相次ぐ証券口座乗っ取りや不正送金･･･｢金融機関のサイバー対策｣は情報収集や人材面にも課題、日本に欠けた視点とは？

経営層にサイバーセキュリティを経営課題として理解してもらうには、現場側の努力も必要です。同時に、経営層も現場からの情報だけでなく、多様な情報に触れるべきです。経営層が独自に情報収集して学習している組織は、サイバーセキュリティを経営課題として捉える傾向が強く見られます。

――金融庁が2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しましたが、何か変化はありましたか。

これを機に経営層の関与を促進するための議論やベストプラクティスの共有が金融機関間で進んでおり、ガイドラインの影響は大きかったと思います。

金融庁は以前から「経営課題としての認識」を求めていましたが、ガイドラインでも「サイバーセキュリティリスクをITリスクではなくコーポレートリスクとして捉える」「サイバーセキュリティを重視する組織風土を醸成する」ことなどが強調されています。

具体的にはCISOを設置すること、中長期的な視点でセキュリティ人材育成に資源配分をすること、事案発生時の体制整備ではインシデント対応だけでなく危機管理の視点も重要であることなどがポイントとなっています。

おそらくまだ多くの金融機関がセキュリティ対策製品を導入することが対策だと捉えていると思いますが、そうした製品をくぐり抜けた攻撃にどう対処するかということを考えなければいけないフェーズに入っているということ。レッドチームオペレーションやスレッドハンティングといった、攻撃側の視点をちゃんと持つことが必要になっています。

そのほかガイドラインでは、経営陣のあり方についても言及されており、例えば、事案発生時はIT部門だけでなく全社横断的に対応する必要があり、経営陣にはそのためのリーダーシップを発揮するよう求めています。サイバーセキュリティに起因する損害については経営に法的責任があるため、経営陣自身が積極的に関連知識やノウハウを収集し、研修や訓練に参加することが重要であるという点も強調されています。

現在、日本全体で能動的サイバー防御が議論されていますが、金融機関もサイバーセキュリティを経営課題と捉え、今後はより広い視点で対応していくことが求められています。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、谷川 耕一さんの最新記事をメールでお知らせします。