このページの本文へ

ここから本文

深刻化するサイバー攻撃の脅威に対して重要インフラである金融機関のシステムを守るためのセキュリティ対策とは

金融機関は、サイバー攻撃者に狙われやすい業種の1つです。ITやインターネットの普及により攻撃の内容は高度化し、ひとたび被害に遭うと広範囲に深刻な影響が及びます。金融機関の中核を担うシステムをはじめ、企業内・企業間のネットワークやインターネット接続基盤等のインフラの構築・運用のほか、IP電話や通話録音等の音声分野、文書管理等のイメージ分野を中心とした業務系システムの構築・運用を手掛けている三菱電機インフォメーションシステムズ株式会社(MDIS)の金融事業本部は、セキュリティ分野を注力事業の1つとしています。企業全体のリスク評価、セキュリティ監査、対策の立案から、システム実装、運用・監視・アウトソーシングまで、安全の維持・管理に必要となるトータルサービスをワンストップで提供しています。

世界的規模のイベントの開催で危惧されるサイバー攻撃

近年、サイバー犯罪は世界的規模で発生し、国民生活に甚大な被害を及ぼす可能性が高まっています。こうした背景から、2014年に「サイバーセキュリティ基本法」が制定され、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14分野の「重要インフラ※1事業者」に対して、セキュリティ対策と継続的な改善に取り組むように求めています。

金融分野では金融庁が「サイバーセキュリティ強化に向けた取組方針」を2015年に策定し、金融機関同士の情報連携や人材育成の強化を図っています。金融情報システムに関する調査研究を行う公益財団法人金融情報システムセンター(FISC)でも安全対策基準を設け、金融機関に対してガイドラインへの準拠を求めています。

2018年には内閣のサイバーセキュリティ戦略本部が次世代の脅威を見据えた「新たなサイバーセキュリティ戦略案」を打ち出しています。世界的に見ても日本は、2019年のラグビーワールドカップ、2020年の東京オリンピック・パラリンピック、2025年の大阪万博と世界的規模のイベントが目白押しです。攻撃者は日本に目を向けており、今以上にリスクが高まることが予測されています。

多くのノウハウを基に様々なセキュリティサービスをラインアップ

サイバー攻撃は時代の移り変わりとともに変化しており、2019年は標的型攻撃、ビジネスメール詐欺、ランサムウェア(身代金要求型ウイルス)による被害が脅威動向になっています。こうした攻撃に対処するため、MDISでは金融機関向けサイバーセキュリティ対策サービスを提供しています。現状のITリスク評価から、システムインテグレーションサービス、情報システム関連商品の販売、CSIRT※2・SOC※3運用を含めたソリューションサービス、セキュリティ専門家の育成やセキュリティ啓発・訓練の支援まで幅広くラインアップしているのが強みです。

金融事業本部 ビジネスイノベーション推進部 第二課 課長の藤田喜広氏は次のように語ります。

「大手銀行や大手損害保険グループのセキュリティ支援を長年手掛けている実績があり、多くのノウハウを蓄積してきました。世界的な暗号技術(MISTY)の開発元である三菱電機と連携して事業を展開していることもMDISの強みです」

金融事業本部
ビジネスイノベーション推進部
第二課課長
藤田 喜広

サイバーセキュリティ対策におけるソリューションをワンストップで提供

MDISが提供する金融機関向けサイバーセキュリティサービスで代表的な4つを紹介します。

リスク評価支援サービス

対策の前に実施すべきことは「リスクの特定」です。限られた予算では、リスクの全てに一度で対応することが難しい場合もあります。まずどの資産を守るのか、何を実施するのか、優先順位を判断することから始めます。具体的には、現状のシステムの中で、個人情報が何件、クレジットカード情報が何件、既往歴などのセンシティブ情報が何件あるかを把握することです。その中で脅威レベルはどの程度で、対策レベルはどこまで必要かを検討していきます。

MDISではリスク特定の最初のアプローチから参加し、優先度の決定を支援します。マルウェアなどの攻撃に備える入口・出口・内部対策では、三菱電機と共同開発したツールを用いて現在の対策レベルを評価し、リスクを洗い出したうえで強化ポイントを提案します。

「サイバー攻撃は、手順をプロセスごとに階層化したサイバーキルチェーンに沿って進んでいきます。セキュリティ対策では、攻撃されていることを早期に発見し、サイバーキルチェーンを早い段階で断ち切ることが重要です。 MDISの評価ツールではあらゆる攻撃シナリオを整理した上で、お客様の対策状況と比較しながら、起こりうるリスクを評価します」(藤田氏)

ハンドリング業務支援サービス

経済産業省が提言する「サイバーセキュリティ経営ガイドライン」に準じてMDISはCSIRTの構築を支援します。有事のインシデントに対応するため、各企業の組織に応じたCSIRTの役割を設け、インシデント対応連絡先の確保/各種規則の把握と整合性の確認/インシデント対応ツールの整備/各種ドキュメントの整備などをお手伝いするものです。

CSIRTの役割は、有事の際の事後対応だけでありません。重要インフラを支える基盤がインターネットに接続されている今、情報通信研究機構(NICT)観測システムによるとサイバー攻撃関連通信は、2018年は5億パケット/日以上に達しています。平時においても脆弱性情報や脅威情報を本社およびグループ会社と連携し、プロアクティブな防御を実行しなければなりません。MDISは、平時についても、CSIRTの役割としてどのように運営すべきかを企業の中に入り込んで支援します。

各種脅威に対するシステムインテグレーションサービス

サイバー攻撃者は目的を遂行するために内部の情報を探りながら、徐々に侵害範囲を拡大していきます。企業は、攻撃シナリオを認識した上で、各攻撃段階に応じた対策を多層的に講じる防御思想を取り入れることが重要です。MDISは、ウイルス対策ソフト、振る舞い検知、 IDS/IPS導入監視など各種脅威に対するシステムインテグレーションサービスを提供しています。マルチベンダー対応のMDISが、適材適所のソリューションを選定し提案します。

Webサイト群探索棚卸し/脆弱性診断サービス

銀行のネットバンキングサービスや、保険会社の代理店オンラインシステムなどの「公開システム」が攻撃を受けると、個人情報の窃取、サービス停止、Webサイトの改ざんによるレピュテーション評価低下などの被害を受けます。金融機関では、公開システムを一定期間ごとに棚卸しをしていますが、人手で実施している場合は管理から漏れてしまうこともあります。

MDISは「公開システムの棚卸サービス」を提供し、金融機関が開発・運用しているWebサイトを継続的に自動で検出することで漏れのない診断を実施し、正しいリスク評価と是正を行います。お客様先にMDISが常駐してチェックリストを作成、重要度に応じてレベル分けを行います。レベルに応じた診断内容を作成し、 1年に1回の診断で評価しながらPDCAサイクルを回します。

MDIS の金融機関向けサイバーセキュリティ対策サービスのラインアップ

社内のセキュリティ人員不足に対応するBPOサービスラインアップを拡充

MDISは、セキュリティ対策を代行するBPOサービスも提供しており、ユーザー企業の深刻な課題であるセキュリティ人材不足の問題を解決します。

自社のセキュリティ要員で対応する範囲を、経営層における意思決定や判断、外部機関への連携などの中心業務に絞り、それ以外の定型業務や技術的な領域などをMDISにお任せいただくことでセキュリティの強化を実現し、全体最適化を図ることが可能となります。

「今後もニーズに応じてサービスメニューを増やしていきますので、MDISのBPOサービスを積極的にご活用ください」と藤田氏は語ります。

※1 重要インフラとは、他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び社会経済活動の基盤で、その機能が停止、低下または利用不可能な状態に陥った場合に、国民生活や社会経済活動に多大なる影響を及ぼすおそれが生じるものをいいます。

※2 CSIRT(Computer Security Incident Response Team)とは、コンピュータやネットワーク上のインシデントの対応を行う組織の総称。

※3 SOC(Security Operation Center)とは、ネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスを行う組織の総称。

この記事について:
この記事は、情報誌「MELTOPIA新しいウィンドウが開きます」2019年10月号(No.250)に掲載されたものを転載しました。

ページトップへ戻る