諸外国における金融機関のサイバーセキュリティ対策
2015年7月、金融庁は「諸外国の金融分野のサイバーセキュリティ対策に関する調査研究報告書」を公表した。これは金融庁がPwCに調査研究を委託したもの。この報告書の要点をPwCが解説した。
まず総論だが、近年では金融機関へのサイバー攻撃が急増している。2014年には国内のインターネットバンキングの不正送金は1876件、被害総額は29億円を超えた。2012年には数えるほどしかない状態だったにもかかわらず、2013年から急増している。
金融分野へのサイバー攻撃の標的は大きく3パターンがある。まず、標的型攻撃のような金融機関の情報漏えいを狙うもの、DDoS攻撃やパッチ配信システムの乗っ取りなどの金融機関の機能停止を狙うもの、そしてフィッシング詐欺など金融機関の利用者を狙うもの。近年よく見られるのが「Game Over Zeus」やその亜種、「VAWTRAK」「CARBANAK」といったマルウェアが使われている。
諸外国ではどのような対策がどのような枠組みで進められているか、同社 サイバーセキュリティセンター マネージャー 矢野薫氏が説明した。
アメリカ:大統領令から標準フレームワークやアセスメントツールを策定
アメリカでは少し前までは、米国連邦金融機関検査協議会(FEIEC)が策定した「IT Examination Handbook(IT検査ハンドブック)」や「Authentication in an Internet Banking Environment(インターネットバンキング環境の認証)」などの文書に記載されていたセキュリティ要件が代表的な文書となっていた。
近年サイバー攻撃の増加をうけて、2013年2月に大統領令が発布。ここから米国国立標準技術研究所(NIST)が「重要インフラのサイバーセキュリティを強化するフレームワーク(CSF)」を策定した。アメリカでは唯一無二となる標準という位置づけだ。主に5つのブロックから構成されており、順番に「特定」→「防御」→「検知」→「対応」→「復旧」となる。
さらに最近、2015年6月にはFEIECが金融機関向けにサイバー攻撃対策の評価ツール「FEIEC Cyber Security Assessment Tool」を発表した。評価の流れとしては、まず固有のリスクを特定し、次に現状の成熟度を評価する。これで現状と目標が定まるため、どの分野でどのくらい改善すべきかが見えてくる(なおPwCが金融庁に報告書を提出したのが2015年3月なので、この評価ツールは金融庁の報告書には記載されていない)。
イギリス:現状調査やガイダンスで啓発促進、関係機関の相互連携強化
イギリスにはビジネスイノベーション技能省(BIS)という技術革新や経済成長を促進する人材支援を行う行政機関がある。このBISはイギリスの主要企業(FTSE350)を対象にガバナンスに対する現状調査(ヘルスチェック)を毎年実施。現状調査の事後指導も行い、企業内態勢強化を後押ししている。
またイギリス外務省内の情報セキュリティ部門にあたる通信機器セキュリティグループ(CESG)は2012年に「CESG 10 steps to Cyber Security」の初版を発行し、企業が行うべきサイバー攻撃対策10項目を整理して示している。具体的には、情報リスクとマネジメント、安全な構成、ネットワークセキュリティ、ユーザー権限の管理、ユーザー教育と認知度、インシデント管理、マルウェアの予防、モニタリング、可搬媒体の制御、在宅ワーク。FTSE350のうち2/3の企業で活用されている。
金融機関向けにはサイバーセキュリティテストのフレームワークがある。イングランド銀行(BOE)とセキュリティ認定試験の実施などを行う非営利団体「CREST」が開発した「CBEST Vulnerability Testing Framework (CBEST 脆弱性テストフレームワーク)」。
関係機関の連携強化も進められている。2013年6月には英国金融方針委員会(EPC)は金融分野の情報インフラにおいて回復力を向上させるため、規制当局など関係機関が相互連携を強化するように勧告を発令した。
有事を想定した演習も行われている。財務省はイングランド銀行とともに「ウェイキングシャーク」などを主催し、金融機関や当局のほかインフラ事業者も対象として演習を繰り返し実施している。
韓国:国家や金融業界が具体的な数値目標を定めてサイバー対策を強化
韓国は過去に大規模なサイバー攻撃を経験していることもあり、組織的な取り組みが進んでいる。2013年には金融委員会(FSC)が金融機関のサイバーセキュリティー保護のための強化策を発表した。このなかには一定の規模を上回る金融機関には専任の最高情報責任者(CISO)の設置を定めるなど、技術的な要件だけではなく組織体制にも言及している。
また同年に電子金融取引の監督規制が規定され、これは人材と組織、施設、情報技術、安全確保のための事項で構成されている。中でも「金融機関におけるIT担当者数は全従業員数の5%以上、うち情報保護担当者数は IT担当者数の5%以上」、「ITセキュリティ予算はIT予算総額のうち7%以上とする」などと具体的な数値を示しており、矢野氏は「踏み込んだ内容」と評価していた。
EU:ENISAを中心に施策や法整備を推進、組織形成も
EUはスタートが早く、EUの価値に重点を置いているのが特徴だ。2004年にはサイバーセキュリティ対策の専門機関として欧州ネットワーク情報セキュリティ庁(ENISA)が設立され、情報システムやネットワークなど ICTインフラの保護に関する施策や法整備が進められている。
2012年にはコンピュータ緊急対応チームとしてCERT-EU、さらに欧州サイバー犯罪センター(EC3)を設立。2013年には予防や対応の将来像を示した「EUサイバーセキュリティ戦略」を公表。この中では基本的権利、民主主義、法の支配などEUの原則がサイバー空間でも守られるように、加盟国政府と民間企業が役割を果たしていくようにと記されている。
優先的に取り組む項目としては、サイバー態勢の構築、サイバー犯罪の激減、共通安全保障・防衛政策に関するサイバー防衛政策・能力を確立、サイバーセキュリティに向けた産業・技術資源を確保、首尾一貫したEUの国際サイバー空間政策を確立してEUの価値を促進が挙げられている。
ほかにも「サイバーセキュリティに関するEU指令」がある。2014年3月に欧州委員会で提案が承認され、現在は具体化に向けて審議中。ドイツなど先行して導入している国もある。
