米英韓欧との比較で見えてくる日本の遅れ--金融機関のセキュリティの実状

三浦優子 2015年09月01日 07時00分

  • このエントリーをはてなブックマークに追加

 プライスウォーターハウスクーパース(PwC)は8月26日、金融機関のサイバーセキュリティ対策を説明会を開催。同社は金融庁が7月に発表した「諸外国の金融分野のサイバーセキュリティ対策に関する調査研究」(PDF)の調査を担当。この結果を踏まえ、海外と日本の金融機関の対策の現状、今後日本の金融機関が実施すべき対策のポイントについて提言した。

 同社のサイバーセキュリティセンターのパートナーである山本直樹氏は、「日本の金融機関のサイバーセキュリティ対策は金融庁が4月21日に監督方針を改正、7月2日に取り組み方針が出てきた。これまでになかった詳細な内容で、金融機関側は具体的な施策を取らざるを得ない内容となっている。日本には2020年の東京五輪というマイルストーンもあり、『日本の金融機関はセキュアなものである』とアピールする動きとなっている」と日本の金融機関のサイバーセキュリティ対策の現状を指摘した。

進む米英韓EUのセキュリティ対策

 PwCは、調査から米、英、韓、欧州連合(EU)金融分野で進められているサイバーセキュリティ対策を紹介した。

 米国では2013年2月、米国大統領令第13636号が発令され、金融や通信、エネルギーなど16の需要分野の施設を指定し、情報共有、サイバーリスク対応のための標準の開発などを求めている。2014年2月には、米国立標準技術研究所(NIST)が重要インフラのサイバーセキュリティを強化するフレークワーク(Cybersecurity Framework:CSF)を発表している。

 金融機関に特化したものとしては、米連邦金融機関検査協議会(Federal Financial Institutions Examination Council:FFIEC)が発表した「IT Examination Handbook」「Authentication in an Internet Banking Environment」がある。

 「主なドキュメントはこの二つ。IT Examination Handbookは日本の金融庁の検査マニュアル的なもの。もうひとつは、金融機関に必要なセキュリティ要件をまとめたもの」(PwC サイバーセキュリティマネージャー 矢野薫氏)

 PwCの調査レポート以降に2015年6月にFFIECが発表したものとして、「FFIEC Cyber Security Assessment Tool」がある。各金融機関でのサイバーインシデントに対する固有リスクとサイバーセキュリティ成熟度を自己評価するためのツールとなっている。

矢野薫氏
PwC サイバーセキュリティマネージャー 矢野薫氏

 「金融機関がサイバーセキュリティの成熟度を自分たちで評価し、足りなければ目標を立て、そこにたどり着くアクションプランを出すためのものとなっている。このツールに強制力はないが、FFIECが発表したものなので、多くの金融機関が参考にしている」(矢野氏)

 英国では、ビジネス・イノベーション・職業技能省(Department for Business, Innovation and Skills:BIS)の下部組織である知的財産庁(Intellectual Property Office:UKIPO)が金融機関を含む上場企業350社を対象に毎年ガバナンス状況を調査、経営幹部の理解促進を主眼に置いた内容となっている。

 2012年2月にはサイバーセキュリティに関する10ステップとして、企業が留意すべきサイバー攻撃から身を守るための効果的な防御策、組織が最低限導入すべき仕組みなど10項目を提案している。上場企業350社のうち3分の2の企業が活用しているという。

 2013年6月に英金融政策委員会(Monetary Policy Committee:MPC)が英国の金融機関に対して情報インフラの復元力(レジリエンス)を向上させるために、規制当局である大蔵省、健全性監督機構(Prudential Regulatory Authority:PRA)や金融行為規制機構(Financial Conduct Authority:FCA)など、そのほかの政府機関が相互連携するように勧告を発令した。それに加え、2014年にはBISによるサイバーガバナンスヘルスチェックの事後始動として、サイバー攻撃に対する体制を調査した。2014年6月には、最新の攻撃手法に対応したテストを行っている。

 「イギリスの金融機関の取り組みは進んでいる。サイバー攻撃に対する対策をヒアリングし、脆弱性テストフレームワークを提供している。このテストは、機械的なものではなく、その金融機関の人材や対策といったシナリオを作ったテストになっている点が特徴。踏み込んだ対策だと評価できる。当局を含め、組織的対策を取っているイギリスの特徴となっている」(矢野氏)

 韓国での金融分野のサイバーセキュリティ対策は、過去に政府機関を含む大規模なサイバー攻撃を経験していることを受け、サイバー攻撃が国民の財産、安全保障を脅かす存在になっている認識があり、国家と金融業界として組織的な対策が進められている。そこで2013年7月と10月に金融委員会(Financial Services Commission:FSC)が金融機関のサイバーセキュリティ保護のための強化策を発表した。

 2013年12月には金融機関が取るべきサイバーセキュリティ態勢として、金融機関のIT担当者は全従業員の5%以上、そのうち情報保護担当者はIT担当者数の5%以上で構成し、セキュリティ予算はIT予算総額の7%以上とすることなどが提言された。「人員数、予算の具体的な目標をあげるなど、かなり注目に値する内容となっている」(矢野氏)

 EUの金融分野のサイバーセキュリティ対策としては、欧州ネットワーク情報セキュリティ庁(European Network and Information Security Agency:ELISA)が2004年に設立され、ICTインフラの保護に関する政策、法整備を進めている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]