2014年8月27日

米国 重大インフラ保護と国土安全のための金融サービスセクター連携協議会
Executive Director

Greg Garcia

米国でこれまでのサイバー対策を見直す動きが活発になっている。背景には、決済プロセスに多様なノンバンクが参画し、決済のエコシステムが拡大を続けていることが背景にある。特に官民が連携を進めており、変化する決済エコシステムに合わせたサイバー対策には、ビッグデータ利用、ベンダー管理、情報共有の推進に加え、企業幹部層の積極的な介入等が重要だと強調している。有効なサイバー対策を構築するため、官民の間でイノベーションを活用しようとする機運が高まっている。

米国で、決済の仕組みが従来の金融機関以外のノンバンクを巻き込んで拡大していることを受け、これまでのサイバー対策に新たなアプローチが必要だとの意見が強まっている。この動きの発端となったのは、年初に発覚した米小売大手Target社における大量の顧客情報の漏洩である。このケースでは、ハッカーはTarget社にサービスを提供する第3ベンダー(Third vendor)を攻撃し、同社のシステムにログインする情報を入手した後、同社にマルウェアを拡散したと見られている。これ以来、専門家の間では、第3ベンダーを従来の決済の仕組みに含め、決済のエコシステムを新しく定義した上で、改めてサイバー対策を構築し直す必要があるとの声が強まったのである。こうした動きを受けて、政府や業界団体がサイバー対策強化に向けた動きを活発化させており、中でもベンダー管理の重要性に加え、ビッグデータの収集/分析と有効利用を強く訴えている。また今年2月には、米標準技術機構(National Institute of Standards and Technology:NIST)がサイバーセキュリティの枠組みを発表し、幹部レベルがサイバー対策の策定に積極的に参加する必要性等を訴えたことも注目を集めた。しかし一方で、決済エコシステムの変化とサイバー攻撃の増加には、新たな規制を策定することで対応するべきだと訴える専門家の意見もある。これに対しては、規制が増えればコンプライアンス負担が増え、イノベーションを妨げかねないと金融機関も譲っておらず、イノベーションとサイバー対策の質向上のバランスをとるためには、政府と民間の意思疎通/連携が不可欠だと見られている。こうした動きを受け、米国で影響力のある官民の連携組織のひとつ、「重大インフラ保護と国土安全のための金融サービスセクター連携協議会(Financial Service Sector Coordinating Council for Critical Infrastructure Protection and Homeland Security:FSSCC)」において、6月に初のExecutive Directorに就任したGreg Garcia氏に、増え続けるサイバー攻撃のトレンドに加え、サイバー対策の改善に必要なイノベーション、その有効利用の方法等について意見を聞く。

Greg Garcia氏へのインタビュー

Q.数あるサイバー対策の規則、指針等は十分に機能しているか。

監督局の規則をはじめ、業界団体の作成するガイドラインのようなものも含めれば、サイバーセキュリティ関連のコンプライアンスの範囲はかなり広いものになります。しかし、一般的に評価するとすれば、既存の規則やガイドラインは、金融機関が守るべきベースラインを明確にする意味合いがあり、大手金融機関を中心に多くの金融機関は、このベースライン以上のセキュリティ対策等を講じています。金融機関ごとのデータ分析結果と、これを受けた脅威の認識/対策等により、サイバー戦略やその業務に違いは出ますが、全体としては既存の規則は機能していると言って良いでしょう。しかし、規則や指針に沿ったサイバー対策を講じた上で受けたサイバー攻撃については、監督局や金融機関の情報交換等を通じて、連携して原因を追及し対処する必要がありますし、サイバー攻撃のトレンドを把握し、これを各組織がそれぞれ迅速にセキュリティ対策に反映させていく工夫は日常的に必要です。

Q.中小の金融機関でのサイバー対策をどう評価するか。

大手金融機関に比べ、人材やIT予算等のリソース面で不利な立場にある中小金融機関では、サイバー対策の質にばらつきがあるのは事実です。しかし、この現状を改善する対策として今年6月、金融監督局で構成する連邦金融機関調査協議会(Federal Financial Institutions Examination Council:FFIEC)が、期間限定のパイロットプログラムとして、500以上の中小金融機関を対象にしたサイバーセキュリティアセスメントを開始しました。金融機関のサイバーリスクへの認識や準備状況を調査/把握することが狙いです。将来的には、中小の金融機関がサイバー戦略を構築する際に、高度化する攻撃の脅威を認識し、その影響等を経営幹部レベルが認識しているということを証明できるようにすることが求められていくと思います。

Q.どういった脅威がサイバー対策のターゲットとなっているのか。

早急に対策を講じる必要があるとして警戒されているのが、第3ベンダー経由で組織のシステムが不正にアクセスされるケースです。これは、Target社など大手小売チェーンが昨年から今年にかけて相次いで被害を受けた事例があてはまりますが、原因の特定や被害規模の把握を含め、全容の解明に非常に時間がかかっています。こうしたケースを警戒する背景には、決済プロセスを含め多様な業務をアウトソースする流れにより、その業務を完結させる過程にさまざまなノンバンク等の第3ベンダーの介入が増えたことがあります。その結果、自分の組織のネットワーク以外のセキュリティの強度にも注意を払う必要が出てきているのです。他には昨年、主要な金融機関が相次いで標的となった大掛かりな分散型サービス拒否(Distributed Denial of Service:DDoS)攻撃、政治的な主張を目的としたハッカーの攻撃、そして特に重大なインフラにおける脆弱性の攻撃も重点的に対策を講じる必要があると認識しています。攻撃者の目的にかかわらず、一度脆弱性を突かれ情報が流出すれば、攻撃者以外の便乗も含めて、被害が想定外に広がる恐れがあるのです。

Q.金融機関や監督局のサイバー対策におけるビッグデータ利用をどう評価するか。

モバイル決済やモバイルバンキング等、決済方法や決済デバイスは多様化しており、モバイルから得られる位置情報等と決済情報、あるいはソーシャルネットワークサイトから得られる非金融情報等を組み合わせてサービスを提供するケースも増えています。この結果、金融機関や監督局が入手できる情報の量は飛躍的に増え、現在も増え続けています。こうした状況を受け、金融機関でも監督局でも、有効なサイバー対策にはデータの有効利用が不可欠であるとの認識で一致しています。しかし、この増えるデータをどう組み合わせ、どういう目的で、どのように分析するか、そしてその分析結果をどう解釈し意思決定するかということは、ビッグデータの時代に金融機関、監督局が共通して直面している課題でもあります。

Q.脅威への認識/対応を強化するにはどういった技術が求められているのか。

サイバー対策においては、攻撃への迅速なレスポンス、攻撃内容の正確な分析、更なる攻撃からの防御等が重要です。特に、データの相関関係等から攻撃のパターンを把握し、ネットワークシステムへの更なる攻撃を未然に防ぐことは不可欠です。これらを推進する上では、ビッグデータを有効利用するため、データ分析技術を使いこなすことがまず必要です。そしてデータを守るという意味では、ID管理やアクセス管理を徹底することになるので、例えば生体認証等の新技術の導入等を含め、イノベーションへの投資も視野に入れる必要があるでしょう。そして、これもデータを守ることに関連しますが、最近では内部職員によるデータの不正アクセスが後を絶たたず、その被害も大きいことを勘案すると、組織全体でユーザトレンドをモニター/分析する技術の導入を積極的に行うことが有益だと考えます。

Q.サイバーセキュリティに関する情報共有は十分か。

先ほど少し触れましたが、去年、金融機関を狙った大規模なDDoS攻撃がありましたが、この際には情報共有の重要性が明確になり、実際にそれが機能したという事例があります。米国では、重大なインフラを保護する目的で、物理的あるいはサイバー空間でのセキュリティに関する脅威や脆弱性について、官民が情報共有をすることが義務づけられています。その中でも特に、金融機関を中心とする決済システムを巻き込むサイバー攻撃については、金融機関は法執行局に加え、金融機関やセキュリティ関連企業等で構成する金融サービス情報共有分析センター(Financial Services Information Sharing and Analysis Center:FS-ISAC)にも、攻撃の詳細を共有するよう求めています。今後はこの情報共有をさらにリアルタイムで行うことをもっと重視する必要があり、データ交換のプロトコルを有効に利用し、コンピューター間で自動的にデータ通信/共有するシステムを拡充する必要があるでしょう。

Q.なぜ幹部レベルの関与の重要性が強調されているのか。

サイバーセキュリティはIT部門担当という考えが依然として根強い現状に対し、そうではないという意味を込めて強調しています。サイバー攻撃の被害がIT部門で対処できる範囲を超え、企業の存続を揺るがしかねない影響をもたらす事例が増えているのです。サイバー攻撃で顧客情報が漏洩すれば、企業の評判に関わりますから、最高経営責任者だけでなくマーケティング部門の責任者もサイバー対策の策定に参加すべきですし、最高セキュリティ情報責任者のポジションも常設すべきです。そして、各部門のトップの間で、組織全体への脅威を共有すると同時に必要なデータも共有します。最終的には、例えばIT部門が察知しなくても、業務部門が察知した異変について、組織として必要な対策がとれる環境を作り出すことが望ましく、結果としてサイバー攻撃の被害は最小限に抑えられると期待しています。

Q.決済エコシステムの拡大に応じ、さらなる規制は必要か。

金融機関や小売店を含め、支払い決済に関与する組織にセキュリティ強化を求める規制は十分にあると思うので、あとはこれをどこまで徹底させるかが課題だと思います。そして、セキュリティ強化を行う組織にとって、コンプライアンスが負担にならないように、上手にイノベーションを取り入れていくことが必要でしょう。サイバー対策に限りませんが、規制によりイノベーションが阻害されるという見方は常にあります。しかしそうではなく、今ある規制をイノベーションにより機能させるという行動が求められていると思います。

インタビューを終えて

金融機関やセキュリティ企業等の多くが、増えるサイバー攻撃に伴い規制も増えていく可能性が高いと見ているのに対し、Garcia氏が規制は既に十分にあると認識していることは意外でした。同氏は国土安全保障省のほか、Bank of Americaでもサイバーセキュリティ対策に関わってきた経験を通じ、個人的にはオペレーショナルリスク管理の一環で、サイバー対策を日常業務に落とし込む作業が必要だと感じていると話してくれました。金融機関がサイバー対策を特別な検査対策としてではなく、日常のリスク管理として組み込み、イノベーションを利用してどう信頼性の高いサイバー対策を構築していくのか、注目されます。

注釈

  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。