2012年にはEUのコンピュータ緊急対応チーム(Computer Emergency Response Team:CERT、一般的にはComputer Security Incident Response Team:CSIRT)が設立され、サイバー攻撃時の協力体制のシミュレーション演習や啓蒙活動を実施しており、現在は欧州刑事警察機構(European Police Office:Europol)とデータ保護規制を綿密に行うといった施策を取っている。「EUのデータ保護規制は、日本企業がEUでビジネスを行う際にはこの対策を取る必要がある」(矢野氏)
こうした海外の動きに対し矢野氏は、「各国ごとにかなり毛色が異なり、それぞれ特徴を持っている。日本もこうしたものに追随していくことになるだろう」と海外の施策が参考にされると分析している。
求められる効率的な情報共有体制
実際の日本の取り組みついては、4月21日発表の金融庁の監督方針改正に続き、7月2日に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」が発表された。
PwC サイバーセキュリティセンター パートナー 山本直樹氏
こうした方針を徹底するために、金融機関における対策推進のポイントは、(1)情報共有機関などの活用(官民連携)、(2)サイバーセキュリティ人材の育成、(3)サイバーインシデント対応演習の反復――3点だと山本氏は指摘する。
官民連携の情報共有の活用は、「サイバーセキュリティの被害額は毎年伸びているが、対策投資額は伸びていない。セキュリティインシデントはいつ起こるかわからないため、どのくらい投資するのは経営判断が分かれる。企業単体では太刀打ちできなくなっている現状があることから、官民が連携して対策を取っていくしかないのではないか」と山本氏は指摘する。
情報共有の仕組みとして、米国では大統領令13691号で情報共有が強化された実績がある。対する日本では、2014年8月に一般社団法人の金融ISACが設立された。金融ISAC(Information Sharing and Analysis Center)は、金融機関の間でセキュリティの情報を共有する米Financial Services Information Sharing and Analysis Center(FS-ISAC)と同様の動きを狙って設立された組織だ。
こうした海外の実績を踏まえ山本氏は「日本でも金融ISACが誕生し、金融機関は加盟する流れができている。海外では、もっと大きな枠組みで協力することが求められるなかで、大統領令を発令するといった動きが出ている。日本ではとりあえず“金融ISACに加盟したので情報をください”で終わっているが、情報共有の仕組みはギブ&テイクでなければ効果が出ない。お互いの情報を共有する信頼関係を作ることが必要では」と提言する。
具体的には外部機関と窓口となる担当を明確化し、金融ISACに加え、セキュリティに関連した情報を共有して連携する拠点となる組織として“情報共有分析機関(Information Sharing and Analysis Organizations:ISAO)”を地域や企業間で担い、情報共有や連携を強化すべきとしている。入手した情報に対しては、自社に影響があるものについては効果的に展開する。遵守した状況のモニタリングプロセスの構築、ISAOからの情報や海外動向を考慮したセキュリティ戦略の見直しなどが必要だと提言している。
ここで課題となるのがサイバーセキュリティ人材であり、サイバーセキュリティ人材の育成が根深い問題となっている。情報セキュリティ専任者は海外では60%の金融機関が設置しているのに対し、日本は40%にとどまる。さらに、日本ではサイバーセキュリティ技術者だけでなく、最高情報セキュリティ責任者(CISO)が人材不足であることが明らかになっている。
「日本企業の情報セキュリティに積極的な役員クラスのリーダーが存在していると回答した企業は41%にとどまっているが、グローバル企業は64%存在する。さらに欧米銀行に同様に質問したところ、758行のうち72%が設置済み、10%が1年以内に設置予定と回答している。こうした調査結果と比較し、日本の金融機関は改善の余地があると感じる」(山本氏)
こうした結果を受け、「現場レベルでセキュリティ監視する人は徐々に強化される傾向にある。ところが、経営者レベルは不在のままで現場だけ頑張っている。この状態で企業が経営責任を取れると言えるのか。日本でも経営レベルでの責任者が求められるようになるのではないか」との見方を山本氏は示した。
山本氏は「実際にはCISOに適した人材がいないので、時間をかけて育成するのか、外部からの採用か、いくつかのパターンが考えられる。企業カルチャーに馴染み、社内に認知されるのかも重要なので、単純に外部から連れてくれば終わりというわけではない。どうするのかという議論が必要な時期に来ている。そのための人材は、社内を横断的に先導し、情報を収集できる能力を持ち、技術の話がつきまとうのでCIO(最高情報責任者)やIT部門も牽制できるような人材が必要」だと指摘している。
サイバーインシデント対応の研修については、2014年10月に国内初となる金融機関共同サイバー演習が実施され、6社が参加。2015年8月の金融ISACによる本格的な業界合同のサイバー演習には見学を含め60の個人や団体が参加した。
「米英では大規模な業界をまたいだ訓練、演習が何度も開催されている。金融庁の方針の中にも共同演習という言葉が出ているので、今後、活発になっていくのではないか。実効性のあるものが必要になっている。また、日銀レベルまで含めた演習する必要があるのではないか。現在、各金融機関、金融ISACも頑張っているので、良い方向に進んでいくだろうと考える」(山本氏)
