アクセンチュアの最新調査「金融機関における2018年サイバー攻撃に対するレジリエンスの現状(2018 State of Cyber Resilience for Financial Services)」は、世界の金融機関(銀行、保険会社、証券会社)のセキュリティ担当者800人以上を対象に、ネットワークの防御システムを突破し、金融機関が保持するハイバリュー資産やプロセスを損傷したり、盗み出したりする危険性のあるサイバー攻撃への対応などについて調査したものだ。
金融機関がサイバー攻撃を阻止した割合は2017年の66%から大きく向上
今回2018年の調査レポートでは、金融機関がサイバー攻撃を阻止した割合は81%であり、2017年の66%から大きく向上した。また、調査対象である経営層の80%以上が、あらゆる技術や手法を用いた自社のセキュリティプロトコルに自信を持っていると答えている。
多くのサイバー攻撃を阻止できた一方で、日本の金融機関では1週間以上検知されなかった攻撃が43%、1か月以上検知されなかった攻撃も14%存在することが分かっている。損害を防ぐには、サイバー攻撃を数時間とまではいかずとも数日以内に特定することが重要であり、経営層が自社のセキュリティ対策を過信している懸念も見られた。
アクセンチュア・セキュリティで金融サービス向けのグローバルセキュリティ&レジリエンス事業を率いるクリス・トンプソン氏は次のように述べている。
「金融機関のセキュリティ体制は、サイバー攻撃からの耐性や対策などを含め、非常に高いレベルに達しつつあります。しかし、それに甘んじることなく、ビジネステクノロジーの進化に伴い、サイバーセキュリティもより高度に進化させ続ける必要があります。銀行や保険会社は近年、クラウド、マイクロサービス、API(アプリケーション・プログラミング・インターフェース)、エッジコンピューティング、ブロックチェーンといった新興技術を採用しており、これらの技術が新たなセキュリティリスクを生むことも事実です。実際、サイバー攻撃は日々、高度化しています」。
ビジネスの協業や提携は拡大されるが、セキュリティリスクも存在
銀行や保険会社は、協業や事業提携によるビジネスの拡大を図っており、多くの金融機関がオープンAPIを活用した連携を進めている。金融機関の連携が進むなか、調査対象となった国内金融機関の経営層の21.3%からは、パートナー企業のサイバーセキュリティ基準をレビューしない(12.5%)、サイバーセキュリティ基準をレビューするものの義務は課さない(8.8%)といった回答が見られる。
このような連携により、金融機関が外部のセキュリティリスクにさらされやすくなるのは事実だ。さらに、金融機関は既存のエンタープライズ基盤をネットワークエッジへ拡張し、インターネットに接続されたカメラ、センサー、スマートウォッチなどの機器からの情報活用を進めている。そのため、セキュリティ担当者は、犯罪者が攻撃を仕掛けるための入り口としてこれらの機器が悪用されないよう、対策を講じることが求められる。
先端技術にはセキュリティ脅威が伴う一方、攻撃に対する体制強化も可能
先進的で高度な技術は、新たなセキュリティ上の脅威を伴う可能性がある一方、それらの技術を活用することによりサイバー攻撃に対する耐性の強化が可能であることを調査は示している。
調査対象となった国内金融機関の経営層の88%が、人工知能(AI)や機械学習、ディープラーニング、自動化といった新技術が組織のセキュリティに欠かせないと回答する一方で、セキュリティのために、それらの新技術に現在投資している日本の金融機関は半数以下にとどまり、AIや機械学習(49%)、RPA(ロボティック・プロセス・オートメーション)(44%)という結果だった。
また、過去3年間でサイバーセキュリティ投資を大幅に(少なくとも2倍に)拡大したと回答した日本の経営層は21%で、今後3年間で大幅に拡大する計画だと回答した経営層は40%だった。
日本ではセキュリティ部門が検知できなかったサイバー攻撃の75%を他部門が特定
また、調査結果は、金融機関がサイバー攻撃に対するレジリエンスを高めるために、サイバーセキュリティ部門だけでなく、他部門の社員も含め、組織の保護に積極的に関わっていく必要性を示している。日本では、調査対象となった金融機関のサイバーセキュリティ部門は、自社へのサイバー攻撃の61%を特定できた一方で、セキュリティ部門が検知できなかったサイバー攻撃の75%を特定したのは他部門の社員だった。
トンプソン氏は、次のように述べている。「金融サービスのデジタル化が急速に進展し、オープンバンキングや第三者とのデータの共有は、これまでの事業のあり方を大きく変革しています。それに伴い、セキュリティリスクも従来の金融機関の枠組みを超えて拡大しています。その様な状況のなか、金融機関は脅威の常時監視から対応を可能にするAI、機械学習、RPAといった技術を取り入れるとともに、投資していく必要があるでしょう」。
この調査レポートは、アクセンチュアが15か国の年間収益10億ドル以上の企業における4,600人のセキュリティ担当者を対象に実施した調査のなかから、銀行、保険会社、証券会社のセキュリティ担当者821人の回答結果をまとめたもの。調査の目的は、企業のセキュリティ対策の優先度、現在のセキュリティ対策の効果、既存投資の妥当性を把握することにある。日本では、合計80人(銀行と証券会社40人、保険会社40人)のセキュリティ担当者に調査を行った。