金融界で高まるサイバー攻撃リスク ｢日本の対応は米国より数年後れている｣

「リーマンショックから約10年後の現在、金融システムの最大のリスクは何か」──。米議会下院で4月に開かれた公聴会で、米大手金融機関7社の最高経営責任者（CEO）が議員から問われた。世界景気の減速やノンバンク問題などの回答もあったが、最も多い5人が筆頭に挙げたのが「サイバー攻撃」だった。

2014年に8300万件の顧客情報を盗まれたJPモルガン・チェースのダイモン氏は「サイバー攻撃は地球規模の最大脅威」と述べ、年間対策費が6億ドルに上ると証言。モルガン・スタンレーのゴーマン氏は、年間対策費が5年前比で8倍の4億ドル強に増えたことを明らかにした。

今年1月のダボス会議では、日本銀行の黒田東彦総裁も警告を発している。「今後数年で、サイバー攻撃はおそらく最も深刻なリスクとなる。われわれは入念にシステム強化策を考えねばならない」。

金融界で危機感が高まっている背景には、急激な構造変化がある。資金仲介役の金融機関はもともとサイバー攻撃の格好の標的だ。だが近年、あらゆる金融資産や信用情報がサイバー空間でデジタル化され、高度にネットワーク化される中、リスクは一層高まっている。通信や電子商取引など、膨大な顧客基盤を持つ異業種の金融事業参入が進み、金融システムの範囲自体も拡大している。さらに、攻撃者は人工知能（AI）を使って攻撃手法を開発したり、標的の脆弱性を分析したりするなど巧妙さを増す。守る側は、終わりなき「軍拡競争」を強いられている。

攻撃パターンは3つある。第1に金銭窃取。近年、バングラデシュやロシアなどの中央銀行でも不正送金被害が相次ぐ。仮想通貨の流出事件も多い。第2に情報窃取。保険会社の病歴データ漏洩を含め、信用失墜や訴訟費用など影響は甚大だ。第3に業務妨害。過剰な通信負荷をかけるDoS攻撃や不正プログラムによるデータ破壊など、金融機関や証券取引所など市場インフラの機能をマヒさせる手口だ。17年には世界中の端末がランサムウェア（身代金要求型ウイルス）に感染し、業務不能に陥った。

国際通貨基金（IMF）は昨年、サイバー攻撃によって世界の金融機関が被る年平均の潜在損失額は最大で6420億ドル（約72兆円）に上るとの試算を発表した。純利益の62％に相当する規模だ。

日本の意識改革に後れ

幸い、日本ではこれまで金融システムを揺るがす事案は発生していないが、油断は禁物だ。サイバー攻撃は地震と同様、発生時期も規模も予見が難しいからだ。

サイバー対策の専門家からは「日本の対応は米国より数年後れている」との指摘も聞かれる。米金融機関はセキュリティーシステムも自前で開発するなどIT武装を強めており、その分、対策費はかさむ。一方、日本はメガバンクでも年間対策費が数十億円程度にとどまり、何より経営層の意識からしてまだまだ低いとの見方だ。

金融庁の担当者は、「大手金融機関ではそれなりに対策が進んできたが、中小では後れが目立つ」と話す。厳しい経営環境も一因であろうが、敵は弱点を突いてくる。中小金融機関の被害が伝播して拡大する可能性もある。重要なのは、国内外の最新の情報や知見を官民で共有しながら、残存リスクをつねに洗い出していくことだ。

もちろん、サイバー防衛は電力や通信、交通などほかの重要インフラにおいても喫緊の課題だ。東京五輪対策にとどまらず、すべてのものがネットでつながるIoE（Internet of Everything）時代に即した対策が求められる。