1.金融業界のガイドライン策定の背景
2024年10月4日、金融機関向けに「金融分野におけるサイバーセキュリティに関するガイドライン」(以下、本ガイドライン)が公表されました。重要インフラに含まれる金融業界は、サイバー攻撃の標的になりやすく被害の影響も大きいため、特に堅牢なセキュリティ対策が求められています。
そのため、金融庁を中心にサイバーセキュリティ強化に向けた取組方針や各監督指針の策定、その規定をもとにしたモニタリング実施結果の公表など、セキュリティ対策の強化促進がされてきました。
外部環境の変化
昨今、金融機関におけるサプライチェーンの弱点を悪用した攻撃や、国家レベルの高度なサイバー攻撃などによるセキュリティリスクが増大しています。こうした外部環境の変化に対応するため、これまで以上に金融業界全体でサイバーセキュリティに関する取り組みを一層強化していく必要があります。
このような背景から、金融業界全体におけるサイバーセキュリティ管理態勢の強化を促すためのガイドラインが策定されました。
内部環境の変化
2024年1月に日本銀行が行った調査※によると、9割の金融機関がクラウドサービスを利用していることがわかりました。今後も前向きに利用予定であることから、さらなる増加が予想されます。本ガイドラインにも、SaaSなどクラウドサービス利用に関する内容が追加されており、内部環境の変化もガイドライン策定の背景にあると考えられます。クラウドサービスの利用においては、インターネットのセキュリティ対策が重要です。
※出典:日本銀行 金融システムレポート別冊「金融機関におけるクラウドサービスの利用状況と利用上の課題について」
インターネット利用の増加に伴うセキュリティリスク
インターネットを利用することで想定されるセキュリティリスクは以下の通りです。
【Webの脅威】悪性コードを含むサイトへのアクセスによる感染や情報漏洩のリスク
不正サイトへのアクセスによりマルウェアなどに感染する可能性があります。感染後に不正侵入され機密情報を窃取された後、クラウドサービスやC&Cサーバーを介して外部に漏洩するリスクもあります。
【ファイルの脅威】ダウンロードファイルによるマルウェア感染のリスク
ファイルに含まれるマクロの実行、ファイル記載のリンククリックにより、マルウェアに感染するリスクがあります。
【内部不正】社員による意図的な情報漏洩
掲示板・SNSなどへの書き込みや、クラウドサービスへのアップロードによる情報漏洩のリスクがあります。
【ヒューマンエラー】設定ミスや誤送信による情報漏洩
クラウドサービスの設定ミスや、誤って機密情報を含んだファイルをクラウドサービス、SNSなどにアップロード、メール添付してしまうリスクもあります。
2.金融ガイドラインに則したインターネットのセキュリティ対策
インターネットのセキュリティリスクに対して、ガイドラインに明記されている対策法をご紹介します。
まずは金融セキュリティガイドライン全体の流れをご覧ください。
※ガイドライン全体の詳しい内容は、こちらのブログで解説をしています。
本ガイドラインの項番2「サイバーセキュリティ管理態勢」では、ガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理の7つの領域に分けて、金融業界で対応すべき事項が詳細に明記されています。
インターネット利用に関連するセキュリティ対策としては、以下が挙げられます。
【悪意あるWebサイト、未承認のSNSサービス、ファイル交換サービス等への接続制御】Webサイトへのアクセスによる感染、内部不正による情報漏洩を対策するには、Webフィルタリングなどを使って、Webサイトやファイル交換ができるクラウドサービスなどへの接続を制御・管理することが大切です。
【不正なコードに対する保護】JavaScript、VBScript、PowerShell、またダウンロードファイルに含まれるマクロなどを悪用した感染対策も重要です。Webサイトに埋め込まれた悪意あるJavaScriptコードの発動によるマルウェア感染を防ぐ方法として、Web画面の無害化があります。
ダウンロードファイルについては、マクロの除去、脅威検知を行うことで感染拡大・予防につながります。ファイルレス攻撃に対しては、業務上不要であれば悪用リスクのあるVBScript、PowerShellを無効化しておくことが効果的です。業務上必要な場合は、VBScriptなどを使ったファイルレス攻撃にも対応したエンドポイント製品の導入が望ましいでしょう。
【データの保護】機密データや、重要書類の監視・外部への持ち出し検知・保護などを行うDLP(Data Loss Prevention)またはそれに相当するものを導入し、データ漏洩を監視・保護することが効果的です。情報漏洩があった際にも、すぐに検知・対応することで被害拡大を防止します。
【メールのマルウェア又は不正サイトへのリンクの検出、隔離、ブロック】顧客とのやり取りでは必須であるメールツールですが、Emotetのような不正メールからの感染を防ぐためにメールセキュリティ製品の導入・見直しが望ましいと考えられます。
メールに記載されたリンクからダウンロードしたファイルを経由してウイルス感染して情報漏洩するリスクもあります。その場合、フィルタリングなど利用して、特定サービスのアクセス規制や、アクセスアラートでの通知による把握、ファイルダウンロードにおける無害化処理の実施も有効です。
【外部と内部ネットワークの接続部分への適切な不正侵入防止策(物理的な分離・論理的な分離等)】重要情報を含む端末とインターネットにアクセスする端末を分け、インターネット分離を行うことで、重要情報の漏洩や、感染拡大を防止します。
【セキュリティ脅威の監視と検知】異常な活動を早期に検知するための監視体制の整備や、システムやネットワークのログ管理、異常なアクセスの検知は、インターネット利用におけるセキュリティリスクの低減に有効な対策の一つとなります。
3.分離環境におけるセキュリティ対策の課題
先ほどご紹介した対策案の一つであるインターネット分離は、シンプルかつ効果的なインターネットのリスク対策であり、9割の金融機関に採用されています。
※参考:日本銀行/金融庁「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果(2022 年度)」
一方で、SaaS利用の増加により、インターネット環境におけるセキュリティリスクも高まってきていることが想定されます。また、これまで利用されてきたインターネット分離は、一般的に運用や保守におけるコストが膨大になり、ユーザーの利便性も下がるといわれています。
そこで、インターネットからのセキュリティ対策をしつつ、コストダウンや利便性をアップできるソリューションとして、JavaScriptなどのWebコンテンツを無害化しインターネット分離を実現できる「仮想ブラウザ方式」が注目されています。
4.セキュリティ課題の解消
ALSIでは、インターネットからのセキュリティ対策として「Secure Gateway Suite」をご提供しています。
「Secure Gateway Suite」は、上述の「仮想ブラウザ方式」によるWeb分離・無害化、Webフィルタリング、ファイル無害化の機能を統合したパッケージソリューションです。
【Webフィルタリング:InterSafe WebFilter】
国内最多クラスのフィルタリングカテゴリ数とURL情報のデータベース登録件数を誇る高精度Webフィルタリングで、フィッシングなどの脅威対策に加え、シャドーIT、情報漏洩対策として活用できます。
【Web分離・無害化:InterSafe WebIsolation】
仮想ブラウザ方式により、インターネット接続環境と社内環境のどちらからでもご利用が可能です。ユーザーの操作性を下げることなく、高いセキュリティを担保し、従来の分離方式よりもコストを抑えるメリットがあります。
【ダウンロードファイルの無害化:InterSafe FileSanitizer】
ダウンロードファイルのマクロ除去及び、マルウェア脅威の検知を行い、インターネットからの安全なファイルダウンロードを実現します。自動的に無害化処理を実施するため、ユーザーによる操作は不要です。
Secure Gateway Suiteは、ガイドラインに沿ったインターネット経由のセキュリティ対策に加え、IT担当者や決済者における対応工数・コスト面におけるメリットも合わせてご提供いたします。
その他にも、ガイドラインに記載のメールセキュリティ対策やエンドポイント対策製品もご提案可能です。インターネット利用に関わらず、侵入前と侵入後、復旧までの本ガイドラインに沿ったセキュリティソリューションをご提供していますので、ぜひお気軽にお問い合わせ・ご相談ください。