近年、金融業界を狙った大規模なサイバー攻撃が世界各国で発生しています。日本の金融業界においてもサイバー攻撃が増え続けており、金融庁では金融業界全体としてのセキュリティの底上げに乗り出しています。

そこで、金融関連企業に求められるガバナンスについて説明するとともに、エンドポイントセキュリティ対策に有効なフォレンジック技術についてもあわせて紹介します。

金融業界のサイバー攻撃対策はエンドポイントセキュリティが重要


金融業界では、仮想通貨の流出や個人情報の漏えいといった重大なセキュリティインシデントが世界各国で発生しています。日本においても金融業界を狙ったサイバー攻撃は大変多く、攻撃手法も年々高度化してきています。

これを受けて金融庁では、日本における金融システム全体のサイバーセキュリティ強化に乗り出し、2015年に「サイバーセキュリティ対策企画調整室」を設置しました。外部の専門家も交えて企業間の情報共有を促進するとともに、金融インフラのモニタリングも行う組織です。

金融庁は、たとえ1社でもセキュリティ対策を疎かにする金融機関があってはリスクが減らないという方針を打ち出しています。
そして、金融関連企業を対象にした「横断的演習」も実施しています。3回目となる2018年の演習には約100社が参加しましたが、その中には仮想通貨取引所外国為替証拠金取引(FX)事業者もありました。

金融システム全体の安定稼働を維持するために、仮想通貨やFXといった新しい業態の金融機関についても高度なセキュリティが求められることとなったのです。

特に金融業界においては「標的型」のサイバー攻撃が大きなリスクです。典型的な標的型攻撃では、特定の企業から特定の情報を盗み出すことなどを目的とした「マルウェア」が使われます。

たとえば、ターゲットとなる企業に通じる電子メールアドレスを何らかの方法で入手し、マルウェアを添付して送り込もうとします。ウィルス対策ソフトなどをすり抜けて社員の手元に届いてしまい、「うっかり」添付ファイルが開かれてしまうこともあるでしょう。

このようにしていずれかのパソコンが感染すると、マルウェアは、狙った情報を盗み出そうとして社内ネットワークを物色し始めます。

標的型のマルウェアは、見つからない限り社内に居座り続けます。早期に検知・駆除できなければ、その間に犯行を終えてしまうばかりか、さらに被害が広がる恐れもあります。

また、感染の痕跡を消すために犯行後に自らを消去するものもあります。マルウェアによる被害を食い止めるためには、たとえ感染してしまった場合でも情報の流出を防ぐ対策が必要です。そのためには、ネットワークの末端に接続されたサーバーやパソコン、スマートフォンなどの「エンドポイント」におけるサイバーセキュリティ対策が、ひとつの有効な手段として挙げられます。

金融関連企業への標的型攻撃には明文化された「情報ガバナンス」も必要


マルウェアにはさまざまな亜種があるため、すべての種類を感染前に検知することは困難です。セキュリティ対策では、マルウェア感染は前提として捉える必要があります。

また、金融業界は内部犯行の誘惑が大きい分野であることにも留意が必要でしょう。人的な操作が「悪意あるプログラム」として自動検知されることはありません。したがって、プログラムを検知することに加え、不正な操作が行われていないかどうかをチェックすることがより重要になります。

コンピューター上で行われたオペレーションを監視することが、有効なセキュリティ対策になるのです。

不正な操作を検知するためには、「そもそも不正な操作とは何か」が定義されていなければなりません。これは、「標的型攻撃の対象となり得る情報はどれか」を考えるということでもあります。

他者にとって盗む価値のある情報を特定し、それらがどのコンピューターにどのように保管されているのかを正しく把握する必要があります。このときに重要になるのが「情報ガバナンス」への取り組みです。

守るべき情報がどこにあり、どのように操作されるべきか、あるいはどのように操作されてはいけないかを明文化することが必要です。
社内の全ての情報の扱いが明文化されれば、どのようなオペレーションについてもそれが不正なものかどうかを判定できるようになります。

また、情報ガバナンスに沿った判定基準をルールとして設定できるセキュリティソリューションもあります。そのようなセキュリティ製品をエンドポイントに導入すれば、マルウェアについても人的オペレーションについても不正な操作を早期に検知することが可能になります。

検知は自動的に行われるので、これまで人的リソースの問題でなかなか対策が進まなかった企業にとっても有効な方法になるかもしれません。

情報ガバナンスとフォレンジック技術を組み合わせて高度なセキュリティを実現


近年のセキュリティソリューションには、「フォレンジック技術」を活用することで不正な操作をより的確に検出できるようにした製品があります。

たとえば、ネットワークフォレンジックによりトラフィックを監視し、あってはならないデータの移動を検知した場合にアラートを出してくれます。
これがマルウェアによるものであれば早期に駆除できますし、人的ミスなどであれば早期に是正することが可能になります。また、製品によってはメモリやハードディスク内のデータについても高速にスキャンして、そこに複製されるべきでないデータを検知してくれるものもあります。

フォレンジック技術は、すでに起こってしまったセキュリティインシデントの調査にも役立ちます。たとえば情報流出が明らかになった場合は、不正な活動の痕跡をたどり、どこでどのように攻撃が始まり最終的にどの情報が盗まれたのかをいち早く把握することができます。

また、マルウェアがすでに自分自身を消去していたり、内部犯行の証拠となりそうなファイルがすでに消去されていた場合でも、ハードディスク内の深層データを解析することで消去された情報を収集することができます。

このようなソリューションは、社内の情報ガバナンスプログラムが的確であればあるほど効果を発揮します。反対に、情報ガバナンスがなければ家庭用のウィルス対策ソフトと大して変わらないかもしれません。

高度なセキュリティの実現は、IT部門のみでは決して成り立たないものだという認識が重要でしょう。経営陣や情報管理者が先頭に立ってガバナンスを明確化し、IT部門と協力して最適なソリューションを導入していくことが必要です。

進化していくサイバー攻撃には企業の総合力で対策を

日本の金融業界では、サイバー攻撃が年々高度化し増え続けていることが大きなリスクになっています。いつ重大なセキュリティインシデントが現実になってもおかしくありません。

金融関連企業では、上層部が先頭に立って情報ガバナンスを明確化することが高度なサイバーセキュリティ対策のために必要です。エンドポイント対策やフォレンジック技術を活用して脅威を早期検出できるソリューションの導入も、あわせて検討してみましょう。