2024年10月24日、大手町プレイスホール&カンファレンスにて、NRIセキュアは、金融機関様向けに「NRI Secure Finance Forum 2024」と題したオフラインイベントを開催いたしました。本イベントでは、株式会社Armoris取締役専務CTO兼金融ISAC顧問の鎌田 敬介氏、金融機関のサイバーセキュリティ最前線で活躍されている担当者らをゲストでお招きしたパネルディスカッションや、NRIセキュアによる講演を行いました。
本稿では、「NRI Secure Finance Forum 2024」での様子をお届けします。
はじめに
日々サイバー攻撃は巧妙化しており、金融業界全体で金融庁や業界団体と連携して強固なセキュリティ対策が求められています。
このような背景より、本イベントでは、鎌田氏による基調講演からNRIセキュアによる講演、パネルディスカッションの順で、サイバーセキュリティの最新動向やその対策についてさまざまな視点よりポイントを提示しました。本稿では、特に関心を寄せていただいたパネルディスカッションを中心に、当日の様子をご紹介します。
開催概要
NRI Secure Finance Forum 2024
- 主催:NRIセキュアテクノロジーズ株式会社
- 日時:2024年10月24日(木) 16:00~20:00
- 会場:大手町プレイスホール&カンファレンス
パネルディスカッション|【本音で語る】サイバー攻撃にどう立ち向かう?金融業界のリアルなセキュリティ事情
「【本音で語る】サイバー攻撃にどう立ち向かう?金融業界のリアルなセキュリティ事情」と題して、日本生命・MS&ADホールディングス・三井住友フィナンシャルグループの各社のサイバーセキュリティ担当者と、金融ISACアドバイザーに、NRIセキュアが加わり、2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」への見解や、金融業界でのサイバーセキュリティの実情を語っていただきました。
最初のテーマは、「自己紹介とNRIセキュアのつながり」として、各登壇者の業務内容やNRIセキュアとの関わりについてお伺いしました。
続いて、「金融分野におけるサイバーセキュリティに関するガイドラインについて」をテーマに、本ガイドラインの狙いや金融庁としての見解を鎌田氏やNRIセキュアの十川からお話しました。これまで抽象化されていた内容をより具体化することによって、実際にどのようにして対策を実施するのかを提示している、と述べました。また、監査マニュアルよりもリスクベースでの実施に近いという観点を踏まえて、ガイドラインを活用してもらいたいとのことです。さらに、鎌田氏は、金融庁から公表されている、パブリックコメントへの金融庁の考え方も是非ご覧いただきたい、と述べました。
サイバーセキュリティ担当者からも、経営層のサイバーセキュリティへの意識が自然と高まるため、セキュリティ全体の優先順位があがったと同時に、着手できていなかった・予算が確保できていなかった対策についても、取り組みやすくなったという意見が挙げられました。加えて、ガイドラインを全て網羅することは現実的ではないため、資産管理やセキュリティ人材の確保などを例としたセキュリティ対策の基礎となる部分からまずは着手していくといった、具体的な実施方法もお話いただきました。
最後に、「金融業界のリアルなセキュリティ事情」というテーマで、オフラインならではのクローズドな雰囲気で率直な意見交換が行われました。経営層への説明や、セキュリティ対策の費用対効果、サイバーセキュリティ担当者の苦労話から、どのようにして情報収集をしているのか、といった普段は聞くことができない実務経験を踏まえた具体的な内容でディスカッションが繰り広げられました。
左から、吉田 勇輝氏(三井住友フィナンシャルグループ) 衣川 将氏(日本生命)
左から、鎌田 敬介氏(Armoris・金融ISAC アドバイザー) 安達 知秀氏(MS&ADホールディングス)
左から、十川 基(NRIセキュア) 渡辺 貴恒(NRIセキュア)
基調講演|サイバーセキュリティを攻撃者目線で紐解く
本イベントでは、「サイバーセキュリティを攻撃者目線で紐解く」と題した基調講演に、鎌田氏にご登壇いただきました。「サイバーセキュリティは経営課題」を前提に目まぐるしく変化するサイバーセキュリティ情勢に対して、直近の事案を例にあげながら、攻撃側にフォーカスを当てて解説いただきました。また、経営と現場の関わり方についても、本ガイドラインを解説しながら、考えられる課題や対応手順などをお話されていました。
本ガイドラインは、国際的なフレームワークをベースに国内向けに最適化し策定されたものであると、鎌田氏は述べました。ガイドラインを全て網羅して100点を目指すよりも、状況に応じたプライオリティを考慮してリスクベースで実施していくことが必要であり、さらに「どのような対策が必要なのか」を判断するためには、攻撃者目線で見ることで、対策の抜け漏れの確認や、どの程度の実施をすればいいのかというさじ加減の判断がしやすくなる、とのことです。
本ガイドラインでは、全社横断的な対応を実現するためのガバナンスの確立と、サイバーインシデントは経営責任である旨が記載されており、経営と現場のコミュニケーションが課題となる、と鎌田氏は述べました。さらに、この課題には、オープンコミュニケーションを図りながら、経営に状況を把握してもらうことが求められる、とのことです。
鎌田 敬介氏(Armoris・金融ISAC アドバイザー)
NRIセキュアによるセッション
セッション1 金融業に求められるセキュリティ対策と今後の展望
金融セキュリティコンサルティング部の十川 基が、世の中全体のサイバー脅威やその対策状況について、公開されている統計情報やNRIセキュアによる分析をもとに実態やその概要を説明しました。加えて、金融庁から公開された統計情報や新しい監督指針案、各種公開情報をもとに、今後金融機関に求められるセキュリティ対策の方向性について解説しました。
さらに、本ガイドラインの対応だけではなく、先進的な取り組みとして、より現実に即したTLPT(脅威ベースのペネトレーションテスト)の活用や、生成AIなどの新たな技術の利活用や求められる対策について、解説しました。サイバーセキュリティに関する脅威の拡大にあわせて、求められる対策の幅と基準はより広く高いものとなるため、最新の脅威動向や対策動向を把握し、IT・サイバー部門を超えて組織一丸となって先を見据えたプロアクティブな対応が求められている、と述べました。
十川 基(NRIセキュア)
セッション2 金融庁ガイドライン等によるサイバーセキュリティ管理体制の最適化
金融セキュリティコンサルティング部の大内 諭が、本ガイドラインを活用した最適なサイバーセキュリティ管理態勢の方法と、本ガイドラインが定める対応事項について具体的なリスク評価と対策の進め方を解説しました。
まずは、NRIセキュアとして考える本ガイドラインを活用した、サイバーセキュリティ管理態勢最適化における全体像から解説しました。加えて、リスクベースアプローチの考え方や、リスクベースアプローチに沿った具体的な対策案の検討方法について説明しました。さらに、本ガイドラインに関連する、CRI Profileなどのガイドラインも参照することも重要である、と述べました。
【解説】金融分野におけるサイバーセキュリティに関するガイドライン|金融機関における対策検討のポイント
大内 諭(NRIセキュア)
セッション3 金融庁調査の好事例に学ぶ効果的なTLPT実施ポイント
TLPTはサイバーレジリエンスの向上につながる手法の1つとして近年注目を浴びており、TLPTへの取り組みが増加傾向にあります。そうした状況を踏まえて、OffensiveCyberSecurity事業部の金子 慧海から、金融庁の調査に基づく事例と課題、およびNRIセキュアが過去にご提案した課題への対処案を紹介しました。
まずは、TLPTの概要から、昨今需要が高まっている現状と、それに伴って浮き彫りとなった課題について事例を交えながら解説しました。さらに、TLPTの課題への効果的な対処法を3つのポイントで紹介しました。
金子 慧海(NRIセキュア)
セッション4 金融機関を取り巻くサプライチェーンリスクの実態とSecure SketCHを用いた具体的な対策アプローチ
金融機関におけるサプライチェーンまで含めたセキュリティ評価の重要性が増加している中で、GRCプラットフォーム部の瀬戸 達也より、効率的かつ継続的な評価ができる「Secure SketCH」を活用した、グループ企業やグローバル企業、取引先・委託先までを含めたアセスメントの実施方法について、事例を交えながら解説しました。
昨今、本ガイドラインへの対応に加えてサードパーティへの対応の課題を多く寄せられている現状から、「Secure SketCH」を活用したアプローチと「Secure SketCH」のユースケースとメリットについて、紹介しました。さらに、「Secure SketCH」では、本ガイドラインに即したスコアリング機能を搭載しアップデートを予定している、とのことです。
瀬戸 達也(NRIセキュア)
懇親会の様子
講演やパネルディスカッションが終わると同時に、別室にて懇親会も開催いたしました。懇親会の中盤では、NRIセキュアによるライトニングトークを展開しました。ライトニングトークでは「脅威の倒し方」と題し、セキュリティの第一線で活躍しているNRIセキュアの5名が、サイバー脅威に対する対処法を多角的な視点で、3分という短い時間でお客様に向けて熱弁しました。ご来場されたお客様同士、また、お客様とNRIセキュア社員で、セキュリティについてお酒を片手に議論を深め、有意義な時間を共有しました。
さいごに
今回で2回目の開催となる、金融業界を対象としたオフラインイベントでしたが、今回はNRIセキュアだけではなく、サイバーセキュリティに関する知見を持つ豪華なゲストをお招きするという初の試みもございました。金融庁によるガイドラインの発表にあわせたテーマを掲げたこともあり、講演・パネルディスカッションともに大変多くのご好評をいただきました。今後も、ガイドライン対応をはじめとして、より一層サイバーセキュリティが企業の経営課題として掲げられ、さらに注目が高まることでしょう。
NRIセキュアでは、金融機関だけではなく、多くの企業へのサイバーセキュリティに関するご支援で、セキュリティとトラストの実現を後押しします。