ここから本文です

金融分野におけるサイバーセキュリティに関するガイドラインとは?今すぐ取り組みたいセキュリティ担当者のための実践ポイントを解説



金融機関は、その業務の特性上、サイバー攻撃の標的になりやすい業種です。デジタル技術の活用が加速する一方で、セキュリティ対策を一層強化する必要があります。金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン」では、いわゆるサイバーハイジーン(=基本的なセキュリティ対策の徹底)の重要性が強調されています。本コラムでは、セキュリティ担当者が最初に取り組むべきポイントを、ガイドラインに沿って解説します。



目次

  1. 金融業界を取り巻くサイバー脅威の現状
  2. 金融分野におけるサイバーセキュリティガイドラインとは
  3. サイバーハイジーン対策でまず取り組むべきこと
  4. セキュリティガイドライン対応におけるネットワークと機器の現状把握からセキュリティ対策まで行える「自動化ツール」とは?


金融業界を取り巻くサイバー脅威の現状



生成AIやクラウド、トークン化など、ここ数年のデジタル技術革新のスピードは驚くほど速くなっています。以前は技術革新のペースを「1年が7年に相当するドッグイヤー」と形容してきましたが、現在ではそれすらも上回るスピードで進行しています。

技術革新は、金融業界においても大きな機会とリスクをもたらしています。機会としては、労働生産性の向上や付加価値の高い金融サービスの開発など、デジタル技術による効果は非常に大きいと言えるでしょう。さらに、不動産をブロックチェーンでトークン化するなど、新たなビジネスモデルの創出も期待されています。

一方で、デジタル技術の進展に伴う最大のリスクの一つが、サイバー攻撃の脅威です。多額の資金や膨大な個人情報を扱う金融機関は、組織内のデータを窃取し身代金を要求するランサムウェア攻撃の標的になりやすいと言えます。

また、関連企業や取引先などを経由して攻撃を仕掛けるサプライチェーン攻撃も増えています。こうした攻撃を防ぐためには、サプライチェーン全体や金融業界全体で、セキュリティレベルを引き上げることが求められています。

しかし、サイバー攻撃は日々高度化・巧妙化しており、特に規模の小さい金融機関ではセキュリティ投資に限界があるのが実情です。たとえ単独で対策を強化しても、サプライチェーンに脆弱性が残っていれば、完全な防御は困難です。そのため、金融業界全体で連携を強化し、情報共有を推進するなど、共通の課題として取り組むことが重要です。



金融分野におけるサイバーセキュリティに関するガイドラインとは

金融庁では「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を策定し、金融セクター全体でのセキュリティ強化を促進してきました。規定に基づく検査やモニタリングを通じ、金融機関ごとに個別対話を行い、その成果を業界全体に還元する活動も行っています。

こうした検査やモニタリングの結果と金融セクター内外の状況を踏まえて、2024年10月に公表されたのが「金融分野におけるサイバーセキュリティに関するガイドライン」です。ガイドラインは「1.基本的な考え方」「2.サイバーセキュリティ管理態勢」「3.金融庁と関係機関の連携強化」の三部構成となっています。

第1章では金融機関に求められるサイバーセキュリティに関する基本的な考え方を、第2章では金融機関が取り組むべきことを明確に示しています。また第3章では、金融庁が情報共有・情報分析の強化や金融犯罪の未然防止・被害拡大防止などに取り組むにあたり、関係機関とどのように連携していくかが記載されています。

取り組みについては「2.サイバーセキュリティ管理態勢」で、次の6領域について記載されています。


2.1.サイバーセキュリティ管理態勢の構築
サイバーセキュリティの基本方針や規定の整備、人材の育成、リスク管理部門による監視や内部監査、といった組織に求められる管理態勢について

2.2.サイバーセキュリティリスクの特定
情報資産はライフサイクルに応じて管理し、重要度に応じて保護の優先度を分類・管理することを規定しています。またサイバー攻撃を未然に防ぐため、脅威情報の収集・分析や情報資産の脆弱性管理、脆弱性診断、演習・訓練などの実施

2.3.サイバー攻撃の防御
サイバー攻撃を防御するための認証・アクセス管理、教育・研修、データ保護、システムのセキュリティ対策など

2.4.サイバー攻撃の検知
サイバー攻撃の監視から分析、報告までの手続きを策定し、攻撃の脅威に応じた監視・分析対策の実施

2.5.サイバーインシデント対応及び復旧
サイバー攻撃を想定したインシデント対応計画やコンティンジェンシープランの策定とともに、インシデント発生時の初動対応や分析、顧客への対応、関係機関の連携、広報などの実施

2.6.サードパーティリスク管理
業務プロセス全体を対象としたサードパーティのリスク管理

ガイドラインは、これら各領域における『基本的な対応事項』と『対応が望ましい事項』を明文化しています。「基本的な対応事項」は、注釈で述べられているサイバーハイジーンの考え方を基に定義されています。

サイバーハイジーンは近年注目されている概念で、ハイジーンは「公衆衛生管理」という意味です。サイバー空間において公衆衛生管理をする、つまりIT資産を適切に管理し、セキュリティパッチをきちんと適用する、といった基本の対策を社内に浸透させることを指します。

また「対応が望ましい事項」には、金融機関の規模・特性を踏まえると実践が望ましい取り組みや、大手金融機関などが参照すべき先進的な取り組みが記載されています。ガイドラインでは「基本的な対応事項」と「対応が望ましい事項」を、単に一律で実施するのではなく、リスクベース・アプローチにより優先順位を判断して対応すべきであるとしています。

リスクベース・アプローチとは、事業環境や経営戦略、リスクの許容度を踏まえてサイバーセキュリティリスクを特定・評価し、リスクを抑える対策を講じることです。まずは、ガイドラインにあるサイバーハイジーン対策で不足している事項を洗い出し、基礎を固めることが重要です。



サイバーハイジーン対策でまず取り組むべきこと



セキュリティ対策の課題としてよく聞かれるのが、「どこから着手すれば良いかわからない」という声です。ガイドラインには多くの項目がありますが、すべての項目を一度に実施することは現実的ではありません。まず取り組むべきは「情報資産の可視化」と「監視」です。


情報資産の可視化
ガイドラインでは、セキュリティ体制の整備に次いで「2.2.サイバーセキュリティリスクの特定」の章があります。この章では最初に情報資産管理についてのガイドラインが示されています。
情報資産管理とは、(1)情報システム・外部システムサービス、(2)ハードウェア・ソフトウェア、(3)データ、(4)データフロー図・ネットワーク図、これら4つの領域を可視化し、常に最新の状態に保つことであるとガイドラインでは定義しています。
(2)ハードウェア・ソフトウェアについては、「対応が望ましい事項」として、複合機やWeb会議システム、IP電話システムなどの特定用途機器についても管理対象とすること、個人が所有する端末や承認されていないクラウドサービスの利用を特定することが挙げられています。
2024年4月に金融庁が発表した「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果(2023年度)」によると、システム変更の都度または定期的にシステム資産の管理簿をメンテナンスしていない組織が2~3割存在します。情報資産の管理は基本中の基本とされていますが、それを徹底するのは容易ではないことが、この結果からもわかります。

監視
2.4.サイバー攻撃の検知」の章では「2.4.1.監視」の項目があります。監視対象の中心となるのは(1)ハードウェア、(2)ソフトウェア、(3)ネットワークです。
(1)の監視項目については、承認されていない端末や組織で定めたポリシーに反する端末がネットワークに接続される時、サーバーや端末の不審な挙動が発見された時などが挙げられています。
(2)の監視項目については、承認されていないソフトウェアのインストールや、ソフトウェアのパッチ適用状況の管理が挙げられています。
(3)の監視項目については、ネットワークへの不正侵入、悪意のあるWebサイトや承認されていないクラウドサービスへの接続が挙げられています。
また監視の領域で「対応が望ましい事項」については、常時監視を行うことや、SIEMなどのツールを活用して複数の監視情報を集約し、リアルタイムにインシデントに該当するかを分析することなどが挙げられています。


セキュリティガイドライン対応におけるネットワークと機器の現状把握からセキュリティ対策まで行える「自動化ツール」とは?

ガイドラインが求める情報資産管理において、最も基本となるのはハードウェアの管理です。マルウェアに感染したデバイスを起点に、他のシステムやネットワークへ被害が拡大するケースが多いため、ネットワークに接続するすべての機器を漏れなく管理し、万一感染が発覚した場合にはいち早く被害を局所化することが非常に重要です。

最近ではデバイスの多様化も進んでいます。PCだけでなくモバイル端末やIoTデバイスがネットワークに接続され、情報資産管理の対象から漏れてしまうケースが増えています。管理者はIT資産の管理に多大な時間を費やしていますが、それでも管理から漏れてしまうデバイスが日々ネットワークに接続されているのが実情です。

「iNetSec SF」は、ネットワークに接続されるデバイスの現状把握や常時監視に役立つツールです。iNetSec SFをネットワークに設置するだけで、接続される機器をリアルタイムかつ一元的に管理できます。

iNetSec SFには次のような特長があります。


PCだけでなく、対象となる特定用途機器にも対応
ガイドラインでは、複合機や特定用途機器を管理対象とすることを「対応が望ましい事項」としています。iNetSec SFはエージェントレス設計のため、ルーター、スイッチ、複合機など、エージェントをインストールできないIT機器を把握できます。

未承認や組織のポリシーに反する機器のネットワーク不正接続を防止
ガイドラインでは、サイバー攻撃の原因を検知するために、未承認ハードウェアなどのネットワーク接続を監視することを「基本的な対応事項」としています。iNetSec SFでは、未登録の機器がネットワークに接続された場合、即時に遮断してマルウェア感染や情報漏えいのリスクを抑えます。ランダム化されたMACアドレスを使用する機器も検知・遮断し、機器固有のMACアドレスでの接続を促すことができます。

ランサムウェア対策が可能
インターネットに接続しない閉域網ではセキュリティリスクが低いとされていましたが、最近では取引先や委託先企業のVPNに脆弱性があるために閉域網を経由してランサムウェアの被害を受けたケースもあります。iNetSec SFの標的型サイバー攻撃対策オプションを利用すると、エージェントレスでパターンファイルの更新が不要なため、閉域網の環境においても検知・自動隔離が可能です。

iNetSec SFは、シンプルな運用で、中小規模から30万台規模まで幅広い導入実績があります。自社の現状把握や管理体制の強化のために、こうした自動化ツールの導入も選択肢の一つとして検討してみてはいかがでしょうか。



参考資料 金融分野におけるサイバーセキュリティに関するガイドライン
(令和6年10月4日  金融庁)
地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果
(令和6年4月  金融庁)

前の記事へ