プライスウォーターハウスクーパース(PwC)は8月26日、金融機関のサイバーセキュリティ対策を説明会を開催。同社は金融庁が7月に発表した「諸外国の金融分野のサイバーセキュリティ対策に関する調査研究」(PDF)の調査を担当。この結果を踏まえ、海外と日本の金融機関の対策の現状、今後日本の金融機関が実施すべき対策のポイントについて提言した。
同社のサイバーセキュリティセンターのパートナーである山本直樹氏は、「日本の金融機関のサイバーセキュリティ対策は金融庁が4月21日に監督方針を改正、7月2日に取り組み方針が出てきた。これまでになかった詳細な内容で、金融機関側は具体的な施策を取らざるを得ない内容となっている。日本には2020年の東京五輪というマイルストーンもあり、『日本の金融機関はセキュアなものである』とアピールする動きとなっている」と日本の金融機関のサイバーセキュリティ対策の現状を指摘した。
進む米英韓EUのセキュリティ対策
PwCは、調査から米、英、韓、欧州連合(EU)金融分野で進められているサイバーセキュリティ対策を紹介した。
米国では2013年2月、米国大統領令第13636号が発令され、金融や通信、エネルギーなど16の需要分野の施設を指定し、情報共有、サイバーリスク対応のための標準の開発などを求めている。2014年2月には、米国立標準技術研究所(NIST)が重要インフラのサイバーセキュリティを強化するフレークワーク(Cybersecurity Framework:CSF)を発表している。
金融機関に特化したものとしては、米連邦金融機関検査協議会(Federal Financial Institutions Examination Council:FFIEC)が発表した「IT Examination Handbook」「Authentication in an Internet Banking Environment」がある。
「主なドキュメントはこの二つ。IT Examination Handbookは日本の金融庁の検査マニュアル的なもの。もうひとつは、金融機関に必要なセキュリティ要件をまとめたもの」(PwC サイバーセキュリティマネージャー 矢野薫氏)
PwCの調査レポート以降に2015年6月にFFIECが発表したものとして、「FFIEC Cyber Security Assessment Tool」がある。各金融機関でのサイバーインシデントに対する固有リスクとサイバーセキュリティ成熟度を自己評価するためのツールとなっている。
PwC サイバーセキュリティマネージャー 矢野薫氏
「金融機関がサイバーセキュリティの成熟度を自分たちで評価し、足りなければ目標を立て、そこにたどり着くアクションプランを出すためのものとなっている。このツールに強制力はないが、FFIECが発表したものなので、多くの金融機関が参考にしている」(矢野氏)
英国では、ビジネス・イノベーション・職業技能省(Department for Business, Innovation and Skills:BIS)の下部組織である知的財産庁(Intellectual Property Office:UKIPO)が金融機関を含む上場企業350社を対象に毎年ガバナンス状況を調査、経営幹部の理解促進を主眼に置いた内容となっている。
2012年2月にはサイバーセキュリティに関する10ステップとして、企業が留意すべきサイバー攻撃から身を守るための効果的な防御策、組織が最低限導入すべき仕組みなど10項目を提案している。上場企業350社のうち3分の2の企業が活用しているという。
2013年6月に英金融政策委員会(Monetary Policy Committee:MPC)が英国の金融機関に対して情報インフラの復元力(レジリエンス)を向上させるために、規制当局である大蔵省、健全性監督機構(Prudential Regulatory Authority:PRA)や金融行為規制機構(Financial Conduct Authority:FCA)など、そのほかの政府機関が相互連携するように勧告を発令した。それに加え、2014年にはBISによるサイバーガバナンスヘルスチェックの事後始動として、サイバー攻撃に対する体制を調査した。2014年6月には、最新の攻撃手法に対応したテストを行っている。
「イギリスの金融機関の取り組みは進んでいる。サイバー攻撃に対する対策をヒアリングし、脆弱性テストフレームワークを提供している。このテストは、機械的なものではなく、その金融機関の人材や対策といったシナリオを作ったテストになっている点が特徴。踏み込んだ対策だと評価できる。当局を含め、組織的対策を取っているイギリスの特徴となっている」(矢野氏)
韓国での金融分野のサイバーセキュリティ対策は、過去に政府機関を含む大規模なサイバー攻撃を経験していることを受け、サイバー攻撃が国民の財産、安全保障を脅かす存在になっている認識があり、国家と金融業界として組織的な対策が進められている。そこで2013年7月と10月に金融委員会(Financial Services Commission:FSC)が金融機関のサイバーセキュリティ保護のための強化策を発表した。
2013年12月には金融機関が取るべきサイバーセキュリティ態勢として、金融機関のIT担当者は全従業員の5%以上、そのうち情報保護担当者はIT担当者数の5%以上で構成し、セキュリティ予算はIT予算総額の7%以上とすることなどが提言された。「人員数、予算の具体的な目標をあげるなど、かなり注目に値する内容となっている」(矢野氏)
EUの金融分野のサイバーセキュリティ対策としては、欧州ネットワーク情報セキュリティ庁(European Network and Information Security Agency:ELISA)が2004年に設立され、ICTインフラの保護に関する政策、法整備を進めている。
