金融業界に求められるサイバーセキュリティとデジタルトラスト

はじめに

野見山：パネルディスカッションに入る前に、現状を振り返りたいと思います。金融機関におけるデジタル化の進展には、業務のデジタル化とビジネスのデジタル化があります。前者はRPAやAIの活用による自動化や生産性向上、顧客向けポータルサイトをデジタルで刷新するなどデジタルマーケティングやデジタルサプライネットワークによるバリューチェーンのデジタル化があります。後者はイノベーションプラットフォームの構築やデジタルエコノミーの再定義による新規事業やイノベーションの創出、既存事業の変革があります。こうした取り組みを、どの金融機関も横断的に行っているかと思います。

デジタル化を推進していくにはステークホルダーとトラストを確立することが必要不可欠です。デロイトではデジタルトラストの確立に向けた4要素として、ステークホルダーに向けてアプリケーションやサービスでデータがどのように扱われるか「透明性と理解容易性」、偏向した情報提供や不利益を避けるような「倫理と責任」、収集する個人データについての「プライバシと統制」、サービス停止や脅威への対策となる「セキュリティと信頼性」を定義しています。

多くの企業がセキュリティ対策を強化している一方で、深刻なセキュリティインシデントも発生しております。過去1年からカテゴリ別に抜粋します。ランサムウェアでは、データ暗号化による業務停止だけではなく、情報窃取で二重恐喝も増加しています。食品事業会社では四半期報告書の提出遅延に至ることもありました。

サプライチェーンでもリスクが大きくなっています。システム運用管理ソフトウェアの脆弱性を悪用したユーザー企業を一網打尽にするような攻撃、システム会社のクラウドストレージへの不正アクセスで情報漏えいが発生することも。またクラウドサービス活用では、SaaSの設定不備からの情報漏えい、クラウドサービス障害によるシステム停止も顕在化しています。　金融機関に関係するところでは不正出金や不正決済も重要です。大手ネット証券では不正開設した本人名義口座からの不正出金、キャッシュレス決済サービスでは銀行口座の不正連携で不正決済も発生しています。また多要素認証を突破するリアルタイムフィッシングで不正出金も起きています。このように様々な対策はしているものの、更なる取り組みが必要だと痛感するところです。

セキュリティ高度化に向けた取り組みや課題に関連するキーワードをいくつか挙げておきます。デジタル化では「DXセキュリティ戦略」を真剣に考えていく必要があります。これに関連して「セキュリティ バイ デザイン／DevSecOps」、買収があれば「グローバル グループ ガバナンス」も重要になります。先述した通り「サプライチェーンリスク管理」、「オペレーショナル レジリエンス」、「不正出金・決済対策」、「内部不正対策」、こうしたものを支える「セキュリティ人材育成・確保」、「クラウドリスク管理」、「ゼロトラスト」も重要です。

パネリスト各社の取り組み

本日お集まりいただいている皆さまは持ち株会社所属でグローバル グループ ガバナンスが共通項にあるかと思います。それぞれの取り組みについて教えていただけますでしょうか。
まずは松澤さまからおねがいします。

松澤：前職の携帯電話会社ですと監督官庁は総務省でしたが、金融機関だと金融庁となり、FISCの安全対策基準がベースになります。銀行や証券会社だとお客様のアカウント（口座）に高度な不正アクセス対応を実施していくことになりますが、損害保険会社だとそこまで高度な対策が求められないまでも、関連する代理店はかなりの数になります。中には自動車保険を販売する自動車ディーラーのように、金融業界ではない企業にFISCガイドラインに沿った対策をお願いする必要が出てきたりします。

海外子会社や海外拠点のグループガバナンスでは、ヨーロッパ、アジア、北米で個人情報保護に関する規制が異なりますので、NISTのサイバーセキュリティフレームワークのようなグローバルスタンダードをベースにセキュリティ対策をお願いしています。損害保険会社は高い城壁を求められない代わりに、広い範囲に築いていく必要があり、しかもグローバルで城壁のコンセンサスがとれないなかで先方のリテラシーやコストなどを勘案しながら進めていく必要があると感じています。

セキュリティ対策ではリスクを適切に評価しながら、グループ全体でメリハリをつけた支援をしています。同時に本社から直接指示をするだけではなく、グループ内の優良事例を共有することも進めております。

クラウドベースへと進む中、先日は設定不備について緊急点検したところです。対象範囲が広いため、セキュリティ部門がCASBやCSPMで監視強化することも考えています。セキュリティ バイ デザインなど上流工程でのレビュー強化の枠組みも進めています。

最後に人材強化です。内部には専門人材がいないので中途採用で強化することもあります。ただし中途採用には総合職の評価制度が適合しない部分もありますので、専門性の高い人材向けのジョブ型人事制度を人事部と調整しています。専門人材が長く活躍できるように、キャリアデザインの設計にも取り組んでいるところです。

野見山：一般的に金融機関ではデータサイエンティストは攻め、コンプライアンスは守りのように分けていることが多いかと思います。私が知る限りですと、攻めと守りを一体的に運営されているような印象があります。このあたりの狙いや課題などあれば教えていただけますか。

松澤：大事なのはスピード感です。攻めがアクセルで、守りがブレーキですとスピードが出せません。我々は守りをガードレールととらえています。スピードを出しながら、インシデントに当たらないようにチャレンジしていくという姿です。同時に第三者に評価してもらい、適宜見直すことも取り入れてスピード感とけん制を両輪でコントロールしたいと考えています。

野見山：ブレーキではなくてガードレール。いいキーワードが出てきました。ありがとうございます。では次に鍵和田さんお願いします。

鍵和田：私からはグローバルおよびグループでのガバナンス、サプライチェーン、クラウドリスク管理について、弊社が直面している課題をお話します。何かの参考になればと思います。

まずはグローバルおよびグループでのガバナンスから。海外は約60拠点でビジネスを展開しています。グローバルでサイバー対策を徹底すること、インシデント発生時の迅速な情報集約が難しいところです。いろいろな考え方がありますが、やはりグローバルでサイバー対策の統一化・標準化を進めるべきです。各地域、各社の事情があるものの、法制度が厳しい人事や会計に比べたら、まだサイバーはやりやすいかもしれません。弊社も統一化・標準化を進めています。サイバーの分野は欧米が技術的に先行していることが多いので、日本がそれに合わせることが多いです。

少し異なる観点ですが、個人的には、英語が課題と考えます。一部の社員ではなく、皆が英語を分かるようになれば多くの問題が解決すると思います。

次にサプライチェーン。弊社でも、旅行代理店や法律事務所など、ITではない通常の業務委託先がサイバー攻撃に遭う例が出ています。幸い情報漏えいには至っていませんが、ITではない通常業務委託先のリスク管理も大事です。対策の1つとして、社内の脆弱性スキャンツールを外部委託先にも適用して、リスク評価の一助にすることを検討しています。

最後のクラウドリスク管理ですが、私どももAWS、GCP、Azureといったパブリッククラウドを使用しています。従来は社内向けシステムが中心でしたが、それでは宝の持ち腐れとも言えます。少しずつお客様向けアプリも開発していて、既に投資情報提供の「FINTOS!（フィントス！）」、資産管理の「OneStock」などのアプリも提供しています。

インターネットから直接パブリッククラウド基盤を利用するアプリでは、従来のオンプレミスとはサイバーのリスク管理方法が全く異なります。松澤さんも挙げているように、CASBやCSPMを一部導入し、本格的な活用を検討しているところです。

クラウド基盤を活用する理由にはコスト削減や効率化だけではなく、世の中の先進的な人材やナレッジを採り入れるためでもあります。「OneStock」アプリでは、マネーフォワードさんのアカウントアグリゲーション機能と、弊社の強みとなる資産管理のノウハウを融合したサービスとなっています。こうした形で少しでも新しいものを世の中に提供していきたいと考えています。

野見山：英語に関してはみなさんお悩みですよね。最後の部分で、クラウド基盤を積極活用することで人材活用につながるという話がありましたが、先進的な仕事ができることで採用につなげているのでしょうか。

鍵和田：優秀な人が正社員として入社していただければありがたいのですが、優秀な人ほど1つの組織に留まらず、渡り歩いたり、複数の肩書を持っていたりします。採用に結びつけるというよりは、世の中のとんがった方々に気軽に立ち寄っていただき、そのお知恵を生かすことができたら。そんなイメージでクラウド活用を考えています。

野見山：私たちコンサルティング会社も採用は重大な関心事です。「必ずしも採用ではなく、立ち寄っていただく」、これはとても新鮮でした。ありがとうございます。引き続き、銀行から高橋さん、お願いいたします。

高橋：まずはグローバル グループ ガバナンスから。弊社は国内外で150くらい子会社がありますが、事業特性や資本関係が様々なので一律で国内基準を適用することには無理がありました。各地域の事情、リスク状況、サイバー対応の実力などを考慮し、互いに納得して進めていくことが大事だと実感しています。

弊社ではFFIEC CATフレームワークを少しカスタマイズして、全ての子会社に共通の目線でサイバーリスク評価を実施しています。これで会社ごとの成熟度や課題が可視化されますので、東京の経営陣や現地とも共有し、優先順位も議論した上で順次実施しています。基本はリスクベースの判断になりますが、グループ全体最適を考えて集約したり、小規模なら本部が管理を代行したり、SOARで極力自動化したり、少しずつ進めている状況です。

サイバー人材不足は社会全体の課題です。弊社ではサイバー対応に必要なスキルセットを定義し、地道に人材の育成や発掘をしていくしかないと考えています。2015年から「みずほサイバー人材インキュベーションサイクル」を継続的に実施しています。金融の現場は良くも悪くもサイバーの経験ができますので「みずほのサイバー道場」として実践経験を積める場を社内外に解放しています。ここを通じてみずほだけでなく社会全体のサイバー防衛に貢献できればと考えています。卒業生は累計で50名を超えました。社内ではグループ対抗ハッキングコンテストも実施しており、少しずつ人が育ち、増えてきています。とはいえ、まだまだなので社員全体のサイバーリテラシー向上も含めて取り組みを続けていく必要があります。

金融サービスの提供者としては、極力早期に脆弱性を排除できるようにとシフトレフト、DevSecOpsなどへの取り組みも重要です。クラウドネイティブ技術がわかる人材の育成を進めており、2019年度はAWS認定資格に注力しました。開発会社を中心に、一気に400人以上が中級資格を取得しました。

野見山さんがおっしゃるように、デジタル社会にトラストを実装していくには産官学一体となり、志を1つにして様々な取り組みを進めていく必要があります。その鍵となるのがサイバーセキュリティだと思っています。私はよく「デジタル社会の入場券」と言ったりしています。これからも引き続き頑張っていきたいと思います。

野見山：サイバー人材インキュベーションサイクル、コンサルも受けいれているということで、ぜひ私も混ぜていただきたいと思いました。シフトレフトは重要な取り組みですがセキュリティ部門だけでは実現できず、ビジネス部門やITベンダーと能動的にコラボすることが必要です。しかし現実には距離があってうまく進まないというお悩みも耳にします。どのように取り組まれていますか？

高橋：クラウドやAPIの活用は、特にビジネス部門でニーズが高く、割と早くから取り組んでいるのですが、ユーザー単独でやると最後に「やっぱりセキュリティが（足りなかった）」となってしまいます。スピードを阻害しないように、IT部門も早めに入ってガードレールを一緒に作る取り組みが必要です。2018年くらいから社内でCCoE（クラウドセンターオブエクセレンス）を立ち上げて、組織横断的な相談会をしています。組織を作ればすぐ解決するとは限りませんが、それぞれのユースケース毎にセキュリティ実装のノウハウが蓄積されてきています。次々に生まれるAWSの新しいサービスを見極めたり、モダン開発ができるようにコンテナ環境の仕組みを整えたり、ユーザー部門で安全にPoCができるガードレール環境をIT部門がすぐに用意する仕組みを整えるなど。模索中ですが、少しずつチャレンジしています。

野見山：攻撃者もビジネスも変化し、リスクも変化していますので「これに従えばいい」というものはありません。それぞれ重要インフラとしての責務もあるので、大きな失敗もできません。そうしたなか、工夫や苦労されているのがよく分かりました。高橋さんの言葉にある通り、1社単独では限界がありますので、業界横断的、産官学連携、金融ISACなどさらに推進していく必要があるかと感じました。

もう1つ、CISOやセキュリティ部門は大きくシフトチェンジしていく必要があると感じています。デロイトではCISO Labと呼ばれるCISO向けのワークショップを長年に渡りご提供しております。ここでCISOに求められる役割を問うと、数年前はガーディアン（門番）でした。ところが最近ではストラテジストやアドバイザーへと変化しています。デジタル化の推進につれてセキュリティがブレーキになるのではなくガードレールとなり、うまくイノベーションをセキュアにガイドできるような役割が重要になっています。この役割を果たすためには、CISOやセキュリティ部門の組織内での位置付けを変えることや、人材についてもテクノロジーやビジネスを理解した多様な人材を揃えること、ビジネス部門やIT部門とよりプロアクティブにコラボレーションするためのプロセス設計等も含め取り組むべきところかと考えています。今日は皆さま、どうもありがとうございました。