金融業のセキュリティ対策で把握しておきたい課題と対策

どのような業種であれITセキュリティの確保は重要課題に挙げられますが、なかでも金融業はセキュリティ対策に力を入れていると言われます。金銭を直接扱うため、攻撃者に狙われやすいことが大きな要因ですが、強固なセキュリティを求める理由はそれだけではありません。

この記事では、金融業がセキュリティ対策を重視している背景と併せて、警戒すべきサイバー攻撃の種類や課題、取り組むべき対策について解説します。

金融業がサイバーセキュリティの強化に注力する理由

日々、膨大な回数の取引を媒介する金融業では真っ先にコンピューターの活用が進み、いまや最もIT化されている業界となりました。現在では店舗を持たずインターネット上でのみサービスの提供を行う「ネット銀行」も多く存在しています。

このコンピューターやネットワークの活用は利用者に高い利便性を提供する一方で、サイバー攻撃に晒されるリスクも増しました。サイバー攻撃は年々巧妙化・多様化しており、常に最新の動向を把握した上で対策を取ることが重要です。

資金を取り扱う金融業はサイバー攻撃の標的となりやすく、他の業種に比べて特に強固なセキュリティ対策が必要とされています。

金融業が警戒すべきサイバー攻撃

サイバー攻撃は巧妙化・多様化が進んでいますが、特に警戒すべきサイバー攻撃の種類としては次のようなものが挙げられます。

• ランサムウェア（マルウェア）
• 不正アクセス
• 標的型攻撃メール
• フィッシング

など

ランサムウェアは、(不正なソフトウェアの総称である)マルウェアの一種です。データを強制的に暗号化して正規のユーザーが利用できない状態にし、復号する見返りとして身代金を要求します。業務を遂行するために必要なデータが利用できないようになることで、多大な悪影響をおよぼすでしょう。

ネット銀行などでは特に不正アクセスに注意が必要です。インターネット経由で直接口座にアクセスできるため、攻撃をかけやすく、万が一にも不正な出金を許すと銀行の信用は地に落ちることが予想されます。

不正アクセスにつながる標的型攻撃メールにも注意が必要です。標的の知人・友人、会社の上司や取引先を騙り、Webサービスにログインするための認証情報を盗み出したり、マルウェアへの感染を誘発したりする攻撃手法です。

同様に、公式サイトそっくりのWebサイトを作り上げ、認証情報を盗み出すフィッシングも特に警戒すべきサイバー攻撃の種類として挙げられます。

金融業のセキュリティ対策における課題

金融業のセキュリティにおける課題としては、前述の外部からのサイバー攻撃だけではありません。内部不正による情報漏えいやデータの破壊・改ざん、不正送金なども課題として挙げられるでしょう。

従来のセキュリティ対策では、インターネットを境界線として内部ネットワーク（社内ネットワーク）を安全なものとして対策をしていました。しかし、昨今では内部不正によるセキュリティ事故も多発しており、社内外を問わずセキュリティ対策が必要とされています。

また、金融業で稼働するシステムの多くは少しの停止も許されない場合がほとんどです。サイバー攻撃や内部不正によるシステム停止も対策が必要です。

一般企業においても、これらはセキュリティ対策における課題として挙げられますが、金融業ではより強固な対策を取る必要があります。

金融業が取り組むべきセキュリティ対策

前述の課題やサイバー攻撃に対して、金融業が取り組むべきセキュリティ対策について紹介します。

セキュリティ体制強化

社内のセキュリティ体制を強化することは、セキュリティ対策として有効です。金融業においては特に、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）のもとで、セキュリティ基盤の構築・運用を実施する必要があります。

CISOの役割としてはほかにも、セキュリティ人材への指示や関係各所との調整、サイバー攻撃やセキュリティインシデントの対応が挙げられます。

加えて、セキュリティインシデントを受け取り、調査・対応活動を行う組織であるCSIRT（Computer Security Incident Response Team）、セキュリティインシデントの検知を行う組織であるSOC（Security Operation Center）を社内で構成することで、セキュリティ体制を強化が可能です。

セキュリティ人材の育成や採用

セキュリティ対策の一環として、セキュリティに関する知識・スキルを有するセキュリティ人材を育成・採用することは重要です。前述のセキュリティ体制を強化するにしても、セキュリティ人材が不足していては十分な体制が築けません。

セキュリティの分野は幅広く、深い知識が求められます。サーバー、ネットワーク、データベース、クラウドなどの技術分野にも精通している必要があります。加えて、特に金融業に関連してくる最新のセキュリティ動向を掴み、自社のセキュリティ対策に活かさなければなりません。

一朝一夕で身につく知識やスキルではないため、セキュリティ人材の育成を目的とした教育が必要になります。

従業員教育

全社的なセキュリティの向上のためには、セキュリティ人材だけでなく一般の従業員に対してもセキュリティ教育が必要です。昨今、内部不正によるセキュリティインシデントが増えていることからも、すべての従業員の間で共通のセキュリティ意識が求められます。

クラウドサービスが普及し、業務でも利用する機会が多くなった昨今では、重要なデータを簡単に外部へ持ち出すことができるようになっています。セキュリティインシデントが発生した場合のリスクや影響範囲などを含め、すべての従業員に対して等しくセキュリティ教育が必要です。

ネットワークへの不正アクセス対策

Webサービスなどを提供している場合には、WAFやIDS/IPSを導入して不正アクセス対策を強化しましょう。WAF（Web Application Firewall）はWebサービスに対するサイバー攻撃を検知・防御するための仕組みです。

IDS/IPSは侵入検知・防御システムであり、不正アクセスを試みる通信の検知から実際の攻撃まで広く対策できます。両者を組み合わせることでWebサービスに対する不正アクセス対策が強化できます。

また、パスワードのみの認証ではなく、生体情報やデバイス情報などを利用する多要素認証を導入することも不正アクセス対策として有効です。

その他にも、社内ネットワークへの不正アクセス対策としてネットワークに接続できるデバイスを制限するネットワークソリューションの導入も検討するとよいでしょう。スマートフォンの普及により、私用スマートフォンを業務に利用するBYODも活用が進んでいます。

その際には、正規のユーザー（従業員）以外の不正アクセスも想定されるため、事前に登録したデバイスのみがアクセス可能、などを実現できるソリューションの導入が有効です。

金融業のセキュリティ強化のまとめ

金融業ではインターネットの活用が広がり、セキュリティ対策の重要性が増しています。サイバー攻撃も年々巧妙化・多様化が進んでおり、強固なセキュリティ環境の構築は必須となりました。

不正アクセス・ランサムウェア・標的型攻撃メール・フィッシングなど、金融業では特に注意すべきサイバー攻撃も存在するため、しっかりと対策を取ることが重要です。