金融業界では、サイバーセキュリティ対策の強化が求められ続けています。こうした動きも見据えながら、まず何から手を付けていけばいいのでしょうか?
前回に続き、NRIセキュアテクノロジーズ DXセキュリティコンサルティング事業本部でセキュリティ診断事業を率いるDXセキュリティ事業一部長の藤原健と、DXセキュリティ事業二部長の小林雅人に話を聞きました。
関連記事:セキュリティ診断の最前線|拡がる攻撃表面、早まる開発速度へどう対応するか
平均以上の対策を実施してきた金融業界でも、さらに高度な対策が求められている
金融業界に限らず、国内外でインシデントが相次いでいます。政府が業界に求める水準も高まっているのでしょうか?
藤原:はい。中でも一番セキュリティを気にかけ、厳しい統制を求めているのは金融庁だと思います。2022年2月には「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の最新版を公開し、3大メガバンクをはじめとする大手銀行に対し、欧米の取り組みを見習って対応することを求めており、欧米諸国に追随する動きがあります。
セキュリティ対策には企業体力も必要で、中には手が回りきらない金融機関もありますが、攻撃者はそういった事情はお構いなしです。そのような状況を踏まえて対策する必要があり、たとえばお金をあまりかけなくとも、自己評価できるチェックシートを用意するなど、自律的にセキュリティを高めていけるような施策を進めています。
どんなところから診断を進めるべきでしょうか?
小林:「自社が全体として堅牢かどうか」のチェックが、まず第一歩だと思います。日本では、地域の基幹病院がランサムウェアに感染してしまった事件がありました。もし、金銭を直接取り扱う業種である金融機関がランサムウェアに感染したり、システムに侵入されたりすることがあれば、かなり甚大な被害を受けることになるでしょう。
そういった脅威に対するシステム的な強度を確認するため、ペネトレーションテストや、さらに高度なTLPT(Threat-Led Penetration Testing、脅威ベースのペネトレーションテスト)を実施している金融機関もあります。金融庁が年に一回は実施するようルールを定めていることもあり、金融機関では定期的にペネトレーションテストを実施しています。金融以外の業界でも、セキュリティ事故が多発している情勢を踏まえ、金融機関の取り組みを参考にペネトレーションテストを検討されるケースが増えています。
技術と経営をつなぎ、システム同士の横のつながりも見ながら診断を実施
NRIセキュアが提供するセキュリティ診断サービスの特徴は何でしょうか。
藤原:DXの中で開発サイクルが早くなっている中、診断サービスとは別に、設計など開発の前段階から問題点を洗い出すサービスを提供し、上流から支援できる点が会社としての強みの一つだと思います。
また、診断自体も、FISCの安全対策基準、PCI DSS、あるいはWebアプリケーションならばOWASPのガイドラインなどを踏まえて評価項目を作り、それに沿って診断しています。さらに、これらの評価項目は、常に最新の脅威や攻撃動向に対応できるように年次でアップデートを行うほか、新たな問題が浮上したときには随時取り込んでいます。
尖ったスキルを持つコンサルタントが提供する診断サービスの強みは何でしょうか。
藤原:特定の業務にフォーカスして診断メニューを作り込めるような、深い知識を持った人材が揃っています。実際に手を動かして診断をするメンバーが、セキュリティに関する教育や研修を受け、最新の専門知識を身につけていることも強みです。
小林:ツールだけではわからない、ビジネスロジックに起因する問題を指摘できるような勘所を、それぞれのコンサルタントが備えていることも特徴です。また、経営と技術をつなげるところもポイントだと思っています。ツールで機械的に検知できる項目だけ出して「診断しました」というのではなく、お客様のセキュリティを維持、向上させるために優先順位を付け、具体的な対策のアドバイスを行った上で、経営層の方にもわかりやすく技術を伝え、意思決定、経営層のジャッジを支援できるのが当社の強みです。
もう一つの特徴は、横の連携を考慮できることです。今や、一つのシステムで閉じているケースは少なくなっています。あるシステムが様々なシステムと連携し、全体として一つのシステムとして成り立っている場合がほとんどです。その横のつながりを見ていかなければわからない危険性の高い問題もあります。攻撃者からすれば、セキュリティレベルの高いところを狙っても意味がありません。つながっているシステムの中で一番のウイークポイントを狙い、徐々にそこから被害を広げていくやり口が一般的です。我々は、お客様のシステムがどういう処理をして、どんなシステムとつながっているかに向き合って、システムの特性に応じた脆弱性をきちんと見つけていきます。
「何から手をつければいいか」に悩んだら、まずは現状把握を
「何から手を付ければいいかわからない」という悩みが寄せられると思います。アドバイスをお願いします。
小林:まずは現在の状態を見ることが一番大事です。テレワークが主流となっているOA環境に穴がないかを検査するのであればペネトレーションテストの実施が必要となりますし、新しくリリースするサービスやシステムの安全性を評価するのであれば、セキュリティリスク評価サービスや、セキュリティ診断を実施することになるでしょう。お客様の課題に応じて、現状評価から始めるべきだと思います。
あとは、見つかった問題点に優先順位を付け、順につぶしていく中で、「問題点がなぜ作り込まれたか」を開発工程や運用プロセスに遡って分析することも行っています。セキュリティ診断サービスの枠を越え、どのようなセキュリティポリシーを作るべきかの支援まで行うことも可能です。
一方でリソースには限りがあります。場合によっては優れたツールや自動化も必要になりますよね。
藤原:まず現状を把握し、守るべき資産が何かを特定する棚卸し作業から始めるべきと申し上げましたが、クラウドサービスが広がった現在では、IT部門の知らないところで事業部が勝手にクラウドを使い、キャンペーンサイトを立ち上げる、といったことも簡単にできてしまいます。サプライチェーンに対象を広げていけばなおさらで、ディスカバリーのニーズはますます高まっています。
ここで難しいのは、出てきた資産がすべて重要とは限らないことです。極論を言えば、広告用のサイトで比較的重要度の低い部分もあれば、本当にクリティカルで、ここのセキュリティを破られてしまえばビジネス自体がまずい、というところまでさまざまです。そのすべてに対し、人手による高品質なサービスを適用するのは、コストと見比べても過剰になってしまうでしょう。全て同じように手厚くやろうとしても、どうしても予算や人材不足に直面します。重要なものは人手でしっかり見ていく一方で、重要度が比較的低いものはまずはツールでチェックをかけて、本当に重大な問題がないかを確認するのがいいでしょう。
これまでも十分に対策を行ってきた金融機関ですが、さらに取り組むべきことはありますか?最後に、メッセージをお願いします。
我々もこうした動きに合わせ、攻撃表面の広がりに対応したサービスや、高度化したサイバー攻撃に対応したペネトレーションテストサービスを提供していきます。また、ソフトウェアサプライチェーンのリスクマネジメントに対する解も見つけていきたいと考えています。
藤原:「セキュリティ対策は必要だが、何からやればいいかわからない」というお悩みはよくわかりますが、その状態から脱却するには、やはり最初は専門家にご相談いただくのがいいと思います。セキュリティ診断以前の優先順位付けからでもかまいません。また、アタックサーフェスが広がる中で課題をチェックされたいのであれば、まさに我々がセキュリティ診断で支援できる部分だと思います。上流工程から診断、ペネトレーションテストに至るまでさまざまな手段を用意しています。案ずるより産むが易しです。まずはご相談ください。