相次ぐ証券口座乗っ取りや不正送金･･･｢金融機関のサイバー対策｣は情報収集や人材面にも課題、日本に欠けた視点とは？

金融機関の顧客を狙う犯罪者の多くは、フィッシングなどで顧客の正規のIDやパスワードといった権限を不正に取得し、不正取引を行います。よって、顧客には認証情報の厳重な管理や、インフォスティーラー（感染した端末から個人情報を窃取するマルウェア）に感染しないよう利用端末へのウイルス対策ソフト導入などの対応が求められますが、顧客だけが対策すればよいものではありません。金融機関側でも顧客のアクセス状況に応じたリスクベース認証など、多角的な対策をすべきです。

鎌田敬介（かまた・けいすけ）／Armoris取締役専務CTO。元ゲーマーで、大学時代にITエンジニアとしてネットワークからアプリまで一通り経験。2002年よりJPCERT/CCにてセキュリティを学び、国際連携や海外セキュリティ機関の設立を支援。経営コンサルタント助手を経て、大手金融機関のIT・サイバーセキュリティ管理に従事。一般社団法人金融ISAC立ち上げに参画。現在は複数の組織に所属し、各種セキュリティコミュニティの活性化支援、国内外講演や幹部向けのレクチャー、技術者向けのハンズオントレーニングなどを行う。金融庁参与、茨城県警サイバーセキュリティ対策テクニカルアドバイザーも務める。著書に『サイバーセキュリティマネジメント入門』（写真：本人提供）

そのほか、ここ数年とくに注目されているのは、サプライチェーンリスク。サイバー攻撃による業務、営業、顧客への影響は、必ずしも自社の対策不備によるものとは限りません。委託先企業へのランサムウェア攻撃や、自社が使っているクラウドサービスへの攻撃も多く、ビジネスの関係先を経由した攻撃による被害も大きな課題となっています。自社だけを守っていれば被害を防げる時代ではないとの認識を持つことが求められています。

――今後、想定されるリスクはありますか。

海外では、金融システムへの侵入が起きていると見られる攻撃もあります。数年前に比べて攻撃者の技術レベルが高くなっているので、日本の金融機関にもいわゆる標的型攻撃に対抗する技術のレベルアップが求められています。

今後は個々の金融機関への攻撃だけではなく、金融業界全体のインフラに対する攻撃も懸念されます。これが起きると金融危機につながる可能性があるので、業界内で対策が頻繁に議論されています。

また、実用化が期待されている最先端技術、いわゆる「エマージングテクノロジー」を使った攻撃も脅威となってくるでしょう。例えばAIも進化に応じてさらに多様なリスクが想定されますし、量子コンピューターの実用化は既存の暗号解読というリスクをもたらすことが考えられます。

日本と海外｢セキュリティ対策｣はどう違う？

――日本の金融機関のセキュリティ対策は十分なのでしょうか。

規模が大きい金融機関ほど、セキュリティ対策に予算を投じやすく対策も強固になりますが、一方で攻撃の標的にもなりやすいです。そのため、各金融機関はつねに変化する攻撃に対応するため努力を懸命に続けている状況ですが、日本ならではの課題はあると感じています。