情報セキュリティ対策の監督指針(金融庁が指針改正予定)


日経新聞平成18年7月14日号に小さな記事で、金融庁が情報管理指針を今秋策定するとの記事がありました。ATMやネットバンキングでの不正取引を防止する監督指針です。それ自体は良いとして、その理論的根拠が今年3月から6月に3回行なった、たった2時間の自由討議の結果だというので、まさか6時間の議論で、銀行にとって法律にも相当する強制力のある監督指針にしてしまうのか?金融庁も一段とアコギになったものだと感じました。

14日の日経コンピュータのサイトITProでは、「知らなかったは許さない」という激しい見出しで、当件に関する記事が掲載されていました。

http://itpro.nikkeibp.co.jp/article/NEWS/20060714/243467

概要はこうです。検討会で集めた犯罪手口と防止策について、各金融機関が加盟する協会にフィードバックするので、それに沿った対策をとることが望まれる。万一、同様被害が発生した場合には、必要な防止策を取っていないことになるので、金融機関の経営者(システム担当者ではありません。経営者です。)は、責任を果たしていないことを意味する・・・ということです。これは、記者が金融庁の発表資料から推定した内容なのか、金融庁担当者からヒアリングした結果なのかは判りません。いずれにせよ、秋に監督指針となれば、その直後か同時に(同時というのも面白い話です)、より具体的内容のカイドラインが各協会から発表されます。とはいえ、殆どが全銀協(都銀)のガイドラインと同じです。

金融庁のホームページに当件の資料が開示されています。

http://www.fsa.go.jp/singi/infosec_ken/index.html

これを見るとホットします。機械的・画一的な対策を強制するものではないとしています。犯罪手口の詳細情報を集めて、各種対策の有効性を検証したので参考にして下さい。その時には、場当たりではなく、総合的なセキュリティ対策を取るように。また、リスクに応じた優先付けを行なって対策を考えることが必要だと、至極もっともなことを言っています。更に親切にも、検討の手順や内容も教えています。PDCAが重要だとも言っています。先進的銀行が聞いたら「子供扱いするな」と怒り出すでしょう。誰に言っているのかと思えば、こんな基本的なことが判っていない、判ろうとしない銀行経営者が対象なのだろうと気付きました。

銀行セキュリティ担当者の最大の悩みは、経営陣の無理解・無支援です。それに気付いた行政当局が強制力を持って、「経営マターである。実践せずに犯罪の舞台となるようなことがあれば、経営者を処分するぞ。」ということなのでしょう。

対策にしても、余り無理なことを言ってはいません。生体認証は発展途上の技術なので継続的評価が必要だとか、ネットバンキングでは、複数認証や異常取引検知が有効だと言っているだけです。ただ、これがFISCにかかると暗号化とか異常検知システムなどが、何時の間にか強制的なものに変わってきます。途端に様々なベンダーが、FISC対応と称する製品販売を開始します。金融庁が言う「総合的なセキュリティ対策」は忘れられます。バラバラに製品を導入して終わりです。FISCの職員には、ベンダーからの出向者が多いのですが、その出身母体のベンダーがFISC対応製品に余り熱心でないのは意外です。彼らのマッチポンプ・ビジネスを疑う理由はありません。とはいえ、金融機関のFISCに対する視線は昔に比べると随分と冷たくなっていることは確かです。昔は、金融機関側の姿勢が強かったのですが、最近は行政一辺倒と思われているからでしょう。

今回の監督指針改正の目的や運用方法などは、異論の余地が全くないほど正しく、経営陣に積極的な参画を要請することも大賛成です。ただ、行政が法を使って強制することなのか?利用者保護が問答無用に乱用されているように思います。利用者保護と自己責任についても、せめて1回くらいは議論して欲しいものです。と言うのは、実際の運用になると次々と拡大解釈されて、金融機関のコスト・アップと顧客利便を失うだけにならないかと懸念されるからです。それは、個々の金融機関の経営判断だというのでしょうが、独自に判断できる経営者がいる筈がなく、仮にいても、何かあれば即座に行政から職を奪われるという構図になっています。それに便乗するような品格に欠けるベンダーやコンサルが多いことも事実です。このループに陥った問題の起点は、結局は経営者ということです。その経営者の興味も理解も得られないような世界を作ったのは、ベンダーとIT部門ということなのでしょう。

経営とITの糊しろ部分をカバーする人材が必要なのですが、金融業界にもベンダーにも少なくなりました。若い技術者の方々には、ビジネスと経営の勉強をお奨めします。