サイバーリスクを認識して対策を ── 金融ISAC専務理事/CTO・鎌田敬介氏

サイバーリスクを認識して対策を ── 金融ISAC専務理事/CTO・鎌田敬介氏

  • THE PAGE
  • 更新日:2017/10/16

あらゆる物がインターネットで結ばれるIoTや仮想通貨などITテクノロジーは日常生活にさらに密接になりつつある。一方でネットワーク社会に対する脅威はより巧妙化し多様化している。金融業界で企業横断的にITの脅威に取り組む一般社団法人金融ISAC(Information Sharing and Analysis Center)の専務理事/CTOを務め、長年、企業のサイバーセキュリティ対策を担ってきた鎌田敬介氏は、サイバー上のリスクをビジネスリスクとして捉えることが重要だと話す。鎌田氏にサイバーセキュリティをめぐる現状と課題を聞いた。

技術と運用の両面から防御する

No image

「守るべきものは何かを認識して対策を」と話す鎌田敬介氏

── 国際金融システムを揺るがすサイバー事件として、2016年2月に起きたバングラデシュ中央銀行の不正送金があります。バングラ中銀から不正な送金指示がされ、米ニューヨーク連邦準備銀行のバングラ中銀口座から8100万ドルがフィリピンの銀行の個人口座に振り込まれました。国際的な送金システムを担うSWIFT(国際銀行間通信協会)は事件後、対応策を発表しています。

鎌田氏 サイバー犯罪に対するシステム上の対策として技術的に様々な取り組みが行われているところですが、一方でテクニカルではどうしても防げない不正というものがあります。例えば内部の担当者が悪意をもってやるとか。技術的な問題とは別にシステム上、どうしようもない問題は常につきまとう。そういうところで不正が行われないよう運用面でカバーをするという考え方が現在のサイバーセキュリティでは主流になっています。例えば監視カメラをつけるとか、複数人数で決済しないと処理ができないようにするとか、いろんな運用上の仕掛けを作って不正が起きないようにすることがますます重要になっています。

── バングラ中銀の事件でも内部関与の指摘は当初からありました。

鎌田氏 バングラ中銀の件は、SWIFTの送金指示を出すバングラ中銀のパソコンがコンピューターウィルスに乗っ取られて操作され、送金指示が行われました。コンピューターを操作する作業は、ウィルスに感染して遠隔操作されたということですので、そこだけ見れば内部不正があったとは考えられません。しかし、送金する時にSWIFTからこういう風にやりなさいという作業指示というか、フローがあるのですが、犯罪者がフローも理解してやったということが1つ大きなポイントとしてあります。

── その部分は内部関与の疑いが残るということですか?

鎌田氏 内部の人間が関与していた疑いはありますが、一方で攻撃者がそのパソコンを長期間監視して、業務フローをすべて理解したうえで犯行に及んだ可能性もあります。バングラ中銀事件の本質的な問題は、SWIFTという国際送金ネットワークに接続するパソコンを他のネットワークに接続してはいけないというSWIFTの指示にバングラ中銀が従っていなかったという運用面での問題がありました。

業界がリスク情報を共有するISACの取り組み

── バングラ中銀の事件は国際的なニュースになりましたが、国内においてもマルウェアを利用した不正送金事件が後を絶ちません。金融業界では企業の枠を超えた金融ISACが組織されて情報共有や対策が施されているわけですが、そもそもISACとはどのよう組織なのでしょうか?

鎌田氏 日本で金融ISACが設立されたのは2014年ですが、もとはアメリカで重要インフラ業界のサイバー情報共有の仕組みをビル・クリントン政権時代に作ったのがISACのはじまりです。アメリカでは重要インフラセクターごとにISACがあり、日本でも業界ごとに情報共有の仕組み作りが進んでいるところです。最近は、ISACが一般名称に近い認知のされ方をしてきていて、国内では金融業界以外でも電力業界に電力ISAC、通信・放送業界などのICT-ISAC、自動車業界にもAuto-ISACが出来るなど積極的な取り組みが行われています。

── バングラ中銀の事件は北朝鮮による犯行との見方もあります。かつてはハッカーなどによる攻撃が主流だったサイバー攻撃は、犯罪者集団や国家の関与が当たり前となり、攻撃目的も内容も多様化、巧妙化しています。こうしたサイバー空間の現実にサイバーセキュリティの担い手たちはどのような取り組みをしているのでしょうか?

鎌田氏 ISACについて言えば、アメリカで金融係企業が加盟して組織しているFS-ISACはIT部門もさることながらリスク管理部門とか、ITだけにとどまらないリスク対応に関わる様々な人たちで作る組織に少しずつ変わってきています。私自身は、サイバーセキュリティマネジメントという言葉を使っているのですけれど、組織管理の視点からサイバーセキュリティの問題にどう向き合っていくのか、ということを1つ大きなテーマにして取り組んでいます。

サイバーセキュリティはコーポレートリスク

No image

「サイバーセキュリティマネジメント入門」

── 「サイバーセキュリティマネジメント入門」という本を出されましたね。専門的な内容ですが、出版の意図はどのようなところにあるのですか?

鎌田氏 企業はサイバーセキュリティの取り組みを技術の問題としてとらえがちですが、実は技術を超えた視点で理解しないと正しい対応が出来ないということがあります。IT部門や技術者にまかせておけばいいのだと思っている組織管理者、経営者は認識を変えるべきです。サイバーセキュリティの担当役員、CISOやその周辺の方々は、技術の問題としてとらえがちなサイバーセキュリティの問題をビジネスリスクとコーポレートリスクの問題と考えて欲しい。

── サイバー攻撃が企業の経営そのものに大きな影響を及ぼすケースはこれまでもありました。

鎌田氏 サイバーセキュリティ対策といった時、多くの企業は標的型攻撃やDDoS攻撃など攻撃手法に着目して対策を考えがちです。しかし、むしろ守るべきものは何か、何を優先的に守るべきか、自らを理解し、すべきことは何かを体系的、網羅的に考えるべきです。個人情報が漏洩しても攻撃者の狙いが個人情報にあるとは限りません。その企業がもつ知的財産、製品情報や設計図かもしれませんし、入札情報かもしれません。私は企業の担当者には、リスク管理の問題ととらえて対策を講じてくださいと言っています。技術的な対策をしていれば問題が起きないかと言うとそうとは言えず、莫大な資金を投じ、人数をかけたとしても情報漏洩が起きるのが今のサイバー空間の現実です。

── リスク回避の考え方ではなく、リスクを前提に守るべきものは何かを認識して体系的な対策を講じることが重要なのですね。

鎌田氏 そうした取り組みの先にあるのが想定外リスクへの対応をどうするのかという問題です。ほとんどの企業は想定しているリスクのことしか考えていません。想定外のリスクが起きた時に、どう対応するのか、体制が出来ているのかというと、これまで多くの企業のリスク管理、危機管理体制を見てきましたが、日本を代表する大手企業においても、そこまでの体制はほとんど出来ていません。現在のサイバー空間の状況を踏まえれば、企業には様々なリスクがふりかかる恐れがあります。会社がそうしたリスクに直面した時、何を守り、どのように対応すべきか、危機が起きてから対策を講じるのでは遅すぎます。

【鎌田敬介】かまた・けいすけ。1978年、北海道生まれ。千葉大学理学部数学・情報数理学科卒業。2002年よりJPCERT/CCにてセキュリティを学び、アジア各国のセキュリティ機関設立を支援。三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事した後、金融ISACの立ち上げに参画。現在、金融ISAC専務理事/CTO、金融庁参与、サイバーディフェンス研究所客員上級分析官などを兼務。近著に「サイバーセキュリティマネジメント入門」(金融財政事情研究会)。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

社会カテゴリの人気記事

グノシーで話題の記事を読もう!
スズメバチに50分間刺されて死亡 なぜ女性を救えなかったか
女子高生に体当たり...「もう一度襲いたくなった」
「いじめの原因はいじめられる側にある」という理由は? いじめの“原因”と“責任”を分けて考える4コママンガが考えさせられる
走り屋たちに“ユニバ裏” USJ近くで集団暴走
【報ステ】追い越し車線で取っ組み合い...はねられる
  • このエントリーをはてなブックマークに追加