全4281文字
PR

社会問題になっているサイバー攻撃。特に金融機関ではその対策が経営課題だ。三菱UFJフィナンシャル・グループ(MUFG)では10年間にわたって、セキュリティー対策とリスク管理を強化してきた。その歩みをひも解く。

 サイバー攻撃は金融機関にとって最も優先的に対応すべきリスクであり、近年ではその認識がますます高まっています。国家機関や犯罪組織などが情報や金銭、社会の混乱を狙って、より高度で巧妙な攻撃を仕掛け、世界中で深刻な被害が発生しているためです。

 こうしたなか、当社はお客さまの資産と金融インフラを守ることが社会的責務であると認識し、セキュリティーリスクの管理と低減に日々努力しています。

 我々がどのような課題認識からどんなことを実践してきたのか、何を目指しているかについて、今後6回の連載で紹介します。IT技術者ではなく管理者の目線で経験談をお伝えします。第1回となる今回はサイバーセキュリティーに関する過去10年の歩みと現状についてです。

表 10年間の社会的な出来事と主な対策
MUFGのセキュリティー対策
表 10年間の社会的な出来事と主な対策
[画像のクリックで拡大表示]

情報セキュリティーの強化とCSIRT

 10年前の2009年から2010年ごろはいわゆる情報セキュリティー対策を推進した時期でした。ウイルス対策や特権アクセス管理の強化などに取り組みました。ワーム型ウイルス(Conficker)の流行や、Webサイト改ざんの猛威を踏まえての措置です。

 2011年には日本国内でも標的型攻撃による複数の情報漏洩事案が報道されました。これを受け、サイバー攻撃への対応態勢を強化すべきだという課題認識の下、銀行のCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)を組成しました。さらに翌2012年4月に同組織をグループ全体の取り組みに拡張しています。

グローバル連携と業界内の「共助」

 2012年になると、国内で不正送金被害が発生し始めました。すると草の根運動的に、異なる金融機関のセキュリティー管理者同士で不正送金について情報を共有するようになりました。

 既に欧米では、2009年ごろからマルウエアやフィッシングによる不正送金被害が深刻化しており、同時にこれらの対策も欧米のほうが進んでいました。そこで2012年から、米国の金融機関の情報連携組織である「FS‐ISAC(エフエス─アイザック)」主催のカンファレンスに参加するようにしました。

 同時期に、グローバルでのITセキュリティーワーキンググループを組成し、活動を開始しました。それまで本社と海外拠点のセキュリティー担当者は物理的にも心理的にも距離が遠い状況にあり、課題に感じていました。本社から一方的に指示する場合が多かったのですが、そうではなく、現地の実情を知るローカルスタッフが創意工夫し、意欲的に取り組んでもらう目的で設置しました。

 2013年、国内で不正送金の被害がさらに増加しました。そこで、対策が進んでいる欧米の金融機関やセキュリティー企業と面談し、グッドプラクティスの収集に力を入れました。

 情報収集の結果を踏まえて、対策ツールの導入や業務プロセスの整備を進めました。これらの推進に当たっては、業務部門や顧客保護担当部門との協力が不可欠でした。2013年末には、個人向けのインターネットバンキングシステムへのマルウエア対策ソリューションの実装を完了しました。

 一定の対策を終えたと一息ついたのもつかの間、2014年初頭にはフィッシング被害が急増し始めました。国内金融機関共通の深刻な経営課題として不正送金被害が顕在化したのが2014年だったといえます。

 これまで草の根運動的に金融機関同士で情報共有や人的資源の融通をしてきましたが、「より本格的に組織化する必要がある」といった機運が業界内で高まり始めました。2014年8月、一般社団法人の金融ISACが設立したのはこうした経緯からです。業界内での「共助」が本格化した記念すべき年です。