October 1, 2015 / 9:17 AM / 4 years ago

アングル:遅れる金融機関のサイバー対策、金融庁は一斉調査に着手

[東京 1日 ロイター] - 世界的に金融機関に対するサイバー攻撃の脅威が高まる中、日本における体制整備の遅れを指摘する声が出ている。欧米では経営陣に「CISO(最高情報セキュリティ責任者)」を置く金融機関が増えているが、日本ではメガバンクでも専任のCISOを置いていない。

 10月1日、世界的に金融機関に対するサイバー攻撃の脅威が高まる中、日本における体制整備の遅れを指摘する声が出ている。写真はイメージ。ワルシャワで2013年6月撮影(2015年 ロイター/ Kacper Pempel)

専門家は「経営陣の意識改革や人材育成が急務」と指摘しており、金融庁は金融機関のサイバーセキュリティ対策の現状把握のため、一斉調査に乗り出した。

<狙われる地域金融機関>

インターネットバンキングでの不正送金が日本国内で増加中だ。最近では地域金融機関が標的になるケースが目立つ。

警察庁によると、2014年の被害総額は約29億1000万円。12年の約4800万円から60倍超に膨らんだ。

14年は被害を受けた102の金融機関のうち、地方銀行が64、信用金庫が18、信用組合が4。15年は上半期ですでに144の金融機関が被害を受けたが、地銀の34に対し、信金は77と過半を占めた。手口の高度化につれ、セキュリティ対策が手薄とされる信金や信組など規模の小さい金融機関が標的になっていることが分かる。

こうした中、北東北の3つの地銀がサイバー対策で提携した。岩手銀行(8345.T)、青森銀行(8342.T)、秋田銀行(8343.T)は8月、3行のシステム担当者で構成するサイバーセキュリティ対応組織「北東北3行共同CSIRT(シーサート)」を立ち上げた。

定例会合を通じてサイバーセキュリティに関する情報を共有・分析し、将来的には対策システムの共同調達を目指している。資本関係がない中での異例の取り組み。事務局を務める岩手銀の担当者は「強みが違う各行の担当者が補完し合うことで人材不足が克服でき、効率的な対応が進んでいる」と話す。

しかし、地域金融機関がサイバー対策で広域連携する事例は、今のところ北東北に限られている。

<全国組織の活用は道半ば>

サイバー対策を各金融機関が協力して進める目的で、専門組織「金融ISAC」が14年に大手金融機関の主導で設立された。会員相互の情報共有に加え、研究会やセミナー、重大事象の発生を想定した演習などを行っている。

しかし、地銀や信金、信組の加入はそれほど進んでいない。9月9日現在、地銀・第二地銀の加盟行(正会員、準会員)は37(持株会社と子銀行が加盟している場合、持株会社を除く)で、地銀・第二地銀の総数105の半数に満たない。信金では中央組織の信金中金を除けば岡崎信用金庫しか加入しておらず、信組に至っては1つも入会していない。

加盟する金融機関は広がりつつあるが、セミナーや演習が東京で行われるため、コストを考えて二の足を踏む金融機関が多いと関係者は言う。金融庁幹部は「地銀や信金、信組はもっと積極的に参加すべきだ」と促している。

<「CIO」を「CISO」が監視する>

海外では、サイバー対策を強化する金融機関が増えている。大手コンサルティング会社・プライスウォーターハウスクーパース(PwC)が14年に実施した調査では、欧米の銀行758行の72%がCISOという情報セキュリティ対策を専門に担当する役員を置いている。さらに10%が1年以内に設置するという。

韓国では、13年に起きた政府に対する大規模なサイバー攻撃を教訓に、資産10兆ウォン(約1兆0200億円)または従業員1500人以上の金融機関を対象に専任のCISOの設置が義務づけられた。

日本の金融機関では、決済などシステム運用を担当するCIO(最高情報責任者)がセキュリティ対策を兼ねたり、複数の役員が共同で担当するケースがある。しかし、メガバンクでも専任のCISOを置く例はまだない。

専門家は、経営陣に専任のCISOを置く必要性を強調する。日本のPwCでサイバーセキュリティーソリューションのリーダーを務める山本直樹氏は「米国ではCISOがCIOを兼ねるべきではないと考えられている」と話す。「IT戦略やシステム運用を担当するCIOがサイバーセキュリティも兼務すると、コストのバランスからサイバー対策の優先度を下げてしまうリスクがある。専任のCISOを設ければ、サイバー対策の優先順位が落ちないように目を光らすことができる」という。

<金融庁が一斉調査>

金融庁は9月中旬、サイバー対策の現状把握のため、金融機関の一斉調査に乗り出した。第1弾として、地銀・第二地銀を中心に合計100社弱に質問票を送り、11月には聞き取り調査を行う予定。取り組み状況だけでなく経営陣の認識なども点検し、課題を洗い出す。

金融庁の幹部は「経営陣の理解を深めることが重要だ。セキュリティ対策にはコストが掛かるが、ひとたび重大な事件があれば風評被害などで大変な事態になるということを認識すべきだ」と話している。

和田崇彦 編集:田巻一彦

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below