Contents Start

特集 2| 情報セキュリティ技術のゆくえ金融サイバーセキュリティ最前線

Interview & text by FISCO FINANCIAL REVIEW, Photograph by D.Araki

Profile
三井住友銀行 システム統括部

持田恒太郎(画像:手前)
三井住友銀行 システム統括部 部長
システムリスク統括室長

鈴木悟(画像:中央)
三井住友銀行 システム統括部
システムリスク統括室
サイバーセキュリティ管理グループ
グループ長

中山広樹(画像:奥)
三井住友銀行 システム統括部
システムリスク統括室
サイバーセキュリティ管理グループ
室長代理

いつ、どこから、何者が、どのような手口で攻撃を仕掛けてくるかわからないサイバー攻撃は、企業の経営に大きな影響を与えかねない問題だ。とりわけ、膨大な顧客の資産や個人情報などを預かる金融機関にとって、サイバーセキュリティは生命線とも言える。
日本を代表するメガバンクの最前線では、どのような対策をとっているのか。システム統括部内に「システムリスク統括室」を設置し、サイバーセキュリティ管理態勢の継続的な整備と強化を進めてきた株式会社三井住友銀行の担当者に、その現状などを伺った――。

加速度的に増え続ける
サイバー攻撃

「三井住友銀行の前身のひとつである三井銀行は、1876年に日本初の民間銀行として創業しました。以来、お客様からお預りしている現金等の資産は、お客様が必要なときにきちんとお返ししなければならないという意識のもと、厳重に管理してきました。創業から140年以上が経過し、ITの進化によって現預金はデータに置き換えられるようになりましたが、そのDNAは脈々と受け継がれ、現在のサイバーセキュリティ対策を行う上でも、その意識はまったく変わっていません」
そう語るのは、三井住友銀行システム統括部部長で、システムリスク統括室長を務める持田恒太郎氏だ。

持田恒太郎氏

国立研究開発法人情報通信研究機構の発表によると、2016年に国内のネットワークに向けられたサイバー攻撃関連の通信は約1,281億件(前年の2.4倍)と、過去最高になった。サイバー攻撃は毎年増加傾向にあり、しかもその手口は年々、高度化・巧妙化している。その上、金融分野ではインターネットを利用するサービスが拡大の一途をたどっているため、金融機関とその利用者がサイバー攻撃を受ける危険性は高まる一方だ。

そもそも、金融機関は金銭目的のサイバー攻撃のターゲットにされやすい。それゆえ、より強力なセキュリティを築く必要性が求められる。

2015年に金融庁が金融分野へのサイバー攻撃の脅威に対抗するための取り組むべき方針を取りまとめるなど、官民一体となって対策に乗り出しているが、各金融機関は顧客の資産や個人情報などを最終的には自力で守らなければならない。

三井住友銀行が運用を開始したAIを導入したサイバーセキュリティ対策

各社ともにサイバーセキュリティの確保やシステムの強靭性を高めるために試行錯誤しているが、中でも三井住友銀行は先進的な取り組みを行っており、注目を集めている。 そのひとつが、株式会社三井住友フィナンシャルグループ(以下、SMFG)のシステムインテグレーターである株式会社日本総合研究所(以下、日本総研)とともに、ほかの金融機関に先駆けたAI(人工知能)を活用した取り組みだ。

具体的には、米IBMが開発した意思決定を支援するAI「Watson(ワトソン)」を、サイバーセキュリティ対策に応用して導入。①サイバー攻撃に関する情報の自動分析、②セキュリティ監視での検知内容に関する情報の自動検索を行っている。

従来は監視システムで不審な通信・挙動を検知すると、セキュリティ技術者が都度調査を行った上で膨大なセキュリティ情報から最善の対応策を探して対処してきた。だがワトソンを使えば、世界中のサイバー攻撃に関する手口や傾向などの膨大な情報の中から関連性の高い最新情報を素早くかつ的確に収集することで、セキュリティ技術者がこれまでとは比べものにならないほど迅速かつ正確に脅威に対応できるようになる。なおかつ、新たに確認されたサイバー攻撃に対する防御や検知も、より迅速になるという。

しかし、AIを導入すれば万事解決というわけでもない。持田氏によると、日本はセキュリティ人材不足という問題を抱えているという。

「金融機関は、電力・ガス・通信等と同様、重要インフラのひとつであり、当社ではサイバーリスクを経営上の重大なリスクと位置づけ、さまざまな対策をとっていますが、サイバー攻撃は日進月歩で高度化・巧妙化しています。我々は予兆や攻撃の情報をいち早くつかみ、分析して対策をとる必要がありますが、これまでに蓄積された膨大な量の脅威情報を迅速かつ正確に分析するには、高度な知識と技術を有するセキュリティのエキスパート人材が必要です。しかし、現実には2020年までに日本国内では情報セキュリティ人材が約20万人不足すると言われているように、業界全体でセキュリティ人材不足は恒常化しており、その育成も急務となっています」(持田氏)

現状では、いくらAIを導入しても、AIの出した答えが本当に正しいのかを人間が判断する必要があることから、最終的には人間の判断力が必要になるというわけだ。そこで同統括室では、AIの導入と並行して、日本電気株式会社(NEC)の協力を得ながらサイバーセキュリティ人材の育成にも注力。より強固なセキュリティ対策を構築するための動きを加速させている。

攻撃する側が圧倒的に有利なサイバー攻撃

ところで、金融機関に対するサイバー攻撃には、いったいどんなものがあるのだろうか。同統括室サイバーセキュリティ管理グループ室長代理の中山広樹氏によると、サイバー攻撃は、目的別に2つに大別できるという。

中山広樹氏

「1つは、不正送金やフィッシング詐欺など『金銭目的』のもの。もう1つは、金融機関のインフラを攻撃して機能停止に陥らせるなど、『社会的混乱』を狙ったものです。ネットワークの向こう側から攻撃してくる犯罪者の実体は、はっきりとは分かりませんが、企業のように組織化していると言われています」

防御する側の金融機関には顧客から預かった資産や顧客情報など守るべきものがあるのに対し、攻撃する側にはそれがない。しかも金融機関は簡単に見つけられる存在だ。一方で、金融機関はネットワークの向こう側に姿を隠してサイバー攻撃を行う犯罪者たちが「誰であるか」は分からない。言うなれば、金融機関がサイバー攻撃から身を守ることは、暗闇に放り出されて、暗視カメラを持った敵からの攻撃を防御しなければいけない状態に近い。

そんな状況の中で見えない敵と戦うことは途方もないことのように思われるが、犯罪者たちの代表的な手口には、意外にも古典的な手法が多いという。

「代表的なのは、メールにマルウェア(不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードのこと)を添付して送ってくる攻撃方法です。行員やお客様に添付ファイルを開かせることでマルウェアをパソコンに侵入させ、それを足掛かりにネットワークに侵入する方が、厳重なセキュリティ対策が施されているサーバなどに直接アクセスを試みるよりも簡単なため、未だにこの昔ながらの方法がとられています。
もっとも、やり口は年々巧妙になってきていますが。それ以外にもさまざまな方法の攻撃に備える必要がありますが、情報を入手し犯罪者が使う主流の手口を知ることで、事前に対策を打つことができます。簡単に言えば、第1の壁が突破されても第2の壁で攻撃を防ぎ、もし第2の壁が突破されても第3の壁で守る……といったように、家の周囲に泥棒が侵入できないように壁を何重にも作るイメージです」(中山氏)

しかし、このように防御レベルを上げても、犯罪者も手法を高度化・巧妙化させて防御網をかいくぐろうとする。こうしたイタチごっこが続いているため、常に最新の動向に注意を払わなければならないのだが、国境に関係なく行われるサイバー攻撃の動きを網羅的に素早くキャッチアップするには、一企業だけでは限度があることも確かだ。

金融業界全体でサイバー攻撃に立ち向かう取り組み

「複数の同業者が情報を共有・分析し、それぞれの知見を共有できれば、これらの脅威に対抗していく大きな力となるため、近年では金融機関が相互に積極的に情報交換をするなど、サイバーセキュリティ分野で金融機関同士が協力する動きが活発です」と同統括室サイバーセキュリティ管理グループ長の鈴木悟氏が語るように、ビジネス上ではライバルでも、サイバーセキュリティを脅かす「共通の見えない敵」に対しては、合従連衡して立ち向かうという風土が醸成されているという。

鈴木悟氏

その中心的な役割を果たしているのが、国内の主要金融機関319社(2017年8月現在)が正会員になっている金融ISAC(Information Sharing and Analysis Center)だ。この組織では、金融サービス利用者の安心・安全を継続的に確保することを目的として、サイバーセキュリティに関する情報の共有・分析が積極的に行われている。また、米国における同様の組織であるFS・ISACとも最新情報を共有するなど、グローバルな連携体制も構築している。

サイバー攻撃によって大規模な被害が出れば、創業以来築き上げてきた顧客からの絶対的ともいえる信頼が揺らぎ、経営にも大きな影響を与える問題になりかねない。

「幸いにも経営を揺るがすような重大インシデントは今のところ起きていませんが、インターネットでは、いついかなる時に何者がどんな方法で侵入してくるか分かりません。お客様に利便性の高い金融サービスとともに『安心・安全』という価値を提供するため、我々は日々情報をアップデートし、対策を講じています」(持田氏)

顧客の資産や情報を守る――そのための三井住友銀行の終わりなき戦いは続く。