この記事は2022年8月1日に「The Finance」で公開された「Fortinet 金融DXセキュリティ Summit 2022~金融DX事業を支える新しいセキュリティ デジタルプラットフォームとは?~」を一部編集し、転載したものです。
フォーティネットジャパンは、2022年6月29日(水)に金融業界のお客様を対象とした「Fortinet 金融DXセキュリティSummit 2022」を開催した。
日本の金融業界では金融DX(デジタルトランスフォーメーション)が推進され、変化する市場やビジネス要件に対応するために、デジタル技術をビジネスのさまざまな面に統合して新しい事業価値や顧客体験を多く創出しようとしている。新しい顧客体験や事業価値を創出するにあたり金融機関は他社や異業種との連携を通じて新たなデジタルプラットフォームが必要となっている。
一方、DXを通じた顧客体験の高度化、デジタル化の進展とそれにともなうチャネル戦略の練り直しなどが優先される中でセキュリティの脆弱性を無視することはでききない。本セミナーでは金融業界に必要な新しいデジタルプラットフォーム(ITインフラ)とセキュリティのあり方ついて紹介した。
目次
「金融機関の持続成長を支えるデジタルプラットフォーム / エコシステムのオプションと期待価値」
EY ストラテジー・アンド・コンサルティング株式会社 パートナー
今後のさらなる外部環境の変化に伴い、金融機関の持続成長と顧客に対する新規の価値創造を実現するためには、各社ともエコシステム型ビジネスモデルの形成が重要なテーマとなってる。
エコシステムのビジネスモデルも複数の異なるタイプと特性があり、各社の経営戦略を効果的に実現するためにはそれにあわせた適切なエコシステムを構築・運用を選択する必要がある。本講演では、各エコシステムビジネスモデルの特徴と適用パターンを説明する。
<メガトレンドの全体像>
社会・人口動態の変化やテクノロジーの深化、気候変動への対応等、金融機関を取り巻く環境が大きく変化する中、特に社会・人口動態の変化によってもたらされる消費者の価値観・期待値の変化が大きなインパクトとなっている。新型コロナウイルス感染拡大の影響を受け、消費者の振る舞いや行動がニューノーマルに変化し浸透している。
また、昨今のスマートフォンやSNSの普及を受け、顧客体験価値への期待も上がっており、金融機関の従来型プラットフォームに対する不満を持つ消費者も存在している。
テクノロジーではデータ利活用がAI・IoTを中心に発展しており、さらにクラウドによってビジネスがよりオープンなプラットフォームへ移行している。スタートアップ企業が専門性を武器に異業種へサービスを提供する動きもある中で、既存の金融機関がどう立ち向かうかが問われている。
社会問題や環境・気候変動問題への金融機関の対応へも期待が高まっている。例えば新型コロナウイルス感染拡大の影響で失業した方への就業不能保険等、保険の社会への貢献を期待する声も多く見受けられている。
<マーケットシナリオとエコシステム>
今後のマーケットシナリオとして、8つの視点からビジネスに与える影響と対策を考えることで、新たな戦略を構築していく必要がある。金融機関にとって最も重要なシナリオは、デジタル化の進展、デジタルネイティブの台頭、データ流通の本格化だ。データを元に顧客を理解し、いかに価値のある顧客体験を提供できるかが重要になってくる。
データを武器にした異業種から金融業への参入も活発化している。データを収集するプラットフォームを備えた新規参入企業に対して、既存金融機関が真正面から戦うのは厳しいことから、今後打ち手をどうするかが問われてくる。
この場合、自社だけで完結するモデルは現実的ではなく、消費者の新たなニーズに対応し、強力な異業種の競合に勝つためには、エコシステムの形成は必須である。エコシステムを通じた商品・サービス提供を行うことにより、既存金融機関は消費者に一層多くの価値を提供できるようになる。
エコシステムの方向性は「Rich Experiences model 型エコシステム」と「Centralized Hub model 型エコシステム」の2種類がある。
「Rich Experiences model 型エコシステム」は、一連のバリューチェーンにおける顧客接点に活用するケースであり、既に保有しているコアな商品・サービスをプラットフォーマーへ提供するといった例が挙げられる。
「Centralized Hub model 型エコシステム」は中央のハブを経由して、複数のファイナンス製品・サービスを展開していくモデルとなる。この2つのモデルが欧米では日々進化している。
<事例1>
中国のあるプラットフォーマーは保険ビジネスを展開しており、「Centralized Hub model 型エコシステム」に該当する。このプラットフォーマーは健康に関する一連のカスタマージャーニーの全てを提供し、ハイクオリティの保険サービスや様々な付加価値を提供することにより、CX向上を実現している。医療保険などの従来の保険サービスに加え、法人向けの金融サービス、個人向けの家庭健康サービスなどの付加価値サービスも組み合わせた顧客価値を提供する仕組みである。
<事例2>
日本国内の大手生命保険会社では、これまでは自社内で全てのバリューチェーンを構築し、レガシーシステムを操作することで自社のチャネルで自社の商品販売を行っていたが、今後はエコシステムを構築しないと生き残れないとの認識に至った。これまでの既存チャネルではリーチできない若年層に対しては、デジタルを活用し安価な保険商品を簡単に購入できるような仕組みを作り、その先として自社の収益性の高い商品へと繋げている。
さらに疾病予防・健康増進サービス提供のためには自社だけでは限界があるため、スタートアップ企業と協業も行っている。また、システムのインターフェースも簡単にするために、オープンAPIのプラットフォームへ移行している。
<保険のエコシスムモデルの方向性:Insurtech投資・資金調達>
エコシステムのモデルは、銀行・証券・保険の業態の中でも保険業が欧米で最も深化しており、保険にフォーカスして今後のエコシステムモデルの方向性を触れていきたい。
Insurtech投資は新型コロナウイルス感染拡大の影響で2020年に一時低下するものの、2021年は5年前と比較すると投資額が5倍となり、過去5年間のCAGR(年平均成長率)は53%と好調に推移している。
特に欧米では、新しいデジタル保険会社、Insurtechスタートアップ企業が増えており、保険会社と敵対するのか協業するのかが、今後5年10年での生き残りの一つの打ち手となってくる。
2021年 Insurtech 資金調達額Top10企業(生命保険/損害保険)は1位から順に、Integrity Group Holdings Limited(豪)、Devoted Health, Inc.(米)、wefox Group(独)、Bought By Many(英)、Collective Health(米)、ACKO(印)、Alan(仏)、Coalition(米)、CarDekho(印)、Clearcover(米)である。(*1)
10社の特徴として、専門的なものに特化したデジタル保険会社もしくは、保険代理店として自社の顧客に対して新たな専門性の高い商品を提供できるプラットフォームを作っている。大手保険会社が新たに行おうとすると時間もスキルもかなり必要となるため、欧米ではInsurtechスタートアップ企業とエコシステムを組み、お互いのビジネスにないものを補完していくことが主流となっている。
医療保険や自動車保険の分野へのInsurtech企業やデジタル保険会社が急激に増えている。
保険会社や代理店等向けに、AIやビッグデータ等を活用したプラットフォームを提供している。累計調達額3位のOscarは保険会社ではあるが、病院や医者に対してサービスを提供している。医療費を削減する取り組みにより、収益を上げていくことを狙っている。
Updated on 2021年12月21日, Sorce: CBInsights, EYAC analysis
<保険のエコシスムモデルの方向性:Insurtechへの投資形態>
欧米の保険会社では、Fintech及びInsurtech企業とのパートナーシップを作り、エコシステムを形成することが主流となっている。また、保険会社が自社で創設したCVC(コーポレートベンチャーキャピタル)を通じて育成し、ビジネスとして熟した際に自社のビジネスモデルに組込むことも行っている。
当然のことながら、各保険会社は独自の投資分野を持っているが、健康、モビリティ、データ、サイバーセキュリティなどの垂直分野には共通の焦点が当てられている様子だ。他業界との連携がますます重要になり、従来のバリューチェーンを根本的に再設計し、新しいタイプのパートナーシップを構築する必要がある。
デジタル分野においては、AI、IoT、クラウド、オープンAPIといった技術をもったスタートアップ企業を保険会社が自社のエコシステムへ組み込むことが2018年ごろから急増している。
一方、今まで流行ってきたブロックチェーンはビジネスケースが少ないことから投資額は減ってきている。これからの大きなトレンドとしては、大手の保険会社が「AI、IoT、クラウド、オープンAPI」等への投資を増やし取り組んでいくことになると考えられる。
<保険のエコシスムモデルの方向性:マーケットプロファイルからの示唆>
このような状態において、消費者のニーズはコロナ禍を経て多様化が進んでいる。さらに、技術の進化によりビジネスの様々な要素が非対面・デジタルに置き換えられ、異業種参入も非常に活発である。保険会社は保険業界の未来形態を探索しているが、今まで通り自社のなかでコスト削減等を努力する動きと、自社だけでは限界があるとして他社との協業を進める動きの2つの方向性が見受けられ、欧米の保険会社では後者が主流となっている。
消費者のニーズの変化への対応としてデジタル化が進むことにより新たなリスクの発生、またサイバーアタックのリスクも増えることから、欧米の保険会社ではデジタル保険会社やスタートアップ企業とエコシステムを形成し自社で賄えない部分を補完しながら新しいリスクに対する保険商品を生み出している。
エコシステム自体についても金融だけで完結するのではなく、自動車、ヘルスケア、不動産といった別のエコシステムとどうつながるかが、今後の金融機関が生き残るための戦略オプションの1つである。
「ヨーロッパの金融機関におけるデジタル化とリスク、今後の動向」
EMEA Field CISO
ヨーロッパにおいて金融機関は様々な環境、状況に応じて事業継続の力が求められている。また新たなビジネス機会創出を求めてデジタル化を進めている。しかしながら新たなビジネスの創出には多くのリスクが存在していることも否定できない。このセッションではヨーロッパの金融機関におけるデジタル化とセキュリティについて最新情報を紹介する。
<ヨーロッパで加速するデジタル化>
機敏なフィンテックが市場を拡大するなか、ヨーロッパの銀行はパンデミック以前からデジタルジャーニーの真っ只中にあった。デジタル化には若い世代を取り込む目的もあり、その好例がユニコーンのRevolutsで、その他にも様々な次世代型銀行がある。一部の銀行はそれに対抗する形で、この世代に向けた事業部門を創設し、独自のサービスを作り出した。
例えばJ.P.モルガンはモバイルアプリに特化したチェース銀行を生み出した。BNPL、いわゆる後払い決済もビッグトレンドの影響を受けた。
フィンテックが最前線にいることは明らかで、伝統的な銀行はデジタル機能を獲得もしくは開発している。銀行はデジタルジャーニーを歩んでいるが、次世代金融と同じスピード感で動くのに苦労しているため、結果は様々だ。リテールバンキングでは顧客のデジタル体験に焦点を絞っているため、支店数が減少している。
デジタル体験が重要なのは、銀行がデジタルチャネルを増やす方向に舵を切ったからだ。つまり顧客がデジタル製品やサービスにどれだけ接しているかを測定することが重要となる。
銀行は業務効率化のため、クラウドを多用している。費用は使った分だけ支払えば良く、AIや機械学習などのプラットフォームにもアクセスできる。クラウドプラットフォームの消費の増大と膨大なデータ利用もトレンドとなっており、規制当局の懸念材料だ。
<これまでに発生したサイバーセキュリティの脅威>
脅威の観点からランサムウェアを見ると、今が最盛期だ。ランサムウェアを使えば、スキルの低い犯罪者でも破壊力の高いツールにアクセスできる。特に銀行業界が標的になっており、RaaSを使えばスキルが低くても大規模組織に大きな影響を及ぼす侵入攻撃ができてしまう。
最も危惧しているのは、国家が主導している、高度かつ持続的なサイバー犯罪だ。今年に入って金融業界では多くの攻撃が発生した。特にウクライナへの軍事侵攻により、侵攻初期には預金の引き出しも取引もできなくなった利用者が続発した。金融は国の重要なインフラであることを認識しており、国家に雇われたハッカーが破壊しようとするのだ。
AIの兵器化も懸念されるポイントで、犯罪者がAIを組織攻撃のための予備調査に使っている。1年ほど前、ある銀行の支店長に銀行のCEOと思われる人が電話をかけてきて、ある組織に資金を供与するよう命じた。後日、その電話はなりすましであったことが判明した。犯人は音声データを利用してCEOの声色を真似ていたのだ。このようなディープフェイクを利用する犯罪は急増しており、AIや機械学習の悪用、アルゴリズムの改ざんなどを懸念する論文が金融業界から提出されている。
<FortiGuard Labsが提供するデータについて>
FortiGuard Labsは、Fortinetセキュリティパブリックに実用的な脅威インテリジェンスを提供しているチームだ。世界中のセンサーネットワークで1日1,000億件以上のイベントを解析し、データを生成している。フォーティネットのお客様の安全が常に保護されるよう、チームはデータを用意してFortinetセキュリティポートフォリオに提供する。
今画面に表示しているレポートの主題は 、FortiGuardセキュリティサービスだ。クリプトマイナーへの攻撃が相変わらず多いが、オフィス文書にマルウェアを添付する攻撃も多く見受けられる。セキュリティの強度は1番弱いリンクで決まるという格言があるが、いくらテクノロジーが優れていても、社員教育不足だと社員がオフィス文書をうっかりクリックしてしまうことで組織は侵入攻撃を受ける。
IPS FortiGuard セキュリティラボのレポートを見ると 、2021年はLog4Shellが使用されたケースが圧倒的多数だったが、2017年以来の脅威であるDoublePulsarも使用された。金融業界としては現在の脅威からは常に保護されているが、前回や過去の脅威からも保護されているかを確認する必要がある。
<FinCyber プロジェクト>
FinCyberのプロジェクトでは、金融機関で発生した侵害イベントにフォーカスし、何が起きているかを調べて情報を照合し、侵害に対処するための最善の行動方針に関する文書を作成している。それぞれの侵害が国家主導のものかが分かる貴重なデータであり、興味のある方はぜひご覧いただきたい。
金融機関はデジタル化の取組によりサイバー攻撃者にとって価値の高い格好の標的となっている。厳しい規制を課している世界の当局が、毎日のように侵害やその他の脅威に直面しているのがその証拠だ。銀行は巨大組織のため、受け身のサイバーセキュリティから攻めのサイバーセキュリティへ移行することが難しい。アタックサーフェスは常に拡大しつづけ、テクノロジーも進化し続けている。規制も厳しいため、財務データや個人データの利用方法が問われているのだ。
<サイバーセキュリティの課題>
競合も多数存在する業界で金融機関が競争力を維持するには、コストを管理し、業務効率を最適化する必要がある。一方でネットワークエッジの保護も必要だ。クラウドも集中リスクがあるため、複数のプロバイダを利用する必要がある。金融機関は世界中の全ての人を保護する必要に迫られている。
アプリケーションのセキュリティも課題だ。金融機関がデジタル化に舵を切ると、自社内でアプリケーションの開発に着手し始めるだろう。セキュリティの観点からは、開発者がコードを書いてからサービスリリースまでセキュリティを保護する必要がある。
セキュリティ規模の拡大も大きな課題だ。例えば英国は標的になる回数が異常に多く、セキュリティ運用センターとネットワーク運用センターは山ほどの侵入イベントを受信し、職員がうんざりすることから離職率も高い。攻撃側はAIを使うが、防御側もAIでセキュリティ運用を拡大する必要がある。
<セキュリティドリブンネットワーク>
セキュリティ規模拡大とセキュリティドリブンネットワーキングは、フォーティネットがミッションとビジョンに従って実行してきたことの最前線だ。昔からネットワーク機器は危機意識に欠けており、当社の創業者はセキュリティドリブンネットワーキングによって、そこに活路を見出した。当社のセキュリティドリブンネットワーキングは事業の心臓部である。
セキュリティドリブンネットワーキングを実現するため、A地点からB地点へパケットを転送するだけの機器を、実用的なセキュリティデータで強化することが、当社のセキュリティドリブンネットワーキングのビジョンだ。
<3つの重要なポイント>
第1に、金融業界では驚異の状況が急激に悪化している。持続的な犯罪や国家主導の犯罪がまん延しており、AIの兵器化が大きく取り上げられている状況だ。脅威から身を守るには、何が起きているかをしっかり理解する必要があり、豊富なデータの活用が鍵を握る。
2つめはセキュリティドリブンネットワーキングで、ユーザーをネットに接続させると同時にセキュリティデータで強化する必要がある。
3つめはセキュリティベンダーとセキュリティ製品の連携だ。従来から金融機関は各ベンダーから製品を購入するが、通常ベンダー同士が会話することはない。1つのベンダーで全てを賄う必要はないが、互いに会話することの重要性が分かっている少数のベンダーから選ぶことが重要だ。
「金融DX推進を支えるITインフラとは~CX向上のITインフラ戦略~」
マーケティング本部フィールドCISO – エンタープライズ
金融 DX 推進を加速させるためにはクラウド活用を促進させると共に、クラウドとオンプレミスに分散されたリソースをセキュアに連携させ、顧客体験向上を図れる ITインフラが必要となる。本講演では、金融DX推進を支え、顧客体験を向上させるITインフラ戦略に必要な要素について説明する。
<フォーティネットとは>
フォーティネットはNetScreen Technology社の創業者でCEOを務めたケン・ジーが2000年に創業した会社だ。当初は統合型の脅威管理製品を提供していたが、現在はネットワーク機器からセキュリティ全般まで取り扱う。
ID・アクセス管理やアクセスポイント、ゲートウェイ、クラウドセキュリティなど、ほぼ全てのセキュリティを網羅している。取り扱う製品は50以上に及び、フォーティネットのセキュリティ・ファブリックの形で、フォーティネットOSをプラットフォームとして全体として連携している。
業績も好調で、米国株価指数であるNasdaq100とS&P500ともに、構成銘柄として採用された。ASICを独自に設計・開発しているのもフォーティネットの特徴だ。これによりハイパフォーマンスの製品を提供し、特許も数多く取得している。
ポジショニングに関しては、世界で最も導入されているファイアウォールである。IDCの市場調査ではファイアウォールの全出荷台数の3分の1以上がフォーティネットであり、トップシェアを獲得している。ガートナー社のマジックアワードにおいては、SD-WANとネットワークファイアウォールの両方において、リーダーの1社として認められた唯一のベンダーだ。
<不確実な時代のDXとサイバーセキュリティ>
COVID-19パンデミックにより非常事態宣言が発出され、テレワークの要請、3密の回避、マスク着用などが要請された。消費者行動やビジネス活動に大きな変化をもたらした。
非対面での営業サービスの提供、非接触型のデバイスの活用、在宅勤務の拡大といった形で、ビジネスプロセスの大きな変化に対応しなくてはならなくなった。クラウドサービス、スマートデバイス、リッチコンテンツなどの活用で、デジタルトランスフォーメーション(DX)が進み始めた。パンデミックにより予測不可能な時代になってきている一方、データ駆動型ビジネスも国内で浸透しつつある。
不確実な時代でDXを推進するには、迅速な意思決定とリスク抑制の両輪を回していかなくてはならない。意思決定について具体的には、現状観察、仮説構築、意思決定、実行の4つの要素で構成される「OODAループ」を回していくことになる。
リスク抑制に関しては、サイバーレジリエンスの強化が必要だ。デジタル技術に対するセキュリティの監視を行い、問題が発生したら改善することで、サイバーレジリエンスを高めていく。
この両輪を回すことにより、5つの変革が起こる。特に顧客の変革(CX:カスタマーエクスペリエンスの向上)が重要なポイントで、顧客に加えてパートナーや従業員とのエンゲージメントも高めていく必要がある。
<金融DXによる新たなデジタルエコシステム>
金融DXにおいて顧客の期待も多様化しており、シームレスなデジタル製品の提供、パーソナライズされた体験を求めている。一方で各国の当局による法規制があり、各種ガイドラインやプライバシー法等に対応しなくてはならない。フィンテック、レグテックといった市場力学にも対応する必要がある。
今後の金融市場はBaaS(Banking as a Service)やBaaP(Banking as a Platform)といった、プラットフォームベースのモデルを介した新しい金融サービスの提供が進むだろう。異業種連携やイノベーションの促進には、機敏性・拡張性・強靭性・効率性・迅速性が必要となる。その実現のためにクラウドが中心的な役割を担う。
<今後求められるIT基盤>
DXやCXを向上させる取り組みを推進するには、ロケーションを問わずにリソースを利用できる環境を整えなくてはならない。よってリソースを活用するユーザーやデバイス、場所は多様化することになる。アプリケーションにおいても、リソースの配信はオンプレミス環境からマルチクラウド環境へと分散させていく結果、分散型エンタープライズシステムが出来上がる。それらが使っているデータをうまく連携させることが、今後求められるIT基盤だ。
必要な要素は3つあり、まずビジネスニーズに俊敏に対応できる拡張性だ。2つめはあらゆる形態のインフラに渡る可搬性、3つめは一貫性のある運用で信頼性を高め、強靭化を向上させることだ。特にCXの向上においてこれらは重要な要素となる。
<分散型エンタープライズにおける脅威リスク>
顧客・パートナー・社員とのエンゲージメントを強めていくと、外からのアクセスが広がり、リソースもクラウド上に分散されていくことになる。それにより攻撃対象も拡大していき、境界防御だけでは保護できない状態になる。そこでゼロトラストの考えに基づいたセキュリティ対策が必要だ。
全ての通信を保護し、アクセス要求の度に認証・認可を行う。また全ての資産・リソースに対して状態を監視し、インシデントが発生した際にはすぐに改善する。
<ビジネスニーズに対する俊敏性と拡張性、そして信頼性>
クラウドアプリケーションはエンタープライズと異なり、不特定多数による利用が前提だ。ユーザーのコンテキスト情報は基本的に薄い状態にある。そのため多要素認証により、パスワードだけでなく生体認証やリスクベース認証といった情報を集めて認証させ、デバイスにおけるセキュリティ体制も含めてコンテキスト上で監視することが必要だ。これらのテクノロジーはバラバラではなく連携させて動く必要があり、フォーティネットも対応できる。
DevOps環境へのセキュリティも重要だ。クラウドワークロード保護により、データの防御、マルウェアの検知・分析、クラウドアプリケーションの脆弱性の判定といったことをしっかり行う。さらにアプリケーションのマイクロサービス化により、コンテナセキュリティも重要になる。フォーティネットにおいても、それぞれのテクノロジーに対応できる商品を用意している。
<サイバーレジリエンス(リアルタイム検知と自動対処による強靭性向上)>
従来SIEM(Security Information and Event Management)によるログ中心の検知ということで、どちらかというと事後の話で検知をしていた。現在は皆様もお使いになられているようなEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)によって、リアルタイムで検知され、そこで対処されるようになっている。ただしサイバー攻撃が高度化しているため、対処もリアルタイムで行うことが必要だ。
そこでSOAR(Security Orchestration, Automation and Response)というツールを使い、プレイブックに対処法を登録し、攻撃に対して自動対処することができる。ネットワークとセキュリティ統合運用において、全体をまず監視していきながらさらにAIで分析し、何か問題が発生したらSOARで自動対処していく流れだ。
こういったループを回していくことで、サイバーレジリエンスを高めることに繋がる。フォーティネットにおいてもそれぞれのテクノロジーにおいて製品群を提供しており、全てセキュリティ・ファブリックという形で統合連携しながら稼働している。
<まとめ>
最後に本セッションのまとめとして3点お伝えする。1点目に、不確実な時代では常に状況を把握し意思決定を行うOODAループのプロセスによって、リスクを抑制しつつDXを進めることが重要だ。2点目として、金融DXではクラウドが中心的な役割を担うため、ゼロトラストの考えに基づいたセキュリティ対策が必須となる。3点目に、金融DXでCX向上を図るためのIT基盤では、俊敏性・拡張性・信頼性そして強靭性が求められる。
こういった要素を含めたテクノロジーを活用することにより、金融DXの推進がより加速していくと考えている。
「効率的セキュリティを実現する5つの戦略」
副社長兼マーケティング本部長
ネットワーク・セキュリティの新しい潮流を踏まえ、DX を実現するセキュリティ戦略を紹介する。
<金融機関の挑戦>
我々から見た金融機関様の挑戦は大きく分けて2点ある。1つめは市場の変化に合わせた商品・サービスの提供で、新技術やクラウドの活用、外部とのエコシステム構築が鍵となる。もう1つはレガシーシステムの対応で、モダナイゼーション、システム連携・統合、運用自動化がチャレンジだ。
<効率的セキュリティのための5つの戦略>
5つの戦略とは、Align、Utilize、Enhance、Simplify、Don’t Trust(end-to-end)である。このうち最も重要なのがAlignで、ビジネス戦略とのすり合わせ、優先順位付けだ。
例えばクラウドやエコシステムの場合、責任範囲の明確化が重要となる。Utilizeは既存資産の活用でコストを抑えながらよりセキュアに利用する。Enhanceは現在のトレンドであるシステム連携で、人手を介さずシステム同士に任せる。Simplifyは複雑性の排除と自動化だ。セキュリティの観点から見ると最も大きなトレンドはDon’t Trustで、一貫したポリシー、ゼロトラストを意味する。
<セキュリティ展望:戦略的トレンドとテクノロジー>
トレンドとテクノロジーの方向性に関して見るべきポイントは主に3つある。まずは脅威動向でIT環境を取り巻く脅威レベルは毎年危険だが、2022年は特に危険度が圧倒的に大きい。2番目はネットワーキングとセキュリティの収斂・統合(コンバージェンス)で、実行することで運用コストを大きく下げられる。3番目はセキュリティのポイント製品ベンダーの統合(Consolidation)で、セキュアなプラットフォームとして機能できるベンダーを選ぶ必要がある。
<2022年:金融機関でのサイバー・インシデント>
金融機関はサイバー攻撃の標的になっており、2022年だけでも1月から金融グループ、暗号通貨取引所等が狙われた。2月になると戦争関連でウクライナの政府と金融機関を狙った、ロシアからと思われる攻撃が発生した。その後ウクライナからもモスクワ証券取引所とズベルバンクを標的としたDDoS攻撃が行われた。
サイバーセキュリティではこれまで「誰が攻撃主体か」への関心はやや薄かったが、現在は徐々に重要性を増す局面となっている。
<凶悪化するサイバー脅威の動向>
サイバー脅威は主に3つあり、日本では特に情報窃取をするEmotetが注意喚起されている。古いコードで1度ユーロポール等がテイクダウンしたが、再流行してしまった。2番目はランサムウェアで、経済的利得を狙う攻撃だ。サービス型のビジネスモデルがあり、知識のない者でも利用できてしまう。最近被害が増えているのが3番目のワイパーで、インフラの完全破壊を狙うマルウェアだ。国家が主体となった攻撃が出てきている状況で、金融機関も重要なインフラのためワイパーの標的になりやすい。
日本で流行しているのは復活したEmotetで、日本人はメールに文書を添付する仕事のやり方が多いため、被害が広がりやすい。
ランサムウェアは「as a Service」としてコンサルティングやマニュアル完備が行われ、攻撃者自身にサイバースキルがなくても攻撃できる。サイバー犯罪のビジネスモデルとして既に完成している状況だ。
ワイパーは比較的新しい攻撃だが、2022年にウクライナ企業への攻撃が多発したのが特徴的だ。ロシア側のハッカーがウクライナのインフラに壊滅的被害を与え、情報伝達不能にすることが狙いだったと推測される。
<それぞれの脅威への対策>
Emotetやランサムウェアに対しては、ソリューションが揃っている。基本的には導入して注意しながら運用すれば大きな問題はない。一方でワイパーは標準的なソリューションを入れただけでは足りない。
4つの対策が重要で、重要なシステムのバックアップをきちんと取ること、セグメンテーションをして脅威が水平移動しないようにすること、復旧計画や手順が明示的にあること、インシデント・レスポンスの段取りを明確にすることだ。
<ゼロトラストの概念>
セキュリティのプラットフォームに関しては当然ゼロトラストを検討される方が多いだろう。ゼロトラストとは暗黙的に信用せず、明示的にアイデンティティと状態を確認した後にのみユーザーとデバイスを信頼するという考え方だ。
ゼロトラスト戦略はクラウドで行うものと考えられている方もいるが、オンプレミス環境でも実行できる。イニシアチブで実際にプロジェクトを立ちあげる際は、ゼロトラスト・ネットワーク・アクセス、ネットワーク・セグメンテーション、マイクロセグメンテーション、アイデンティティ/認証をしっかり検討することとなる。
ゼロトラストに取り組みやすいソリューションとして、当社のFortiGateで動作するFortiOSがある。FortiOSはネットワークとセキュリティの両方の機能があり、ネットワークのエッジにこのOSのある装置を入れて、必要な機能を有効化すれば、ゼロトラストの実行がしやすくなる。フォームファクターもハードウェアのアプライアンスから仮想アプライアンス、コンテナ、SASE(クラウド)という形で実現できる。お客様が必要とするアーキテクチャにして、同じ機能を提供することが可能で、そこでゼロトラストのポリシーの実行を一貫した形でご提供できる。
またクラウドとオンプレのハイブリッド運用に関しても、双方にFortiOSを採用することにより、ゼロトラスト・ネットワーク・アクセスの実行が容易となる。
<セキュリティポイント製品ベンダーの統合>
前述したConsolidationに関して、ガートナー社はサイバーセキュリティメッシュアーキテクチャ(CMSA)として提唱している。セキュリティ機能を有する製品同士をシステムで繋いでシンプルに運用していく考え方だ。振る舞い検知を利用した攻撃が増えているため、エンドポイントもEDRに移行するお客様も多いだろう。しかしマルウェアが横移動して社内に感染が広がることは起こりうる。
FortiEDRとForiGateはシステム間で連携するため、FortiEDRで検知したマルウェアの通信先であるC&CサーバーのアドレスをForiGateへ自動的に連絡できる。ForiGateは他のPCがそのアドレスにアクセスするのを自動的にブロックできるため、マルウェアの拡散を防ぐことが可能だ。このようにEDRとゲートウェイを連携させることにより、運用が自動化・リアルタイム化され、よりセキュアな状態となる。
<ForiRecon>
ワイパーによる攻撃を受けたときに金融機関がどのように身を守るのかについて、ForiReconという新たなソリューションが有効だ。ReconとはReconnaissanceの略で偵察という意味で、野良クラウドのようなものを含む、エクスターナルアタックサーフェス(外部攻撃対象領域)を発見することができる。
外部からの攻撃対象が拡大している状況で、対象は具体的にどこにあるのか、どこがエクスポーズしているかを発見してリストを作成し、アクションをレコメンデーションする。
2番目の機能はブランドのプロテクションで、詐欺アプリ、ソーシャル・メディア、フィッシングを監視することができる。会社名や製品名を悪用する行為を監視し、ブランドの毀損を防止することが可能だ。
3番目の機能は脅威インテリジェンスのキュレーションで、ダークウェブやオープンソース等の情報を収集・選別・編集することができる。また不正なドメインの排除を目的としたテイクダウンのサービスの準備もある。このようなサービスが今後グローバルで展開されていくことを覚えておいていただければ幸いだ。
2022年8月3日(水)、フォーティネットジャパンは金融DXセキュリティサミット(特別編)をウェビナー形式で開催いたします。PwCあらた有限責任監査法人ディレクター 小林 由昌 氏を基調講演でお招きし、また弊社セッションでも金融DXを加速させるクラウドシフトとセキュリティ対策をテーマに講演いたします。ぜひ以下よりご登録ください。視聴は無料です。
https://global.fortinet.com/apac-lp-jp-financial-security-dx2022
