金融機関の半数がサイバー被害 (日銀がレポート)

日経新聞が平成29年10月16日、17日にネットと本紙で報道していました。日銀が金融機関のサイバーセキュリティに関する初のアンケート調査結果を公表しました。それによると2015年以降、調査対象411行の5割がサイバー攻撃を受けており、重大あるいは軽微な影響があったとする回答が合わせて10.9%だったということです。金融機関当りのセキュリティ・コストは15年度の1億1300万円から17年度には1億7800万円に急増しているが、対応の不十分な金融機関がまだ多い実態が浮かび上がったとしています。

このレポートは、10月16日付で金融機構局が公表した金融システムレポート別冊です。

https://www.boj.or.jp/research/brp/fsr/fsrb171016.htm/

それによると、脅威が高まっていると認識する金融機関は85%を越え、実際に事案が発生したとの回答は31.3%。重大な影響があったとするのは1.2%で、軽微な影響は9.7%としています。被害は発生しなかったが、攻撃が試みられたとするのが19.7%で、攻撃を受けたことがあるとする回答合計は51.0%となります。これは、産業界全体からすると常識的な範囲かもしれませんが、対象に信用金庫や信用組合も含んでおり、ネットサービスがそれほど利用されておらず、海外では知られていないことを考えると、やはり脅威が歴然と存在すると言わざるをえません。

対策に関しては、予算や要員についても調査しています。金融機関と話をするとセキュリティ対策の費用に際限がなく、どこまでやれば良いか判らないことが最大の悩みのようです。ですから、セキュリティ・コストが1億78百万円に増えたとしても、その妥当性はだれにもわかりません。韓国では、規制当局がIT投資額の10%はセキュリティに向けるように指導していますが、それでもセキュリティ・インシデントが続発しています。わが国の規制当局は、セキュリティ投資額の基準は何も公表しておらず、リスクベース・プリンシパルを求めるだけです。金融機関経営者としては、どこまでやれば何かあった際の経営責任を逃れられるかを知りたいのでしょうが、それを聞かれても答えようがありません。「海外の犯罪者に目立たないようにして、攻撃を受けないことを願うだけですね。」と殆ど冗談で回答せざるをえません。

更に大きな課題は、セキュリティ要員です。65%が要員不足と回答しています。専任者のいる組織を常設しているのは10.9%であり、これは地域銀中位行以下の規模には専任組織・要員がいないことを意味します。ネットバンキングも企業サイトも外部委託しており、その業者が監視しているから専任は要らないと考えているのかもしれません。しかし、ベンダーは監視をできても、インシデント発生時に意思決定ができません。営業活動を停止するなど判断が必要な時があります。それには、金融機関のCEOかそれに準ずる権限を持つ人でなくてはきません。

更には、BCPを策定してはいるが、それにサイバー攻撃に対処する態勢をとりいれている金融機関は50%強です。攻撃タイプは、標的型攻撃、ランサムウェア、DDos攻撃の三つが調査対象ですが、この全てに対策を立てているのは、レポートでは明示されていませんが、2割強といったところのようです。従来のBCPは災害時やシステムの大規模障害を想定していますが、サイバー攻撃の場合は、二次被害など対応すべき状況が刻々と変わること、場合によってはシステムやネットワークを強制的に遮断、停止する必要があることを考えると、従来型BCPではカバーしきれないと日銀は指摘しています。

営業店端末の回線をインターネットと分離しているとの回答が7割、PC等内部OA環境をネット分離しているのが6割です。USB等外付け記録媒体の厳重管理もしているから余り心配は要らないと考えている金融機関が多いようです。こうした内外分離の防御策を取っても、50%が攻撃を受けた形跡があるということは、ネットワーク分離だけで安心はできないことを意味しています。

つまり、狙われたら被害を受ける可能性があるという前提をおく必要があります。このことは、大分以前から言われていますが、IT素人の経営者に理解させるのは難しいと思われています。しかし、筆者が接触した多くの経営者で、このことを理解していない経営者はゼロです。もっと、インシデント発生を前提にして被害最少化、復旧迅速化、原因究明・再発防止策にも力をいれるべきだし、経営陣は理解してくれると思うのですが。最近では、セキュリティ所管部門がハッキリと経営陣に提言しないなら、行政がものを言おうという流れになっています。検査などでは、随分と具体的に対策強化を求めていると聞きます。

こうした対策を立てても訓練・演習をしておかないと、いざという時に何の役にも立ちません。どの金融機関も社内訓練・演習は行なっていますが、サイバー攻撃を前提とした訓練は、4割強だというのは意外です。少なすぎる。その一方で業界横断演習等他社と連携した演習は46%が実施していると回答しています。見学するだけで演習と考えているのではないかと、少々不安になります。要員がいないのだから、演習のしようがないだろうと言われれば、それまでなのですが。

おりしも金融庁が今月23日から26日の4日間をかけて業界横断型のサイバーセキュリティ演習DeltaWallUを実施しています。今回は参加社数が100社程度と前回の77社から3割増えています。主催は総務企画局政策課ですが、検査局など他局も全面的に参画しているそうです。この演習概要に「つつがなく演習をクリアして良しとせず、とり得た他の選択肢等を提示するなど事後評価に力点を置く。」とあります。意味するところは、同庁がしばしば強調する「ミニマム・スタンダードでの満足ではなく、ベスト・プラクティスを追求する。」という基本姿勢があるようです。前述のどこまでやれば許されるのかという質問に、これからは「ベスト・プラクティスの追求です。」と答えましょう。セキュリティ・ベンダーには良い事業機会ですが、売上至上は顧客を失うだけと肝に銘じて、より低コストで実効性のある対策を提供していただきたい。セキュリティ・ベンダーには、マキシム・インカムではなく、ベスト・プラクティスを求めることにしましょう。

                        (平成29年10月24日 島田 直貴)