金融分野でのセキュリティ対策の現状と課題、提言を紹介(PwC) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

金融分野でのセキュリティ対策の現状と課題、提言を紹介(PwC)

調査・レポート・白書 調査・ホワイトペーパー

プライスウォーターハウスクーパース株式会社(PwC)は8月26日、メディアセミナー「金融分野における諸外国のサイバーセキュリティ規制・対策の動向と国内の展望~国内金融機関が取り組むべき3大重点課題~」を開催した。これは、同社が金融庁の依頼を受けて2015年3月に公開した報告書「諸外国の金融分野のサイバーセキュリティ対策に関する調査研究報告書」を元に、その内容を紹介するもの。

同社サイバーセキュリティセンターのマネージャーである矢野薫氏は、「海外先行事例に学ぶサイバーセキュリティの潮流」として、金融機関におけるサイバー攻撃と対策の課題、海外の金融分野のサイバーセキュリティ対策、サイバーレジリエンスの強化について紹介した。2014年の日本国内におけるインターネットバンキング不正送金の被害件数は1,876件、被害総額は29億円を超えた。これは前年比で約2倍、前々年比では約60倍と急増している。

矢野氏は代表的なインターネットバンキングマルウェアとして「GameOverZeus」「VAWTRAK」「CARBANAK」を挙げ、特にCARBANAKは金融機関の従業員を標的としていることが特徴的であるとした。また、金融分野におけるサイバー攻撃の対象として、「金融機関の情報漏えいを狙った攻撃」「金融機関の機能停止を狙った攻撃」「金融機関の利用者に対する攻撃」の3つがあるとし、重要インフラの中でも複雑で範囲が広いことが特徴とした。

海外の状況としては、米国、英国、韓国、EUについて説明した。米国では従来から米国連邦金融機関検査協議会(FFIEC)がITハンドブックおよび認証ガイドラインを提供しているが、サイバー脅威の増加に伴って米国大統領令 第13636号を発令、NISTが重要インフラのサイバーセキュリティを強化するフレームワーク(CSF)を発表している。

英国では、政府機関の主導で企業にサイバーセキュリティ対策などを働きかけていることが特徴だという。主なものとして、ビジネスイノベーション技能省(BIS)により上場企業350社(FTSE350)を対象に行われる調査「ガバナンスヘルスチェック」や、外務省に属する情報機関「政府通信本部(GCHQ)」の情報セキュリティ部門である通信機器セキュリティグループ(CESG)によるガイダンス「サイバーセキュリティに関する10ステップ」を発表している。また、国営組織や民間非営利団体などにより「ガバナンスヘルスチェック事後指導」や「CREST脆弱性テストフレームワーク」なども開始されている。

韓国では、過去に政府機関を含む大規模なサイバー攻撃を経験していることから、国家および金融業界での組織的な取り組みが進んでいる。たとえば、金融委員会(FSC)による金融機関のサイバーセキュリティ保護のための強化策では、規模などによりCISOの設置を義務づけている。また、金融機関の取るべきサイバーセキュリティ体制として、IT担当者数を全従業員数の5%以上、そのうち情報保護担当者数はIT担当者数の5%で構成すること、またITセキュリティ予算はIT予算総額の7%とするよう規定されている。

EUでは、2004年にサイバーセキュリティ対策の専門機関として、欧州ネットワーク情報セキュリティ庁(ENISA)を設立したほか、EUの各関係機関のITセキュリティ専門家による「CERT-EU」の発足、ユーロポール内に欧州サイバー犯罪センター「EC3」の開所、越境データ保護を含む「データ保護規制」の適用(予定)などの取り組みがある。

同社サイバーセキュリティセンターのパートナーである山本直樹氏は、「国内金融機関が実践すべきサイバーセキュリティ対策のポイント」を紹介。はじめに金融庁のサイバーセキュリティ強化に向けた取り組みを紹介した。また、その対策推進には「情報共有機関などの活用(官民連携)」「サイバーセキュリティ人材の育成」「サイバーインシデント対応演習の反復」の3つが重要であるとした。

情報共有においては、単独の金融機関による対策は限界に来ており、外部の情報共有機関と連携し、サイバーセキュリティの情報収集や情報共有に取り組んでいくことが求められるとした。具体的な例として、山本氏は米国の「ISAOs」を挙げ、情報収集や情報共有体制の構築における考慮点を紹介した。

セキュリティ人材不足も深刻であり、CISOが不在のまま現場レベルでCSIRTが運営されている状態は、企業として経営責任を取っていないと見られても仕方ないと指摘した。内部育成や外部活用のメリット、デメリットを考慮した上で、セキュリティ人材を早急に確保し、サイバーセキュリティ対策を推進すべきとした。

サイバーインシデント対応演習の反復については、JPCERT/CCと金融ISACの協働により2014年10月に実施された国内初の金融機関共同サイバー演習「Marunouchi Dawn 1」では6社だった参加金融機関が、2015年8月に実施された金融ISACによる本格的な業界合同サイバー演習「Fire 2015」では60社に拡大していると紹介。関係機関と連携した実践的な演習が重要であるとし、さらに反復することで対応力を強化できるとした。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

調査・レポート・白書 カテゴリの人気記事 MONTHLY ランキング

  1. 最も多くパスワードに使われた日本人女性の名前

    最も多くパスワードに使われた日本人女性の名前

  2. セキュリティ意識の高まりから長いパスワードが新たにランクイン、2015年版「最悪のパスワード」を発表(SplashData)

    セキュリティ意識の高まりから長いパスワードが新たにランクイン、2015年版「最悪のパスワード」を発表(SplashData)

  3. 「WannaCry」はビジネスを回復不能にする「DeOS型攻撃」の出現を示唆(シスコ)

    「WannaCry」はビジネスを回復不能にする「DeOS型攻撃」の出現を示唆(シスコ)

  4. IoT機器への不正アクセスが目的と思われる、MQTTによる探索行為が増加(警察庁)

  5. 2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)

  6. 3月の「Apache Struts」の脆弱性に最大1日40万件超の攻撃を検知(日本IBM)

  7. 平日と土日で変わるサイバー攻撃傾向~フォーティネット調査

  8. 「WannaCry」などのインシデントを防ぐには、アップデートと設定見直しが鍵(ラック)

  9. Facebookの“いいね”機能を乗っ取るマルウェアが急増--四半期レポート(マカフィー)

  10. ネット検索リスクの高い有名人、38位にジャッキー・チェン(マカフィー)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×