金融システムの問題は安全か?

呉井嬢次(Johji Kurei) 2005-11-15 11:57:00

東証のシステムトラブルは重大

 東京証券取引所のシステムトラブルによって、株取引が停止した。日本では情報基盤の中でも重要インフラと呼ばれる分野がある。その一分野には、金融が含まれている。東京証券取引システムは証券会社が利用し、個人投資家は間接的に利用している。しかし、銀行、証券でも同じことが起きないとは限らない。金融システムのセキュリティはどのようになっているのだろうか。

金融庁の検査マニュアルは公開だけど、、、

 まず金融庁は、金融機関に対して検査を実施している。そこで問題が発見されると、改善されることになる。もちろん改善の見込みがなければ、業務の停止となるし、最悪の場合は免許取り消しとなる。金融庁の検査については、同庁のホームページで公開されている。これに対して、金融システムの情報セキュリティーに関するガイドラインは、金融情報システムセンターから発行されているが、会員制となっており、ホームページでは公開されていない。

金融機関はITリスクに対応が不十分

 金融システムといっても、銀行、証券、保険等がある。最近のダウンサイジング、システムの統合によって、ITリスクが重視されているのは共通している。システムのダウンによって、納期までにお金を振り込めなくなれば、企業の存続に影響を与える。これは企業だけの問題ではない。国の金融システムが不安定であれば、資本主義である国として信用できないことにつながる。海外の資金が日本を避けて動くことになる。証券取引システムが不安定となれば、外国投資家が取引を避けることになるだろう。それだけ、金融システムは重要な役割を担っているのである。

データベースのセキュリティ対策の現場

 個別の金融システムに限定してみよう。どの金融機関でも、大手ソフト会社のデータベースを使用している。当然ながら、バグは多数存在する。しかし、24時間稼動している金融機関のデータベースの場合、パソコンのように、再起動させるわけにはいかない。そこでどうするか。その金融機関固有の脆弱性回避プログラムを開発し、適用する。つまり、同じソフトウエアを動かしている他の顧客には教えずに、逐次的にセキュリティーを回避させる方法を使う。このようなバグ情報は、大手ソフト会社の中でも厳重に管理されているので、他に情報が流れることはない。もし、別な金融機関で同様なトラブルが発生した場合は、状況に応じて対処することになる。このような非公開のセキュリティー対策の方法については、脆弱性をオープンにして問題を解決していく人にとっては異論があるだろう。長期間、情報システムを開発、維持管理しているノウハウを持つ金融機関が、このような判断をしているのだから、別な根拠があると思いたい。

 しかし、インターネットに接続され、利用者が急増する現在、金融システムもホームトレード、携帯電話などに対応が迫られている。過去の運用実績から、安心して情報システムを稼動していても、新しい脅威には対応できない。

金融分野の情報セキュリティー対策を見直せ

 これまで、金融機関の情報システムは、セキュリティーが高いと言われてきたが、いつまでも「金融分野のセキュリティーは高い」という思い込みを改める必要がある。銀行統合、証券会社のシステムトラブル、ATMに設置された盗撮装置の不正設置などの事件が相次いでおり、抜本的に見直す時期に来ている。景気が良くなっていく今、企業自身が不安定な情報システムを持つ金融機関を識別し、選ぶ時代になってきたのではないだろうか。

金融庁 検査マニュアル
http://www.fsa.go.jp/manual/manual.html

金融情報システムセンター
http://www.fisc.or.jp/

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?