本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
サイバー攻撃の脅威と金融機関を取り巻く環境
サイバー攻撃の脅威がますます増大しています。データを不正に暗号化等したうえで身代金を要求する「ランサムウェア」をはじめとしたサイバー攻撃は、組織化・高度化が進んでいます。他方、金融機関ではデジタル化の推進を背景に、クラウド利用等によるサプライチェーンの多層化やキャッシュレス決済など、外部の事業者と連携したサービスが拡大しています。
サイバー空間の変化は、金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」でも触れられていますが、これらは、対処すべきサイバー攻撃が高度化するなか、同時に、守るべきIT環境が複雑化することで、金融機関がリスク管理を行うことの難易度が一段と上がっていることを示唆していると言えるでしょう。
近時、世界的にサイバー攻撃によりさまざまな重要な社会インフラが停止に追い込まれています。金融機関におけるITへの依存度は高まっており、金融機関へのサイバー攻撃による顧客サービスや業務運営への影響は甚大なものとなりかねません。そのため、金融機関をはじめとした重要インフラ分野の企業や組織では、サイバーセキュリティ対策やBCP(事業継続計画)を含めた複数の管理の枠組みを活用し、包括的に業務への影響の軽減や早期復旧を図るオペレーショナル・レジリエンスの確保が急務となります。米国では証券取引委員会(SEC)が、金融機関におけるサイバーインシデントに対し、所定の期日までに開示を求める等の動きが見られます。
サイバー攻撃対策は、ITセキュリティとしての活動にとどまらず、法規制やガイドラインへの準拠はもちろんのこと、ビジネスへの影響の視点から全社的に取り組むべき課題として、その重要性を再確認すべき状況であると言えます(下図参照)。
【台頭するサイバー脅威と金融機関を取り巻く環境】
金融機関におけるサイバー攻撃対策の難しさ
金融機関の目線では、IT環境が複雑化するなか、サイバーセキュリティとして対策すべき範囲が広がっており、それらに対して、より厳格なビジネス要求(継続・早期復旧等)が求められています。サイバー攻撃対策の課題は多岐にわたりますが、本稿では、(1)必要な対策の見極め・整備(2)サイバーインシデントへの対応力の確保の2点について取り上げることとします。
(1)必要な対策の見極め・整備
サイバー攻撃に対し、いかに必要な対策を見極めて整備していくのかは難しいと言えます。コロナ禍以降、IT環境はリモートワークへの対応として追加的に整備されました。また、デジタル化の推進を背景にクラウドサービスの利用が進んだほか、新しい事業やサービスのために外部の事業者との連携が進展しています。これらの変化は、たとえば、自社の重要データへのアクセス権の多様化によってサイバー攻撃のリスク増大を伴うため、どのようなリスク対策をどこまで実施・確認すればよいのか、判断が難しくなっていると言えるでしょう。
(2)サイバーインシデントへの対応力の確保
実際のサイバーインシデントでは想定外の事象が発生するケースも多くあるため、対応力を確保することに難しさがあります。多くの金融機関では、インシデント発生時に備え定期的に訓練等を実施していますが、なかには各部門が規定された役割を淡々と実施しているケースも散見されます。しかし、実際のサイバー攻撃では、被害の実態が見えがたく、サイバーインシデントを認識するまでに時間がかかる性質もあります。そのため、そのような状況下では、多くの部門が関与して対応力を発揮することが難しいことも想定されます。その意味で、訓練等における課題の抽出や改善計画の導出は十分なものにならない懸念があると言えるでしょう。
金融機関におけるあるべき対応の方向性
限られた経営資源で、サイバーセキュリティの適切な水準を確保し、顧客に安全・安心なサービスを提供するためには、自社の業務特性を踏まえて何を守らなければいけないのかをリスクベースで検討し、対策を行うことが重要です。自社にとってのリスクは、外部環境(攻撃動向等)と内部環境(自社システムや外部連携等)に応じて変化するため、そのような変化を適時に把握して対策に反映するための仕組みが必要となります。
さらに、整備した対策を踏まえ、実際のインシデント発生時にしっかり対応できるよう、効果的に訓練を企画・実行し、改善が計画に落ちていくようなPDCAサイクルの確立が求められます。サイバーセキュリティ対策にあたっては、動的な変化・リスクの把握、タイムリーな優先順位付けと投資判断、全社一体的な体制・意識の醸成など、経営層のリーダーシップが不可欠であり、サイバーセキュリティ全体のガバナンスと対外説明力の確保に向けた取組みが重要となります。
なお、昨今ではたとえば、サイバー攻撃を受ける可能性のあるIT資産を管理し、適切なセキュリティを実施する「アタックサーフェスマネジメント(ASM)」を用いて、組織が持つ外部公開環境の可視化とリスク評価の合理化を図るケースも見られますが、今後サイバー攻撃対策においてテクノロジーを適宜活用していくことも有用と考えられます。
週刊 金融財政事情 2024年4月9日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
パートナー 関 憲太
シニアマネジャー 西岡 育馬