ぜひ共有すべきではないかと感じる事例が多々あります。

岡崎氏:私たちとしても、AIツールも追加しながらセキュリティの高度化を進めるだけでなく、24時間365日体制の監視サービスも含むプラットフォーム構想を持っています。プラットフォーム化を進めることで、先ほどご指摘のあったパッチワーク化による運用の負荷も低減したいと考えています。

 また、全世界で5000万のお客様にサービスをご利用いただいている私たちには知見もあります。同じように防御をしているはずなのに侵害されてしまうケースとそうでないケースとの、設定や運用方法の違いも熟知しています。今後もその知見をフル活用し、金融機関の安全で安心なサービスの提供、金融機関のお客さまの資産の保護の支援に務めてまいります。

Zscalerのウェブサイトはこちら
Zscaler 金融向け特設サイトはこちら

<PR>