ガイドラインの概要
本ガイドラインは、銀行・信用金庫など金融機関のほか金融サービスを提供するFinTech企業を対象としています。
金融庁では過去にサイバーセキュリティの強化を目的として、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公表しています。本ガイドラインでは、これまでの金融業界内外の状況の変化を踏まえて、サイバーセキュリティに関するより詳細な対応要件や対応事項が示されています。
ガイドラインで示された主な取り組みは6つあり、取り組みごとに金融機関が一般的に実施する必要のある「基本的な対応事項」と、実践することが望ましい先進的な取り組みである「対応が望ましい事項」に分類されています。
「基本的な対応事項」、「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、各項目の内容と自組織の置かれた環境を踏まえたうえで、実施の必要性についてそれぞれの組織が判断することを求めています。
ガイドラインの構成
本ガイドラインは下記表の通り3節で構成されています。
第1節では、ガイドライン作成に至った経緯、対象等の基本的な考え方が記載されています。
第2節では金融機関に求められる具体的なサイバーセキュリティの取り組みが記載され、それぞれの項目ごとに「基本的な対応事項」、「対応が望ましい事項」が示されています。
第3節では、金融庁と関係機関との連携に関する基本的な考え方について記載されています。
ガイドラインの第2節で示された6つの取り組み
ここからは、具体的な取り組みが示される第2節について詳しく解説します。
2.1 サイバーセキュリティ管理態勢の構築
サイバーセキュリティ管理態勢の構築では、経営陣や取締役会による取組みが求められています。また、サイバーセキュリティ強化に向けた経営資源の確保については、人材配置や人材育成が重要視されています。内容は以下の表にまとめました。
ガイドラインの内容をもとにALSIで作成
2.2サイバーセキュリティリスクの特定
サイバーセキュリティリスクの特定では、情報資産を管理するための整備のほか、サイバーインシデントに関する情報収集、分析が求められています。また、テストや演習・訓練を定期的に実施することで、リスクや脆弱性を特定、把握することが必要とされています。
対応事項については、「情報資産管理」、「リスク管理プロセス」、「ハードウェア・ソフトウェア等の脆弱性管理」、「脆弱性診断及びペネトレーションテスト」、「演習・訓練」の5項目が示されています。
2.2.1 情報資産管理
情報資産管理では、基本的な対応事項として以下2点が示されています。
①ライフサイクルに応じた管理と必要に応じた見直し
②重要度に応じて保護の優先度を分類し管理すること
他にも主要な対応事項として4項目が挙げられています。下記表では主な対応事項を抜粋し、まとめています。
ガイドラインの内容をもとにALSIで作成
2.2.2 リスク管理プロセス
リスク管理プロセスは、「脅威情報及び脆弱性情報の収集・分析」、「リスクの特定・評価」、「リスク対応」、「継続的な改善活動」の4項目から構成されています。
下記表では主な対応事項を抜粋し、まとめています。
ガイドラインの内容をもとにALSIで作成
2.2.3 ハードウェア・ソフトウェア等の脆弱性管理
ハードウェア・ソフトウェア等の脆弱性管理の主な対応事項を抜粋しました。
ガイドラインの内容をもとにALSIで作成
2.2.4 脆弱性診断及びペネトレーションテスト(※1)
診断性診断及びペネトレーションテストの主な対応事項を抜粋しました。
ガイドラインの内容をもとにALSIで作成
(※1)ペネトレーションテストとは、エンジニアが実際の攻撃者と同様の手法を用いて組織の情報システムに侵入を試みることでそのシステムの攻撃耐性を検証するテスト。
2.2.5 演習・訓練
演習・訓練の主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.3 サイバー攻撃の防御
サイバー攻撃の防御では、サイバー攻撃に備えた不正侵入や不正利用を防止するための対応事項が示されています。また、データ管理の観点では、基本的な対応事項としては、「多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じること」が示されており、他にも主要な対応事項として以下4項目が挙げられています。
2.3.1 認証・アクセス管理
認証・アクセス管理の主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.3.2 教育・研修
教育・研修の主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.3.3 データ保護
データ保護の主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.3.4 システムのセキュリティ対策
システムのセキュリティ対策は、「ハードウェア・ソフトウェア管理」、「ログ管理」、「セキュリティ・バイ・デザイン」、「インフラストラクチャ(ネットワーク等)の技術的対策」、「クラウドサービス利用時の対策」の5項目から構成されています。
下記表では主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.4 サイバー攻撃の検知
サイバー攻撃の検知では、サイバー攻撃の発端を検知するためにハードウェア・ソフトウェア等の継続的な監視、分析を実施することが求められています。
また、役職員の不審な振る舞い、データセンターやサーバー室への不審な活動などの物理的脅威への監視が必要とされています。
基本的な対応事項としては、「サイバー攻撃の脅威に応じて、必要な監視・分析などの対策を講じること、監視の対象にクラウドサービスを含める」等が示されています。
他にも主要な対応事項として「監視」が挙げられています。
「監視」についての主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
2.5 サイバーインシデント対応及び復旧
サイバーインシデント対応及び復旧では、サイバー攻撃を想定したインシデント対応計画をサイバー攻撃の種別ごとに策定することが求められています。
また、インシデントへの対応及び復旧については、初期対応から復旧まで段階に応じた対応が示されています。
対応事項については、「インシデント対応計画及びコンティンジェンシープランの策定」、「インシデントへの対応及び復旧」の2項目が示されています。
2.5.1 インシデント対応計画及びコンティンジェンシープラン(※2)の策定
インシデント対応計画及びコンティンジェンシープランの策定の主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
(※2)コンティンジェンシープランとは、自然災害や事故、事件といった緊急事態において企業が受ける被害を最小限に抑えるための計画です。
2.5.2 インシデントへの対応及び復旧
インシデントへの対応及び復旧は、「初動対応(検知・受付・トリアージ(※3))」、「分析」、「顧客対応、組織内外の連携広報」、「封じ込め」、「根絶」、「復旧」の6項目から構成されています。下表では主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
(※3)トリアージとは脆弱性が見つかった時やセキュリティインシデントが発生した際に、対処すべきトラブルの優先順位を判断すること。
2.6 サードパーティリスク(※4)の管理
サプライチェーンに関係するサイバーインシデントにより、金融機関等が多大な影響を受ける事例が発生しています。こうした状況を踏まえて、ガイドラインではサードパーティリスクの適切な管理が求められています。
主な対応事項を抜粋し、まとめました。
ガイドラインの内容をもとにALSIで作成
(※4)サードパーティリスクとは、商品やサービスを提供するために業務上の契約関係を持つ組織、当該商品、サービスの提供に必要な事業者から生じるサイバーリスクを指します。
このようにガイドラインでは、ガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理の着眼点で分けられており、それぞれについて、「基本的な対応事項」と「対応が望ましい事項」が示されています。
まずは、金融機関が一般的に実施する必要のある「基本的な対応事項」からセキュリティ対策を進めることで、昨今増加しているサイバー攻撃に備えることをおすすめします。
ランサムウェアによる被害の増加
ここからは、サイバー攻撃のなかで特に注意すべき「ランサムウェア」について、詳しく見ていきます。
サイバー攻撃のなかでもランサムウェアによる被害が増えています。警察庁が2024年9月に発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」においても、ランサムウェアの被害報告件数は114件で前年度と比較して高水準で推移しています。
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウェアをはじめとしたサイバー攻撃は企業を選びません。しかし金融機関は、大量の機密データや金融資産を扱っているため、サイバー攻撃の標的になりやすいといわれています。実際に金融機関へのサイバー攻撃の件数は2004年から2022年の間で10倍以上増加しています。
出典:IMF BLOG「サイバー脅威の高まりが金融の安定にとって深刻な懸念に」
また、ランサムウェアによる被害は広範囲に及びます。ランサムウェアに感染するとデータやシステムの復旧、原因や被害の調査などさまざまな負担が発生し、高額なコストがかかります。データやシステムの復旧等には、時間を要する恐れがあり、業務やサービスの停止などによる経済的損失も考えられます。
警察庁の調査によると、ランサムウェア感染時の復旧等に要した時間として1週間以上かかったという回答が7割を占めています。なかでも復旧中の企業は約半数以上を占めており、調査・復旧費用としては500万円以上かかったという回答が5割以上を占めています。
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
さらに、ランサムウェアによる被害は経済的な損失だけではなく、機密データ等の情報が漏洩する恐れがあります。過去には、大手出版社がランサムウェア攻撃を受け、約25万人の個人情報が漏洩した事例があります。情報漏洩が発生すると、顧客や取引先などからの信頼を損なうことにつながってしまいます。
4つの観点から考えるランサムウェア対策
ALSIでは、ランサムウェアの対策として、感染を防ぐ「侵入前」「侵入後」、侵入された際の「データ保護」、業務への影響を減らすための「復旧」の4つの観点で対策することが効果的だと考えています。
下記表では、ガイドライン内でランサムウェア対策に該当する対応事項をピックアップし、段階ごとにまとめています。
上記に対応することで、ネットワークへの不正アクセスを防止し、事前にランサムウェア感染を防ぐことができます。万が一感染した場合でも監視・分析を行い、原因を除去することで被害を抑えることができます。さらにデータの保護、ランサムウェア攻撃のリスクを考慮したバックアップを行うことで、データの情報漏洩を防ぎ、早期復旧が可能なため、業務への影響を最小限に抑えられます。
ガイドラインに沿ったセキュリティ対策
ここからは、ALSIのソリューションを活用した具体的な対策をご紹介します。
■侵入前
侵入前対策としては、「クラウドアクセスセキュリティ」、「ファイル転送システム」、「デバイス・ネットワーク制御」という3つのソリューションを提供しています。
・クラウドアクセスセキュリティ「InterSafe Advanced SecureConnect」
「InterSafe Advanced SecureConnect」は信頼されたアクセス元からのみ社内システムやSaaSサービス、インターネットへのアクセスを可能とします。ソフトウェアSIMによる
高度な端末認証と、特許技術による高度な通信暗号で通信の安全性を担保します。ガイドラインにある「専用線や暗号技術を活用してネットワークのセキュリティを確保する」、「無線LANネットワークへのアクセスは、適切な認証機能及びアクセス制御機能を実装し、不正利用を防止する」といった項目に対応できます。
・ファイル転送システム「InterSafe FileTransporter」
「InterSafe FileTransporter」は論理的に分離されているネットワーク環境において、双方のネットワーク間で安全なファイルの受け渡しを可能とするソリューションです。ガイドラインにある「外部ネットワークと内部ネットワークとの間のデータ授受に対する不正侵入防止策を講ずる」といった項目に対応可能です。
・デバイス、ネットワーク制御「InterSafe DeviceControl」
「InterSafe DeviceControl」は、PCに接続する「外部デバイス」や「ネットワーク」からの情報漏洩を防ぐソリューションです。USBメモリなどによるデータの持ち出しをアクセス制御とログ管理で一元管理することができます。また、外部デバイスの利用管理に加えて無線LANなどのネットワーク利用制限が可能であるため、ガイドラインにある「無線LANネットワークへのアクセスは、適切な認証機能及びアクセス制御機能を実装し、不正利用を防止する」という項目に対応可能です。
■侵入後
侵入後対策としては、AI自動運用EDRの「SentinelOne」を提供しています。
「SentinelOne」は、AIによる自動運用で、マルウェアを検知、排除、分析し、ランサムウェア被害にあったファイルを元通りに修復します。従来のEDR製品では、脅威の検知から解決までの間にネットワークを隔離されダウンタイムが発生します。「SentinelOne」では、自動対応によって即時に修復まで完了するため、ダウンタイムを最小限にします。ガイドラインにある「サイバー攻撃の脅威に応じて、必要な監視・分析などの対策を講じる」、「サイバー攻撃により被害が発生した原因を除去する」という項目に対応可能です。
■データ保護
データ保護に関しては、前述した「InterSafe DeviceControl」に加え、ファイル自動暗号化の「InterSafe FileProtection」とセキュリティUSBメモリ作成の「InterSafe SecureDevice Ultimate」を提供しています。
・ファイル自動暗号化「InterSafe FileProtection」
「InterSafe FileProtection」は、ユーザーがファイルを保存した際に自動で暗号化を行います。暗号化したファイルは、普段通りの操作で利用できるため業務効率を損ないません。文書の重要度に応じた暗号化テンプレートを作成し、ユーザー属性ごとにアクセス制御を実施することもできます。メールの誤送信などによりファイルが流出した場合も、第三者への漏洩を防ぐことができます。ガイドラインにある「情報の重要度に応じてデータを分類し、データを保護する」という項目に対応可能です。
・セキュリティUSBメモリ作成「InterSafe SecureDevice Ultimate」
「InterSafe SecureDevice Ultimate」は、市販の汎用USBメモリをセキュリティUSBに
変換することができます。あらかじめ登録していないPCへ接続した際には、データのコピーや移動を制御し、情報漏洩を防止します。また、パスワード認証による暗号化も備えているので、盗難・紛失時の対策としても有効です。ガイドラインにある「外部記憶媒体の保護と使用(使用制限・暗号化など)に関する管理手続を策定し、実施する」という項目に対応可能です。
■復旧
復旧対策としては前述した「InterSafe FileProtection」の自動バックアップ機能をご紹介します。
「InterSafe FileProtection」の自動バックアップ機能は、ファイルを暗号化した際にサーバーまたはクライアント端末内にある第三者がアクセスできない安全なフォルダに自動でバックアップを取得します。ランサムウェアによる被害にあった場合でもバックアップファイルからすぐに業務復旧が可能です。ガイドラインにある「組織内ネットワークから切り離した複数の環境での保管や媒体等へのバックアップを実施する」という項目に対応可能です。
まとめ
ランサムウェアなどのサイバー攻撃は増加傾向にあり、なかでも金融機関は大量の機密データや金融資産を扱っているため、サイバー攻撃の標的になりやすいといわれています。金融分野におけるサイバーセキュリティガイドラインでは、金融機関等に求められるセキュリティの詳細な対応要件や対応事項が示されています。特にランサムウェアに感染すると情報漏洩や業務停止の恐れがあるため、金融機関としては優先的に対策が必要です。
今回は侵入前、侵入後、データ保護、復旧の4つの視点からランサムウェアによる対策をご紹介しました。対応事項のいずれについても、自組織の置かれている環境を踏まえた上で実施の判断をすることが求められていますが、実施検討すべき事項は多岐にわたります。まずは、今回紹介したランサムウェアの対策から導入を進めることで自組織のサイバーセキュリティを強化してみてはいかがでしょうか。