インターネット・セキュリティ (金融庁が監督指針、検査マニュアルの改正案)


平成27年2月13日に金融庁は、監督指針及び検査マニュアルの改正案を公表して3月16日を期限とするパブコメ募集を開始しました。情報セキュリティに関する金融機関の管理態勢の整備状況につき、監督上の着眼点として、大きく4項目に関する改正を予定しています。4項目とは、@外部委託先管理 Aサイバーセキュリティ管理 Bインターネットバンキング犯罪対策 Cシステムリスク管理です。詳細は、金融庁サイトでご確認下さい。

列挙されている着眼点というかチェックポイントは、既に周知のものですが、実際にできているかは別問題で、金融機関の経営陣にとっては頭の痛い制度案件となります。例えばサイバーセキュリティ対策です。システム障害と併記してサイバーセキュリティをシステムリスクの主要テーマとして取り上げています。サイバー攻撃やサイバーテロは、海外での事例はあるものの、日本では金融機関にとってのリスクとして顕在化していません。ですから、今年1月に日銀が公表した業務継続体制の整備状況でも、サイバーテロをBCPの主要シナリオとする金融機関は52%にとどまっています。大手行は80%ですが、地域銀行では45%しか、このリスクを意識していないということです。

その理由は、インターネットプロトコルを採用していても、外に向けてオープンにしていない。企業サイトは、顧客情報や取引と連動させていないので、攻撃を受けても被害は知れている。インターネットバンキングは殆どの地域銀行がIT企業にアウトソーシングしているから安心というのが、その理由でしょう。ただ、最近、金融庁や日銀が決済高度化という名目で金融機関にサービス革新を迫る動きを強めており、そのサービス革新の柱となるのがインターネットのオープン化です。それには、サイバー攻撃対策が欠かせません。ネットワ−ク戦略に止まらず、全体のITアーキテクチャの見直しも必要ですが、その動きを見せる銀行は、大手行にもありません。

日経新聞の2月17日記事が、カスペルスキー研究所の報告を参照して、世界で約100の金融機関がサイバー攻撃を受け、その被害額は10億ドルを越える模様だと報道していました。また、警察庁が2月12日に発表した資料によれば、昨年一年間に発生したIB不正送金被害は、1876件、29億1千万円で、前年比倍増だったということです。今回の監督指針改正案では、IB不正送金対策に関して、全銀協が提示する防止対策事例を列挙しています。現時点で余り普及していない対策手法が並んでおり、遠からず実施を強く求める伏線かと思われます。例えば、複数経路認証、トランザクション認証、不正検知、電子証明書の別デバイス格納などです。

サイバーセキュリティ管理に関しても取締役会の責任で社内体制の整備を求めています。そういえば、2か月ほど前でしたか、複数の銀行の人達が、「頭取が急にCSIRTを設置すると言いだした。」「うちもそうだ。」「そもそもCSIRTが何なのか判っているのか?」「うちにサイバーセキュリティの判る人間なんていないよ。」などとささやき合っていました。協会でセキュリティ問題の講演と討議があったようです。とりあえず、形から入るのもやむを得ないのですが、CSIRTに入って情報を貰うだけというのは許されません。相互補助の団体ですから、貢献しなくてはなりません。でないと退会させられるかも知れません。人材の確保育成を急がなくてはなりませんが、そんな気が経営トップにあるのでしょうか?

外部委託管理についても、再委託や再々委託など二段階以上の委託を含めて、セキュリティ要件と遵守ルール等を契約書等で明確化することを求めています。ベンダーも大変だろうと思います。今まで顧客である銀行には知らせていなかった、下請け構造を社員名付きで公表し、定期的なモニタリングまで受けなくてはなりません。銀行としては、委託先管理の専門家を手配する必要がありますが、そんな人的余裕もスキル人材も殆どいないでしょう。これまでは、そこまで下請けに投げていたとは知らなかったと言えましたが、これからは報告義務違反となりかねません。元請けですら知らないほど多層的な委託関係が、明らかになることは様々な波紋を引き起こすでしょうが、この業界の健全化に資するかもしれません。

今回の改正案を見ると、ここまで具体的な事例を上げるのかと驚きます。FISCの安全対策基準よりも数段具体的です。FISCは6月頃までに安全対策基準を改訂するとして、クラウド関連の委託先管理やIBセキュリティ対策基準を見直す作業をしています。当然、金融庁と調整しながらと思いますが、監督指針でこれほど具体的に先に書かれてしまうと、辛いだろうなと同情します。

金融庁としては、一部で報道されるように、決済高度化や銀商連携の為の規制緩和などを通じて金融サービスの革新を推進したいのでしょう。その前提として、セキュリティは大きな課題です。金融審議会等では、わが国金融業界のセキュリティ・レベルは世界水準に遅れており、その差が開く傾向にあると認識されています。この状態のままでは規制緩和などできないということかもしれません。裏返せば、監督指針に列挙されるような対策が実施できない金融機関には、規制緩和を認めないという可能性も出てきます。だとすれば、セキュリティは金融機関の生き残りの前提条件となる訳です。経営陣にとっては、インターネットやITが恨めしい存在ということでしょう。ベンダーが千載一遇の追い風だなどとはしゃぐと、顧客トップから嫌われます。まずは自制して、早く安く対応できる提案に努めるべきでしょう。

                                  (平成27年2月18日 島田 直貴)