多様な金融資産や情報を扱うサービスの性質上、いつの時代もサイバー攻撃の標的となってきた金融機関。見方を変えれば、金融機関の置かれた状況やその対策に最新のサイバーセキュリティ構築のヒントがあるともいえるだろう。金融業界のサイバーセキュリティ連携を推進する「金融ISAC」に創設時から携わり、長年、金融機関のサイバーセキュリティ向上に尽力してきた鎌田 敬介氏に話を聞いた（聞き手：日経BP総合研究所 上席研究員 菊池 隆裕）。

一般社団法人 金融ISAC
専務理事 CTO
鎌田 敬介 氏
大学時代にIT実務を学び、2002年からJPCERTコーディネーションセンターでサイバーセキュリティ業務に従事。2011年に入行した三菱東京UFJ銀行（現・三菱UFJ銀行）でのシステム部門でIT・サイバーセキュリティ管理業務を経て、2014年から現職。金融業界を中心に国内外でサイバーセキュリティ関連のコンサルティングなどにあたる。金融庁参与も務める。著書に「サイバーセキュリティマネジメント入門」。

米国を参考に、日本版金融ISACの創設に尽力

―― 金融業界のサイバーセキュリティに関する情報の共有および分析を行い、金融機関の安全性向上を推進する金融ISACに、創設時から参画されています。組織は9年目を迎えていますが、現状や活動について教えてください。

鎌田　創設当初の正会員は20社でしたが、現在は国内に事業拠点のある銀行、証券、生命保険、損害保険、クレジットカード事業者、決済サービス事業者なども合わせ480社を超えています。国内の主な金融機関をカバーする規模になっています。

活動としては、サイバー攻撃事案に関して、攻撃元の手口、目的、対策と結果などに関する情報共有の取り組みがあります。また、これとは別に、11のワーキンググループ活動があります。「インシデント対応」「脆弱性対応」「人材育成」などのトピックごとに、関心のあるメンバーが議論し、ベストプラクティスの提案と共有を行っています。「共助」の観点から有益な対策の情報、知見を集約し、業界全体に広げるリソースシェアリングが狙いです。

―― 鎌田さんはIT・サイバーセキュリティ管理業務に従事されていた大手都市銀行のシステム部門を経て、金融ISACに参画されています。当時、組織の創設に向けてどのように取り組まれたのでしょうか。

鎌田　そうですね。サイバーセキュリティの世界では、組織間の情報連携が重要だと認識していたので、銀行を中心とする意見交換会を始めました。当初はアンオフィシャルな会合でしたが、徐々に現在の金融ISACにつながる体制をつくっていったかたちです。

ISAC (Information Sharing and Analysis Center)はもともと、米・クリントン政権時代に、重要インフラ業界のセキュリティ情報の共有を目的として生まれた組織です。米国には金融を含め重要インフラのセクターごとにISACがあります。米国のモデルを参考に日本でも金融ISACを立ち上げ、情報連携を進めるべきだという議論がかねてあったことや、日本でもマルウエアが原因の不正送金などが相次いでいた当時の背景も重なり、2014年に日本における金融ISACの創設につながりました。

経営課題としてサイバーセキュリティに取り組む変革を

―― 鎌田さんは金融業界のサイバーセキュリティ対策について、「組織的対応」「技術的対応」の2つの軸を提唱されています。まず、組織的対応についてお聞かせください。

鎌田　サイバーセキュリティの概念が生まれる以前は、ITリスク管理の視点から技術面の対処をしていればよいと考えられてきました。長年メインフレームを利用してきた金融機関は、システム運用をクローズドな環境に閉じることでセキュリティリスクを低減してきました。ただ、この仕組みは基本的に組織外からのアクセスを想定していないため、（いざ外部とつながったときに）外部からの攻撃には非常に脆いといった限界がありました。現在のサイバー攻撃に対応するには、セキュリティの概念そのものをとらえ直すパラダイムシフトが必要です。現在はシフトの途中段階にあり、日本に限らず世界の金融機関にも共通する課題といえます。組織全体の危機管理にサイバーセキュリティを加え、企業としてのリスク管理、危機管理の観点を強め経営課題として対処していく組織的対応が重要となっています。

一方、技術的対応とは文字通り、サイバーセキュリティ向上に向けた技術的な対策に取り組むことです。日本での注目度はまだ高くありませんが、現在、欧米の金融機関が注力している分野の1つが、ハードウエアレベルのセキュリティです。最近の攻撃の特徴に、OSより低いレイヤー、具体的にはファームウエアのレベルにマルウエアを仕込むことで、OSレベルでの対策を回避する手法が目立つようになってきました。ファームウエアの感染によって、コンピューターそのものが乗っ取られるような深刻な事態も起きています。こういった事象は日本国内ではまだ大きな話題となっていませんが、いくつか疑わしい個別の事例を聞いたことがあります。ハードウエアのセキュリティレベルをさらに引き上げるなど、技術的対応を時代に合わせて進化させていくことも重要となっています。さらに技術面のトピックでは、ゼロトラストの実現において、パソコンなどのIT機器のOSより上のレイヤーでのアクセスコントロールの制限、細分化も必要になっていくと考えます。アプリケーションの権限を分離しておけば、早期の検知、封じ込めによって、被害の拡大を迅速に食い止めることができます。

―― 前者の組織的対応では、金融機関が構造的に抱える課題に対し、具体的にどのような取り組みが求められているのでしょうか。

鎌田　サイバーセキュリティは、今日起きている攻撃への対処だけでなく、10年先、15年先まで見据えた対策が必要な経営課題です。いかに防御するかはもちろん、侵害を受けたときのレジリエンス、インシデントレスポンスをどう高めていくか。経営者は長い射程でリスク管理ととらえ、組織のリソースや権限をどう充てていくかを考えなければいけません。また、攻撃を受けた場合、IT部門だけでなく、組織横断での対応が必要になります。「サイバーセキュリティ対策を全社的に取り組むのだ」という意識を、経営者が組織の先頭に立って浸透させていく必要があると思います。

―― ただ、組織ごとに抱えている課題も、セキュリティに関する知見やリソースも変わります。サイバーセキュリティのフレームワークがあっても、すべての組織に有効という訳ではないはずです。金融ISACはその点にどうアプローチしていますか。

鎌田　おっしゃるように、サイバーセキュリティにかける予算も人員も組織によって差があります。それぞれの組織にとってのベストにどう近づけるかがポイントになります。そこで金融ISACは、先に紹介した「共助」のためのプラットフォームを提供しています。個々の事例を持ち込み、「共助」の視点で会員同士が議論する。そこで得られたものを自分たちの会社に置き換えながら、対策や行動の材料にすることで、精度の高い「自助」につなげてもらう。それが理想と考えています。

「対策はすぐに陳腐化する、リスクはゼロにならない」

―― サイバーセキュリティを経営課題としてとらえ、変革していくには、特定部門だけに委ねることはできないと思います。組織的対応の中心になるべきCIO、情報システム部門はどのような意識を持つべきですか。

鎌田　サイバー攻撃はめまぐるしく変化しています。昨日は安全だったものが、今日も安全とは限らず、どんなに防御を徹底してもリスクがゼロになることもありません。CIOや情報システム部門に求められるのは、己を知り、敵を知ることです。自社のセキュリティレベルの、どこにウイークポイントがあるのかを把握しなければいけません。さらに、脆弱性情報、企業への攻撃予告、具体的な攻撃事案といった世の中の変化を察知することにもリソースを割かなくてはいけません。自社の置かれた状況を俯瞰しながら、社内で情報を共有し、議論する。また、何かあった場合には、円滑に行動できるようにするための演習や準備も欠かせません。また、経営陣と情報システム部門の間に意識の乖離があることが放置されているケースも多いですね。社内におけるリスクコミュニケーションの重要性も高まっています。

―― 確かに、状況変化のスピードは以前の比ではありません。レジリエンスという言葉が生まれた背景もそこにある気がします。

鎌田　同感です。対策がすぐに陳腐化してしまう可能性も高まっているため、そのことを前提に組織をつくらなければいけないと思います。昔ながらのITリスク管理の延長でいるのではなく、以前の常識を総入れ替えするくらいの変革が必要な時代です。対応にかかるインターバルを短く、というのはサイバーセキュリティのトレンドであり、重要度が高く、スピード感が求められるものは内製へという流れも明確になってきています。状況や時代に合わせて、組織的対応も変化させていかなければなりません。

欧米の金融機関が注力するハードウエアのセキュリティ

―― 鎌田さんが金融業界のサイバーセキュリティ対策で提唱される「組織的対応」のほかに、もう1つの「技術的対応」についても詳しくお聞かせください。

鎌田　先にも述べましたが、技術的対応は、サイバーセキュリティ向上に向けた技術的な対策に取り組むことです。少し前はEPP（Endpoint Protection Platform）やEDR（Endpoint Detection and Response）などエンドポイントセキュリティが話題の中心でしたが、今はゼロトラストやクラウドインフラをどう守るか、サプライチェーンリスクをどうするのかの議論にトレンドが移ったと感じています。そうした中、欧米の金融機関が重視して対策に取り組んでいるのが、ハードウエアレベルのセキュリティです。

　以前の攻撃は、マルウエアをコンピューターのOSレベルで感染させ、遠隔操作で何か悪いことをする、というのがよくみられる基本的な手法でした。一方、現在はOSより下層のファームウエアにマルウエアを仕込むことで、OSレベルでの対策を回避しながら攻撃していくといった手法へ多様化／巧妙化しています。日本の金融機関は、ファームウエアのマルウエア感染から、コンピューターそのものが乗っ取られるような、深刻な事態が起こりうることを認知し、警戒レベルを高めていかなくてはいけないでしょう。

―― 具体的にはどのような対策を取る必要があるのでしょうか。

鎌田　1つは、より信頼性の高い製品づくりを行っているメーカーの製品を選定すること。もう1つは、自社に届いたハードウエアが、正規のファームウエアを搭載しているのかをチェックする仕組みをつくることです。この両面からの対策を実行することで、仮にメーカー出荷後のプロセスにおいてファームウエアレベルでマルウエアが仕込まれても、被害を未然に防ぐことができます。実際、米国ではファームウエアのチェックを専門に行うベンダーも生まれるなど、サイバーセキュリティ対策の新しい分野の1つになりつつあります。

―― 前にも言及がありましたが、ゼロトラストの実現に向けてはどのような取り組みが期待されますか。

鎌田　そうですね。現在、企業の間で主流となっているゼロトラストの取り組みでは、ネットワークレベルでの権限、アクセスコントロールの細分化によって、被害を最小限に抑える考え方が中心となっています。そこに加えて、今後はエンドポイントのOSより上のレイヤーでも、アクセスコントロールの制限、細分化が必要になっていくと考えています。アプリケーションの権限を分離しておけば、早期の検知、そして封じ込めが可能になります。結果、被害の拡大を迅速に食い止めることができます。

　このような一連のアクセスコントロールの厳密化は、米国で重要性の高いシステムを扱う一部の組織では既に実施されています。実際に導入しようとすると、制御が難しかったり、高度な技術が必要だったりする課題もありますが、今後は日本の金融機関でもいずれは広がっていくことになるでしょう。

サプライチェーンセキュリティをいかに守るか

―― さらに現在は、業務上のつながりがあるステークホルダーも含めた、サプライチェーンセキュリティを考える必要性も高まっています。金融業界各社が、このサプライチェーン全体のセキュリティを高めていくには、どのような考え方や対策が必要なのでしょうか。

鎌田　もともと金融業界には、外部委託している事業者に対して、リスク管理、外部委託管理を行うという考え方があります。ひと言でいうと、「自社のセキュリティレベルと同等のものを求める」が従来の基本でした。この考え方自体は有効ですが、最近は金融機関が、FinTechの新興ベンチャー企業とシステムをつなぐケースも生まれてきています。そこではクラウドを含め、金融機関自身がコントロールできない領域が増えており、「自社と同等レベル」を維持することが難しくなっているのが現状です。

　ここで重要なのは、いかにコミュニケーションを密にできるか、です。「APIを開放するので勝手に使ってください」ではなく、どういうセキュリティ要件を定めて使い合うかなどをきっちりと話し合う必要があります。また、サプライチェーンリスクが具現化した事案について、経緯や対策を含めて情報収集しておくこと。そして、自社に置き換えてシミュレーションを行い、対応力を上げる努力も不可欠だと考えます。

―― 最近のサプライチェーンリスクにかかわるトピックとして、どのようなサイバーセキュリティ関連の事案に関心を持たれていますか。またその事案に企業はどのように対処していく必要がありますか。

鎌田　ニュースとしても大きく取り上げられましたが、プログラム言語「Java」のオープンソースのログ出力ライブラリー「Apache Log4j」の脆弱性ですね。第三者が遠隔から任意でコード実行できてしまうもので、脆弱性単体で見ればリスクが非常に高く、脅威であることは間違いありません。ですが、攻撃を成立させる難易度はかなり高く、それが原因の大きな被害は今のところ確認されていないようです。世の中が騒いでいるから自社も危ないかというと、必ずしもそうではなく、情報を素早くキャッチアップすると同時に、それを精査し、自社にとっての脅威度を含めて正しく理解する必要があります。

　また、あるクラウドサービスについて、事業者側で設定変更が行われ、情報漏えいに至った事案もあります。こちらは多くの事業者が被害に遭う可能性があります。繰り返しますが、世の中の脅威を幅広く把握し、情報の収集と分析、そして自社にとってのリスクの高さを理解できる人材が社内にいるかが、ますます問われていくでしょう。

新たに学び、スキルをアップデートできる機会の創出を

―― サイバー攻撃は年々、多様化／巧妙化していますが、金融機関が受けやすい攻撃パターンや業界固有の課題にはどんなものがあるのでしょうか。

鎌田　サイバー攻撃の約8割は「金銭を得る」ことを目的としたものだといわれます。また、個人情報を狙う攻撃も多くあります。つまり、その両方を保有する金融機関は、攻撃者にとって格好のターゲットになる組織といえるでしょう。執拗な攻撃にさらされた世界中の金融機関が、大きな被害にあっています。日本では、欧米ほど大規模な情報漏えいは起きていませんが、標的にされやすいことは間違いありません。業界全体で知識と経験を共有する金融ISACのような「共助」の仕組みは、今後ますます重要になると考えています。

―― 金融機関のサイバーセキュリティの重要性はより高まっています。組織のリーダーたちはどう考え、行動していけばいいのかのメッセージをお願いします。

鎌田　特に強調したいのは「人」に関する部分です。国内でセキュリティの仕事をしている人は、その多くが専門の教育を受けておらず、組織に入ってから業務の延長で携わっているケースがほとんどです。ここが欧米との大きな違いです。欧米の金融機関では、ITとサイバーセキュリティの専門教育を受けた人が、極めて専門性の高い業務に携わっています。

　もちろん、実務を通じて学ぶことはたくさんありますが、新しい知識を学び、スキルをアップデートしていく機会が日本は乏しい気がします。状況の変化が激しい今、古い知識、スキルのままではリスクに対応できないでしょう。IT部門、セキュリティ部門が、知識もスキルも常にアップデートできるようにリソースを注ぐ取り組みも、これからの時代には重要といえるのではないでしょうか。

―― 鎌田さんはセキュリティ人材の育成にも長く携わっていますが、専門性の高い人材を育てるために、特に必要なものは何でしょうか。

鎌田　インプットだけを続けていても、なかなか自分の血肉とするのは難しく、インプットと同様、アウトプットする機会をつくることが大事です。新しい知識、スキルを学んだら、そのままにしておくのではなく、社内の研修などの機会を設け、アウトプットする。人に説明する過程で、自分の中で整理、吸収が進み、議論によって新たな発見が生まれることもあります。アウトプットすることで、知識とスキルを定着させる。こうした環境も、経営サイドから用意していってもらえればと思います。