この記事は2023年6月23日に「The Finance」で公開された「2023年5月23日開催ONLINE EXECUTIVE CONFERENCE「地域金融機関の未来を見据えたDX推進とセキュリティ対策の在り方とは」<アフターレポート>」を一部編集し、転載したものです。
2023年5月23日(火)、セミナーインフォ主催 ONLINE EXECUTIVE CONFERENCE「地域金融機関の未来を見据えたDX推進とセキュリティ対策の在り方とは」が開催された。
低金利の長期化や人口減少等の構造的要因から地域金融機関の経営環境は今後も厳しさが増すと見通されている。その中で、地域に根ざしたサービス等新たな収益源の確保といった長期的な取組みとともに、短期的に業務・経営効率を改善するDXの推進が求められている。しかしながら、データという経営資源の活用はリスクと表裏一体であり、DXを推進する上で、最新のセキュリティの脅威・リスクと対策方法を押さえておくことが重要となる。
そこで当イベントでは、地域金融機関が今後押さえておくべきセキュリティ対策の考え方や、事例、最新のソリューションについて3社から紹介いただいた。
目次
「複雑化する金融ITインフラに必要となるセキュリティ対策の鍵」
ディレクター
<数字で見るDXを意識した金融分野のITインフラの動向>
金融業界では、クラウドの活用やリモートワークの普及、オープンAPIあるいはマネージドサービスを介したデータ利活用などデジタル技術の活用が急速に広まっている。
総務省がさまざまな業態向けに行った令和3年通信利用動向調査によると、クラウドサービスを利用していると回答した銀行・保険業の割合は89.1%、テレワークを実施しているとの回答は82.4%、ビジネスにおいて個人データを積極的に活用している、あるいはある程度活用しているとの回答は62.3%であった。データ活用については62.3%と他の2項目より低く見えるが、調査対象産業分類中1位であり、クラウドサービス利用とテレワーク導入の割合についても調査対象産業分類中2位であったことからも、金融分野のデジタル化が進んでいることが分かる。言い換えれば、外部依存性が高まっているとも言える。
クラウドサービスの普及は、サービス自体が持つ利便性や、政府のクラウド・バイ・デフォルト原則の流れとともに、ほぼ全ての金融機関が何らかの形で利用している。テレワークに関しては、多様な働き方の提供による労働力確保の観点からの普及と同時に、2021年に金融庁が公表した「ゼロトラストの現状調査と事例分析に関する調査報告書」に代表されるように、ゼロトラスト原則などの普及によりセキュリティ確保可能な選択肢として広がっている。個人データの活用は、金融機関の保有データは再利用価値が高いという特徴から、既存ビジネスの拡大・強化のみならず、金融オープンAPIの普及により外部連携を伴う新しいビジネスモデルの創出での利用も加速している。
日本銀行による金融機関のデジタル化に関する調査結果においても、金融機関における対面型での事務量は減少傾向である一方、デジタルチャネルの事務量は急増しており、今後の見通し調査を見ても、デジタルシフトを進める方針であることが分かる。もはや金融機関において、DX推進は避けて通れない状況となっている。
<デジタルトラストの確保が難しくなっている>
DX推進は相応のメリットがある反面、サイバーセキュリティの観点ではアタックサーフェースが増加している状況であり、サイバーリスクは高まり、リスクの適切な把握と対応が難しくなっている。
クラウドやデータ利活用、リモートワークにおいて、業務委託先や事業提携先との外部データ連携や国内外グループ企業とのデータのやり取りをする機会が多く、境界防御網の外側に存在するIT資産が増加し、アタックサーフェースも増加しているのだ。そのうえ、攻撃手法も高度化していることから潜在的なサイバーリスクは高まる一方、IT資産を守るサイバー人材が質・量の面で不足しており、セキュリティ対策の遅れや人的ミスの増加にも繋がるという潜在リスクをはらんでいる。
2022年にPwCが公表した「第25回世界CEO意識調査」によると、企業の成長見通しに対する脅威について、日本のCEOの回答の1位は新型コロナウイルス感染症などの健康リスク、2位がサイバーリスクであった。世界全体でみると健康リスクを抑えてサイバーリスクが1位であり、グローバル全体でもサイバーリスクが大きくなっているといえる。
<複雑化するセキュリティ対策の鍵>
金融機関において複雑化するITインフラのセキュリティに今後必要となるのが「サイバーハイジーン」と「サプライチェーンサイバーリスク管理」の2つだ。
金融庁が2022年2月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(Ver. 3.0)や同年10月の G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素、2023年4月「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(案)に対するパブリック・コメントの結果等の公表、といった文書においてもサイバーハイジーンとサプライチェーンサイバーリスク管理が重要なテーマに取り上げられており、これらが重要な鍵となると考える。
<サイバーハイジーン>
「サイバーハイジーン」とはサイバー空間の公衆衛生を意味し、社内のIT環境を構成するシステムや機器のセキュリティをきめ細かく実装・設定し、習慣的に管理することで脆弱性を削減し堅牢性を高め、維持することをいう。サイバー攻撃に対して、単に対処療法を行うのではなく、免疫力を高めることを意図している。
クラウドとオンプレミス環境をハイブリッドに活用する企業は、これまで以上に多層防御への意識を高めることが必要になる。新しいセキュリティ製品を導入せずとも、ネットワーク機器、OSなどのIT機器の設定をへ堅牢に実装することで強固なセキュリティ環境を構築できるのだ。具体例として、不要なソフトウェア・コンテンツの削除や不要なサービス・ポートの無効化、ID管理の徹底、ネットワークセグメンテーションの厳格管理、データ・通信の暗号化の徹底などが挙げられる。こういった基本の対策を徹底することがサイバーハイジーンが求めていることであり重要な点である。
国内外金融当局によるサイバーハイジーンへの要求も高まっており、金融庁が公表した先述の取組方針においても「新たなリスクへの備え」としてサイバーハイジーンの徹底を金融機関に促す、と明記されている。また、金融庁幹部はPwCが開催したDigital Trust Forum 2022での対談の中でも、「多くの金融機関では、境界防御に依存の場合、内部対策が不十分なケースもあるのではないか、アクセス権の設定やシステム間の通信制御が厳格に管理できているか、などは検証すべき着眼点である」と述べている。
<サプライチェーンサイバーリスク管理(SCCRM)とその現状>
サプライチェーンを悪用したサイバー攻撃の被害が増加傾向にあり、懸念が高まっている。具体的には、標的とする組織を直接狙わずに、セキュリティ対策が比較的手薄なシステム開発委託先やマネージドサービス・クラウド事業者などの関係組織を踏み台とする攻撃や、幅広く使用されるソフトウェア・ハードウェアの調達先、オープンソースソフトウェアを侵害し、委託元企業に被害をもたらす攻撃などが該当する。
SCCRMの特徴は、広い範囲の管理が求められるという点だ。1次先のサプライチェーンの企業のみならず2次先、…N次先となると金融機関からのリスクの可視性は低下し、統制の難易度は上がる。その一方で、N次先で顕在化した脅威や被害が金融機関にも伝播する可能性があり、これらの管理が今後必要とされている。
SCCRMの取り組み強化は、サプライチェーン経由でのサイバーインシデント対策という観点のみならず、国内外の当局がさまざまな問題提起をしていることから、規制対応・コンプライアンスという観点からも今後速やかに取り組むべき課題領域となっている。
では何が取り組みのヒントになるのか。1つは2022年10月改定・公表されたG7「金融分野のサードパーティリスクマネジメントに関する基礎的要素」である。基礎的要素は、法的拘束力をもたないものの、金融機関には整合した取り組みが必要なベストプラクティスであり、高度化に活用できる。また金融セクターのサードパーティ組織に対しても、自身のサードパーティリスクに関連するICTサプライチェーン管理にこの基礎的要素を用いることが推奨されている。
取り組みのヒントの2つ目はPwCが2023年5月に発表した「海外金融機関におけるサプライチェーンサイバーリスク管理の最新動向」レポートである。これは海外金融機関のCISOなどにインタビュー調査を行い、委託先選定時、契約時のリスク評価、委託先のリスク管理、ソフトウェア・ハードウェア管理、経営層への報告の5つの観点に関する先進的な取り組み事例を紹介したレポートであるため参考にしていただきたい。
<まとめ>
金融機関はDXが進み、守るべき範囲も拡大・複雑化し、セキュリティ対策の難度が高まっている。そのような環境下において、サイバーハイジーンの徹底は境界や内部対策として攻撃防止・被害最小化に効果を発揮する。またサードパーティサプライチェーン先にも、契約・SLAを通じて明示的に対策や、十分な深度・頻度での評価・点検を求める必要があり、金融当局も着眼している重要なテーマだ。
サイバーセキュリティにおいてガバナンスや管理プロセスの強化は重要だが、現実の攻撃の成否や攻撃影響の大小はITインフラの堅牢性による部分が大きい。実効性を伴うセキュリティ強化の取り組みが必要である。
「地域銀行のDX推進とサイバーセキュリティ」
執行役員システム部長
<地方銀行の課題と新たな収益モデルの必要性>
人口減少や急速な円安、デジタル化対応などリスクコントロールが難しい環境要因の増加により、地方銀行は顧客の減少や本業赤字などに苦慮している。与信とフィービジネスが地域金融機関にとって収益の柱である状況は基本的に変わらないが、収益低迷からの脱却、あるいは将来の収益確保という課題解決の観点から、リスクコントロールと新たなビジネスモデルが必要である。
新たな収益モデルの模索
DX推進の観点での新たな収益モデルの模索例として、地域のお客様に対し、効果的なリコメンドによる収益機会を創出する広告事業モデルがある。お客様のアクションをクラウド上で捕捉、AIで即時分析し、リアルタイムで適切なリコメンドを実施するといったもので、これまでのダイレクトメールや社内分析などのタイムラグが存在せず高い成約率を期待でき、また地域プラットフォーマーとして新たな広告ビジネスを展開することが可能である。一方で、新たな収益モデルには最適化した環境整備やシステム投資、デジタル戦略が求められる。
デジタル化のポイントと問題点
デジタル化のキーワードは「Cloud by Default」「Data Driven」「SmartWork」の3つであると考える。つまり、すべてのシステム、インターフェースをクラウド前提に構築し、データの価値や流通を起点にビジネスを組み立て、外部組織と0の連携や技術協力に向けたコミュニケーションの活性化をすることが、新たな収益モデルを生む基盤となるのだ。
デジタル化は「つながる」ことが価値を生む形態であるが、つながるということは同時にセキュリティリスクが発生することにもなる為、いかにコントロールしていくかが重要である。
デジタル化にあたっての問題点であるが、1つめはデジタルとレガシーへの「二重投資」の問題であり、費用対効果を出せない大きな原因となっており、短期収益を追求する経営と意識のズレが生じる傾向にある。2つめは「手段の目的化」で、あいまいな目的のままKPIを矮小化して進めると、目的を見失い迷走したり、費用対効果を軽視したりすることになり事業継続性のリスクとなりうる。3つめは深刻な問題となっている「人材不足」だ。社内のシステム人材の調達難もさることながら、近年はクラウド関連業務の難易度が上がり、人材不足のまま進めると、組織がフリーズしベンダーへ丸投げするといった結果を招く。最後に挙げるのが、「横並び」だ。前述の問題点がある中で、安全志向になると他社追随型になり、期待が先行している経営側と意識のズレが生じ、事業自体が暗礁に乗り上げてしまう。
このようにならない為には、目的をあいまいにせず事前に問題点を検証することが必要である。
人材育成のポイント
新たな収益モデル構築に必要な最優先資源は人材である。人材育成モデルは大きく2つあり、従来型の人材育成は「業務習得型」で、業務知識を習得し、手続重視のウォーターフォール型の開発を習得するものである。もう1つは「能力拡大型」で、業務知識ではなく学び方を習得し、ブレイクスルー重視でアジャイル開発を習得するもので、地域課題を深堀りし、本質的な改善策を模索する人材育成モデルである。デジタル推進においては両方を兼ね備えた人材が必要であるが、業務習得型に偏っているのが現状である。若年層ほど能力拡大型を求める傾向にあるという観点から、能力拡大型の人材育成に取り組む必要がある。
<新たな収益モデル検討の留意点>
収益モデルを検討する際に重要なのはデジタル戦略ではなく収益戦略であり、目的(収益モデル)を明確化し、実現の手段としてデジタル化を活用するのだ。費用対効果、法令対応、サイバーセキュリティ、知財管理を一体で考慮し、KPIは目的に沿った指標を設定することが求められる。
サイバーセキュリティ
収益モデルにおいても費用対効果とセキュリティはトレードオフの関係にあるが、解決の糸口となるのが共同化、他システムとの共通化、運用での巻取だ。
北東北共同CSIRTではインターネット接続システムの共同化や相互協力体制の構築を通し各行のサイバーセキュリティ対策レベルの底上げを実現したほか、コスト圧縮、運用負荷の軽減にもつながった。
また、コロナ禍を経てクラウドへのチャネルシフトが加速したが、境界型セキュリティでは社内システムとのデータ連携に課題があり、新たな収益モデル検討にあたり最大のネックになっている。その為、ATMや営業店の既存スキームではなくクラウド重視のビジネス基盤を選択する場合はゼロトラストセキュリティが求められる。一方で、クラウドシフトシフトは多大のコストがかかるため、クラウド領域におけるビジネス戦略がなければ無意味になってしまうのだ。新しい収益モデルへ移行する際に、ゼロトラストへ移行するかしないかではなく、どのように・いつ移行するかが重要になる。
知財管理
自社で新たなスキームを構築する際に、業務フローの設計とシステム開発、セキュリティ、知財管理と平仄をあわせて進めることが不可欠である。主な目的としては、新たな業務スキームを特許侵害による業務停止から防衛することであるが、申請、審査請求、登録等の期日管理や特許先例の確認、防御範囲の特定といった点が極めて重要となる。
知財管理については、訴訟対応、損害賠償、システム改修費用、風評被害といったリスクがある。発注先のベンダーが確認している場合もあるが、原則的には発注者に確認責任があり、新たな事業スキームに取り組むうえで組織的な知財管理は不可欠なのである。
<弊行の取り組み事例紹介>
弊行のモバイルワーキング、モバイルワーキング、電子交付、地域eKYC、内部事務効率化の事例を紹介する。
モバイルワーキング
2020年3月に全職員にPCとスマートフォンを配布し、全店に無線LAN環境を整備した。その他様々なモバイルワーキング改善の取り組みを行い、社内でのペーパーレス促進やテレワーク促進、社内スペースの創出に伴う関連会社の本店集約とコスト削減、電話取次業務の廃止による内部業務の効率化などの導入効果を上げているが、コストと利便性のリバランスが今後の課題であると考えている。
ローンWeb完結
申込から契約までをWeb上で完結できるマイカーローンWeb完結スキームを2021年の4月に導入し、実行額は年増14%と非常に好調に推移している。一方で、セキュリティ面でチェックすべき項目が非常に多く労力を要する。
電子交付サービス
出資先であるフィッティング・ハブのサービスを利用して法人向け郵送物を電子化しており、年間3000万円以上の直接経費削減を実現し、営業店の事務軽減、また誤交付、誤廃棄の減少といった成果を上げた。
地域eKYC
マイナンバーカードとQRコードを組み合わせて銀行手続きや地域事業者の手続きを一体で提供するプラットフォームを作る取り組みを行っている。PoCまで行ったが、マイナンバーカードを持ち歩かない人が多く、スマートフォンに内蔵されないと事業の見込みが薄いという課題が見つかった。2023年5月からAndroidはマイナンバーカード内蔵が可能になり、現在は iOSへの内蔵を待っているところだ。
内部事務の効率化
事務効率化によって内部事務要員が大幅に減少している一方で、端末打鍵数は減少幅が小さく、営業店負担が増加している状況だ。現状としては、紙に依存した業務体制でありデジタル化が急務となっている。内部事務廃止に向けた施策として、本部集中とデジタル化を強力に推進しており、中でも営業店端末の印字のイメージ化は効果を実感している。
また、法人向け施策としてプレ印字のQR手続きサービスへの切り替えを内製化で実施したいと考えている。境界の内側のデバイスへ内装化アプリを実装し、お客様と行内環境はQRコードでやり取りをすることで、既存の境界型セキュリティを生かしてリスクを抑えつつ、セキュリティのコストを抑え業務効率化を実現するのである。そうすることで営業店業務や本部業務、事務コストのみならず、お客様も検算作業や手数料計算が不要になる為、効率化に繋がるのだ。
このように今後も収益モデルと適切なセキュリティの検討を進めてまいりたい。
「防ぎきれないサイバー攻撃。データレジリエンスのためのデータ保護『Cyber Recovery』」
DPS事業本部第二営業部 営業戦略推進担当部長
<サイバーリカバリーについて>
ゼロトラストやEDRは、サイバー脅威の事前防御であるが、サイバーリカバリーとは、サイバー被害後のレジリエントなデータ復旧を担うものである。世界的にサイバーセキュリティを考える軸として活用されているNIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワーク(以下、CSF)にも「復旧策」を考える必要性について言及があり、いかに防御してもサイバー攻撃のリスクをゼロにできないという考え方が世界的に広まっているという現れであると考える。
日本国内のサイバー攻撃被害
日本国内の金融機関におけるサイバー攻撃被害について、Trellix社が2021年7月から9月に検知したランサムウェア攻撃のデータによると、最も標的になりやすいのは銀行・金融業界で、検知された攻撃の22%は同業界を狙ったものであった。この結果から、金融機関はたまたま被害にあっていないだけであり、万が一に備えて対策することが必要であることがわかる。
弊社が2021年に実施したダウンタイム/データロスの原因に関する調査では、ランサムウェア等の外部からのセキュリティ侵害は5位、内部からのセキュリティ侵害は8位という結果となったが、2022年に実施した調査結果では、外部からの侵害が1位、内部が5位と大幅に増加したことがわかる。
このような状況を受け、バックアップベンダーのみならず、セキュリティベンダーも多層防御でもリスクをゼロには出来ない為、リスクヘッジとしてバックアップが必要であると説いている。しかし、被害例もあるように、従来型のバックアップではバックアップデータも破壊されてしまう可能性があり、そこで有効となるのがサイバーリカバリーである。
考慮すべきサイバー攻撃の手法と有効なバックアップとは
サイバー攻撃は主に、EmotetやWannaCryに代表される、スパムメールやドライブバイダウンロードといった手法で不特定多数をターゲットとした金銭目的の「ばらまき型」と、特定企業や団体に対するテロリズムや怨恨、政治的思想の相違等を動機とし、ハッキングにより企業内のシステムをスキャンし各システムに合った攻撃をすることで壊滅的な被害をもたらす「標的型」の2つの手法がある。
いずれの攻撃も暗号化、破壊/改ざん、情報漏えいという被害をもたらし、さらに近年では、攻撃前のファイルを予め保持し、復旧と引き換えに金銭を要求するといった多重脅迫の手口も増加している。また、標的型と比べ被害の度合いは限定的であるばらまき型であっても、ただ暗号化するだけではなくバックアップデータも破壊するようなランサムウェアも一般的になっており、標準化されたプラットフォームや、ディスク・NASといったバックアップストレージをデータの保護に利用することは、高度化するサイバー攻撃に対して無意味となってしまうのだ。
また、サイバー攻撃からの復旧で重要になるのが多世代のバックアップだ。攻撃者が攻撃を達成するまでの防御/検知策がサイバーセキュリティであるが、サイバーリカバリーとは攻撃が達成されてから必要になる復旧策である。復旧時に戻すべきデータは、必ずしも攻撃の直前のデータとは限らず、より多くの世代のスナップショットを保持しておく必要がある。
<サイバー攻撃からバックアップデータを保護>
弊社のバックアップソリューションであるPowerProtect Cyber Recoveryは、OSから独自開発しているほか、バックアップデータの保存先のボリュームも独自の通信プロトコルで独自のファイルに保持しており、セキュリティ面で堅牢な仕組みを提供している。
ただし、サイバーリカバリーは100%被害にあわない状況をどのように作るか、という考えをもとに作られており、上記の仕組みだけでは足りないのである。100%被害にあわないための究極的な方法は、ITを使わず、ネットワークにも繋がないことであるが、即ちネットワークからの侵入経路を絶つことが必要であるということだ。
ビジネスを強くするうえで、上手くデータを活用することが重要になってきている故に、データの保護を考える必要がある。
サイバー復旧のための3つのポイント
デジタルデータ保護におけるサイバー復旧のための3つのポイントは「防御」「隔離」「衛生」である。標的となるプラットフォームやファイルシステムの利用を避け、バックアップデータの改ざん防止や、復旧機能自体の無効化を防御すること、つまり一次バックアップを強化することが防御である。サイバーリカバリーのポイントは隔離と衛生であるが、攻撃から「見えない」場所へ復旧用データを隔離し管理すること、また隔離したデータの汚染状況分析による安全な復旧用データの確保とリスクのフィードバックをおこなうことである。
弊社では、分析にCyberSenseを使用し復旧を強化している。従来型の防御策としてのアンチウィルスはパターンマッチングという仕組みを使用しているが、パターンファイルに登録のないマルウェアはスルーしてしまうという欠点があった。一方、CyberSenseはバックアップデータの検査に特化しており、現存のデータ単一のチェックだけでなく過去データとの比較検証により不審な変更等から攻撃被害を検知し、復旧のためのクリーンなデータセットを特定することができるのである。
3つのポイント実装に向けた3つのステップ
AIに象徴されるようにデータの重要度は増しているが、組織によってデータへの依存度は大きく異なることから、前述の3つのポイントをすべて実装すべきとは考えていない。しかし、ステップ1(防御)として従来型のバックアップからの脱却、つまりランサムウェアが侵入する前のデータセットの保持と、攻撃対象となりにくい非標準テクノロジーによるバックアップデータの保管が最低限必要であると考える。その上で、データの重要性や求める復旧スピードによってステップ2(隔離)を検討するか、ステップ3(衛生)まで検討するかの要件定義が必要になる。
<“SaaS”という選択肢>
金融業界においてもクラウドが検討される事が増えているが、方針としてクラウドにするからクラウドサービスを検討するというクラウドバイデフォルトという考え方が多い。一方で弊社では、クラウドあるいはオンプレミスを用途ごと適材適所にはめていく考え方が重要であると考え、マルチクラウド戦略として「クラウドバイデザイン」を提唱している。
セキュアなデータ保護という観点から、SaaSクラウドは十分有効であると考えている。SaaS のバックアップとはつまり、1次バックアップから通常の業務ネットワークとは切り離された別のネットワーク上にバックアップデータが存在することになり、ランサムウェアに感染した際もスキャンして引っかかることがなく、隔離することが出来るのである。
近年のランサムウェアはEDRで検知されるのを避けるために、時間をかけて暗号化する傾向にある。そうするとファイルごとに暗号化された日付が異なるのであるが、ファイルごとに自動的に最新の未感染データを特定し1つの復旧用のスナップショットを作成する「キュレート スナップショット」という衛生分析機能が有効である。
このようにデータ復旧における「防御」「隔離」「衛生」のポイントは、SaaSのバックアップによっても実現が可能なのである。
<結びに>
弊社では、2017年に日本国内でランサムウェア攻撃の認識が広がる以前の2015年に初めてアメリカの金融のお客様向けに完全な隔離環境を構築する仕組みを提供し、翌年にも同仕組みをサイバーリカバリーソリューションとして提供したという歴史がある。また、サイバー攻撃などによる壊滅的な被害から顧客の資産を守る仕組みづくりを目的に2016年に米国金融機関によって設立された非営利団体であるシェルタード・ハーバーが定めたデータ隔離仕様を実現可能なソリューションとして唯一認定を受け、金融関連の実績も多く、日本国内での導入実績も増えてきている。そのため、これらの実績も安心材料として、弊社のサイバーリカバリーソリューションをご検討いただければと思う。
