金融機関は「サイバーセキュリティ人材の育成」にどう向き合うべきか

金融機関においては、デジタル化の加速による顧客ニーズの変化や、デジタル庁による新たな規制要件の導入など、さまざまな変革が求められています。実際に、クラウドやブロックチェーン、AI、ビッグデータ分析など、多様な次世代テクノロジーを活用されている金融機関も多いのではないでしょうか。

業務プロセスを改善したり、高付加価値サービスを創出したりするためには、次世代テクノロジーを活用した「デジタルトランスフォーメーション(DX）」の推進が不可欠である一方、金融庁から公表されたサイバーセキュリティセルフアセスメントの調査結果^*1を見ると、サイバーセキュリティリスクの影響を抑制する対策を担う人材(以下、サイバーセキュリティ人材）の確保や育成が追いつかず、サイバー攻撃の脅威に立ち向かうための備えが十分にできていない現状が浮き彫りとなっています。

そこで本稿では、「金融機関がサイバーセキュリティ管理態勢の整備や実効性を確保するためにできることは何か」について、考察したいと思います。

*1

• 金融機関におけるサイバーセキュリティセルフアセスメント（Cyber Security Self-Assessment、CSSA）：金融機関のサイバーセキュリティ管理態勢の強化を促すため、他の金融機関対比での自組織の立ち位置や課題となる領域を特定できる金融庁および日本銀行が配賦した自己評価ツール(点検票）
  出典：金融庁ウェブサイト(金融機関におけるサイバーセキュリティセルフアセスメントの集計結果（2023年度）：金融庁)

金融機関を取り巻くサイバーセキュリティの現状

デジタル化が進む現代において、多くのデジタル化された情報はサイバー空間に存在しています。金融機関で万一、サイバーインシデントが発生すると、取引の遅延や混乱、サービスの停止、個人情報の漏えいや資金流出などを招く可能性があり、ひいては顧客や社会からの信頼を失墜させることになりかねません。

そこで重要となるのが、日頃からリスクに備え、サイバー空間のデジタル化された情報を守るサイバーセキュリティに取り組むことです。しかし、近年、「サプライチェーンの多層化・複雑化」と「サイバー攻撃の変化」により、金融機関のサイバーセキュリティの難易度は上がっているといえます。それぞれ詳しく見ていきましょう。

サプライチェーンの多層化・複雑化

金融機関におけるサプライチェーンを構成するのは、バックオフィス業務やカスタマーサポートなどの「業務委託先」、各種クラウドサービスを提供するベンダーをはじめとした「サービスプロバイダー」、他にも「提携先の他金融機関」や、基幹システムの構築・運用を委託している「IT調達先」といったビジネスパートナーです。昨今では、キャッシュレス決済など、外部の事業者との連携したサービスが拡大することにより、このサプライチェーンが多層化・複雑化する傾向にあることから、脆弱性が生じやすい場所が広がり、サイバーセキュリティリスクを高める要因のひとつとなっています。

脆弱性が生じるのは、技術的な要因だけではありません。関係者の知識不足による運用上の不備など、人的な要因も脆弱性を生む原因となります。そのため、サイバーセキュリティを強じん化するためには、金融機関内にサイバーセキュリティ人材を増やし、適切かつ継続的にサプライチェーンを管理することが重要です。

サイバー攻撃の変化

当然ながら、サイバー攻撃を仕掛ける攻撃者も多様な次世代テクノロジーを活用していますので、テクノロジーの進化とともにサイバー攻撃のトレンドも変化し続けています。たとえば、以下のような種類があげられます。

ランサムウェア

デジタルデバイスに感染して、システムやデータを人質にとることで身代金の支払いを要求する、マルウェア(悪意のあるソフトウェア）の一種。

フィッシング

偽装したメールやWebサイトなどを通じて、個人情報や機密情報を搾取するサイバー攻撃。

ゼロデイ攻撃

ソフトウェアやハードウェアの脆弱性が発見された後、それが修正される前に行われるサイバー攻撃。

DDoS(Distributed Denial of Service)攻撃

複数のコンピュータを使って特定のサーバーやネットワーク機器に大量のデータを送りつけ、サービスを利用不能な状態に陥らせる攻撃。

また、近年サイバー攻撃が増加している背景には、身代金を支払ってしまう被害者が一定数いることで、ビジネスとして成立していることのほか、「RaaS(Ransomware as a Service）」や「PhaaS(Phishing as a Service）」の出現や、「アンダーグラウンドサービス」^*2の存在があります。

*2

アンダーグラウンドサービス：主にダークウェブやディープウェブで提供される非合法なオンラインサービスのこと

RaaSやPhaaSは、ランサムウェアやフィッシングをサービスとして提供する仕組みのこと。これらを利用することで、犯罪者自身がプロのブラックハットハッカーでなくても、簡単にサイバー攻撃を仕掛けられるため、被害が増大しています。

さらに、かつて軍事目的で使用されていたダークウェブが公開されて以降、匿名性を悪用したアンダーグラウンドサービスが乱立するようになりました。アンダーグラウンドサービスでは、クレジットカード情報や会員サイトのID・パスワードなどの個人情報を販売するマーケットプレイスがあるほか、マルウェアや攻撃ツールが販売されていたり、サイバー犯罪者のパートナー探しが行われたりもしています。

こうしたサイバー攻撃を未然に防ぐことは非常に困難であるとはいえ、実際に金融機関で発生したセキュリティインシデントの多くは、社員の誤送信による情報漏えいや、元社員による顧客情報の持ち出し、業務委託先のランサムウェア感染による情報漏えいなどであり、金融機関の基幹システムを狙ったサイバー攻撃による情報漏えいは、少ない傾向にあります。

このことから、金融機関のサイバーセキュリティにおいては、ガバナンスの確立や組織風土の醸成が重要であり、担当部署やIT部門だけでなく、あらゆる部門で、サイバーセキュリティのリテラシーを高める必要があるのです。

金融機関がサイバーセキュリティ人材を育成するには

では、金融機関が育成すべきサイバーセキュリティ人材とは、どのような人材なのでしょうか。

2024年10月4日に金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン」^*3では、以下のような要件を満たす人材が高度なセキュリティ人材の例としてあげられています。

*3

• 出典：金融庁ウェブサイト(「主要行等向けの総合的な監督指針」等の一部改正（案）及び「金融分野におけるサイバーセキュリティに関するガイドライン」（案）に対するパブリックコメントの結果等について：金融庁)

• 新たなデジタル技術の導入に際し、生じ得るサイバーセキュリティに関するリスク評価を行う人材
• サイバーセキュリティ戦略・計画の企画・立案を行う人材
• サイバーセキュリティに関する研修や人材育成を行う人材など

しかし、冒頭でも紹介したとおり、同庁の調査結果によると、こうしたサイバーセキュリティ人材を「十分に確保できていない」と回答した金融機関が大半を占め、「自組織の職員のみで十分確保できている」と回答したところは、わずか12%ほどにとどまっています。この結果に鑑みると、金融機関が自組織内でサイバーセキュリティ人材を育成するのは容易ではないといえるのではないでしょうか。

そこで日立ソリューションズ・クリエイトでは、金融機関のサイバーセキュリティ人材の育成を支援するため、「サイバーセキュリティトレーニング」のコースの1つとして「金融機関向けセキュリティ人材育成プログラム」を提供しています。本プログラムでは、セキュリティやハッキングに関して高度な知識を持つ当社のホワイトハットハッカーが講師を務める実践的なカリキュラムで、受講者のレベルに合わせて、セキュリティの基礎から専門的な内容まで、幅広い知識を身につけられます。

また、こうした自組織のセキュリティレベルを維持・向上させるために必要な知識の習得や訓練の実施だけではなく、金融機関で特に重要となる、有事の際の迅速な復旧につながるサイバーレジリエンスの考え方まで習得することが可能です。サイバーセキュリティ人材の育成にお悩みをお持ちの方は、ぜひお気軽にお問い合わせください。

今回の語り手：(株)日立ソリューションズ・クリエイト　デジタルトランスフォーメーション事業部 セキュリティビジネス本部　主管技師長（日立サイバーセキュリティセンター/センター長）
和田　明利さん

関連情報