第820号コラム: 安冨 潔 理事(慶應義塾大学名誉教授 弁護士 金融情報システムセンター評議員)
題:「金融機関へのサイバー攻撃とデジタル・フォレンジックの利活用」
急速なデジタルトランスフォーメーションに伴い、情報通信技術は、今日の社会にとってのビジネスだけでなく我々の日常生活に不可欠なインフラ・ストラクチュアとしての役割を担っています。ことにネットワーク技術の進展や高度通信を提供する技術開発により新たなビジネスモデルやサービスが登場してきています。他面、IoTの進展により、多様なデバイスがネットワークに接続されることに伴い、ネットワークの管理とセキュリティに新たな課題が生じています。また、近年.重要インフラなどに対する巧妙なサイバー攻撃もあとを絶ちません。
サイバー攻撃への対策は、サイバーセキュリティの保護を目的としています。
そのためには、構築された管理体制のもとで策定されたサイバーセキュリティポリシーにしたがって、適切に運用していくことが求められます。しなしながら、システムの脆弱性を悪用した、情報セキュリティへの脅威を惹起する新たなサイバー攻撃がつぎつぎと登場しています。
ことに金融機関にとって、金融情報システムは、事業を支える基盤であると同時に、経済社会の運営、さらには国民生活の安定と発展に不可欠な重要インフラです。わが国の金融情報システムは、技術の進化によって大きな変革を遂げてきています。その一方で、金融情報システムが直面する脅威とリスクも変化し、その脅威とリスクは一段と高まっています。システムリスク管理は金融機関にとって優先度の高い課題です。サイバー攻撃の手段や手法が巧妙化・高度化し、規模の大小に関わらず全ての金融機関が攻撃の対象となる可能性があるなかで、これに対するサイバーセキュリティ対策をいっそう進めることが必要です。
これまでの標的型サイバー攻撃をはじめとしたシステムへの攻撃は、ひとたび障害が発生すれば、市民生活に重大な影響を与えるものであるだけに、適切な対策をとることが重要であることはいうまでもありません。しかしながら、さまざまなサイバー攻撃を想定し、あらゆる起こりうる事象に対してあらかじめ対処方法を策定しておくことは容易ではありません。とはいえ、過去に発生した事象をふまえて、その原因を分析し、サイバー攻撃対策をできる限りとっておくことは金融機関にとっての社会的責任を果たすうえで必要です。
金融機関に対するサイバー攻撃に対しては、攻撃に対するリスクアセスメントを行い、攻撃に対する内部要因外部要因の分析と対応を検討するとともに、インシデントレスポンスに対する態勢を整備しておく必要があります。すなわち、外部からの攻撃を受けないための方策、攻撃による情報漏洩や不正プログラムへの感染に対処する方策、サイバー攻撃によるデータの窃取、改ざん、破壊およびシステムの機能不全に陥らないようにするための方策が検討されるべきです。また、サイバー攻撃によるインシデントが発生した場合、被害の最小化を図り、システムの脆弱性と攻撃態様を特定し、被害の回復を図るとともに、あらかじめ定めた業務継続の手順にしたがってできるだけ迅速に対処する必要があります。
金融庁や金融情報システムセンターでは、こうした対策のためのガイドラインなどを公表しており、その活用が望まれます。
サイバー攻撃への対処にデジタル・フォレンジックは有用です。もっとも、事後的対応として用いられたデジタル・フォレンジックの成果は、サイバーセキュリテイポリシーの策定に活かされなければ意味がありません。他方、金融機関の顧客・利用者に対するサイバー攻撃に対しては、顧客・利用者側のITリテラシーやセキュリティ意識の向上が重要ですが、顧客・利用者の情報格差は避けられません。
金融機関として顧客・利用者に対してさまざまな働きかけをとおして、顧客・利用者側のITリテラシーやセキュリティ意識の向上を図るように努めることが望まれます。
サイバー社会においては、ネットワークで接続されていれば、いずれかのシステムにおける機能不全は、他のシステムへの影響を避けられません。その意味において、サイバー攻撃対策は、各金融機関の経営判断の問題といえます。ことにサイバー攻撃によるインシデントレスポンスに対していかに迅速・適切に対応できるかが経営層にとって重要です。
【著作権は、安冨氏に属します】