フィンテックベンチャーの特殊な立ち位置 業界内でのセキュリティ情報共有が困難に
セキュリティインシデントに対応するCSIRT(Computer Security Incident Response Team)の起源は、1980年代にインターネットで拡散した初期のワームがきっかけで発足したCERT/CCとなる。追って日本でもJPCERT/CCが発足した。なお、CSIRTはコンピュータやネットワークのセキュリティに目を向けていることに対して、SIRTやPSIRTは自社製品のセキュリティ品質に目を向けているといったところに違いがある。
日本の金融業界に目を向けると、金融機関のサイバーセキュリティ情報を共有する金融ISACの存在感は大きい。これは米国で設立されたFS-ISACをモデルとし、2014年に発足した組織だ。フィンテック業界で存在感を増しているインフキュリオンのCISO 熊白浩丈氏は「金融ISACが設立されてから、わずか数年で一気に主要金融機関でSIRTが立ち上がっていきましたね」と振り返る。同氏は、複数の金融機関に対してセキュリティコンサルタントとしてSIRTなど、セキュリティ組織の立ち上げをサポートしていた経歴を持つ。
システム開発会社や通信会社など、IT技術を事業のコアとしていた企業と異なり、金融機関は自社にエンジニアを抱えることは少なく、システム開発・運用は外注を基本とする企業が多い。そのためセキュリティ監視のSOC(Security operation center)も外部委託がほとんどで、黎明期はSOCとの連携をどうハンドリングすべきかというルールを決めることが多かった。前例がない中、多くの金融機関がメガバンクの動向を注視しながら模索していたという。
熊白氏は「金融機関は相当のコストに耐え得るだけの体力があったため、高額なセキュリティ機器も導入できました。そのため機器構成は十分でしたが、そのハンドリングは(ノウハウが追いつかずに)大変そうでしたね」と話す。2024年を迎えた現在、システムを取り巻く環境は大きく変化しており、オンプレミスからクラウドへ、セキュリティはかつての境界防御からゼロトラストへと移行している。
熊白氏が所属するインフキュリオンは2006年に設立され、先進的な金融・決済サービスを提供することに心血を注ぐフィンテックベンチャー。オープンAPIを用いて事業会社のサービスに金融機能を組み込む「エンベデッド・ファイナンス(組込型金融)」という潮流をけん引してきた企業でもある。ガートナーの「バイモーダルIT」の概念におけるモード2の企業体であり、いわゆる前述したような大手金融機関とは異なる文化で育ってきたエンジニアも多い。
文化や成り立ちが異なるだけに手を取り合うといっても一筋縄ではいかず、同社のようなフィンテックベンチャーなどは金融業界において特殊な立場にある。たとえば、金融機関や保険会社、証券会社、情報処理会社などからなる「FISC(金融情報システムセンター)」では金融機関として扱われていない。金融ISACでもエンベデッド・ファイナンスを提供している企業は(サプライチェーンの一端を担うものの)金融機関と見なすことが難しく、加盟できていないという。
熊白氏は「金融業界に所属する企業・団体で重要情報を連携したいと思っても、関連組織に加入できないため容易に情報を入手できない状況にあります」ともどかしさをにじませる。エンベデッド・ファイナンスをはじめ、その他業種のベンチャー各社もほぼ似た状況にあるだろう。
なお、インフキュリオンのようなベンチャー企業が集まるFintech協会でもセキュリティに関する分科会があり、金融ISACなどと意見交換の場はあるが、あくまで活動の一部の範疇である。「やはり、我々のような企業も金融ISACに加入できることがベストだろうと感じます」と熊白氏。SIRTの構築・運営において、外部との情報共有は重要事項だ。
同社 SIRT室長を務める片岡亮平氏も「SIRT室の活動はまだ1年未満ですが、他社との会合で情報交換をさせていただくと気づきや学びが多く、やはり情報共有の場は必要だと思います」と話す。
