企業のセキュリティ体制づくり 3つの観点とは？

諸外国では金融業界の監督官庁が企業のセキュリティ強化を促す施策を主導しているという。プライスウォーターハウスクーパースが国内企業の体制強化におけるポイントを解説した。

[國谷武史，ITmedia]

　プライスウォータハウスクーパース（PwC）は8月26日、企業のセキュリティ強化に向けた体制作りに関する説明会を開き、「情報活用」「人材育成」「演習」の観点からセキュリティ対策を推進すべきだと提言した。海外では金融業界の監督官庁が施策を主導し、国内でも金融庁が推進に乗り出したことから対応が急がれるという。

PwC サイバーセキュリティセンター パートナーの山本直樹氏

　国内の金融機関では、特に2013年頃から急増するインターネットバンキングの不正送金被害への対応が課題になり、最近はサービス妨害を目的としたDDoS（分散型サービス妨害）攻撃の脅威も懸念され始めた。PwC サイバーセキュリティセンター パートナーの山本直樹氏は、様々な重要インフラの中でも金融業界が顧客も含めてサイバー攻撃などの脅威にさらされていることから、複雑かつ広範なセキュリティ対策を講じなければならないと指摘する。

　業界全体のセキュリティを推進する取り組みとして、例えば、米国では国立標準技術研究所（NIST）が策定したサイバーセキュリティ強化のためのフレームワークをもとに、連邦金融機関検査協議会（FFIEC）がセキュリティ全体の要件とインターネットバンキングに関する要件の2つを定めている。2015年6月には、金融機関がセキュリティ対策の成熟度を自己評価できる「FFIECサイバーセキュリティアセスメントツール」もリリースした。

金融機関が直面するサイバー攻撃の一例

　また、英国では知的財産庁（BIS）がロンドン証券取引所に上場する350社を対象に毎年実施する調査で、知的財産に関わる緊急時の対応体制などについて重点的な評価を行うほか、特に「健全性規制機構」（PRA）と呼ばれる機関がBISの調査結果から企業に対して直接的に指導している点が特徴的だという。

　韓国では2013年に、金融委員会が資産10兆ウォンもしくは従業員1500人以上の金融機関に対して、専任の最高情報セキュリティ責任者（CISO）の設置を義務付け、IT担当者の5％以上を情報セキュリティ担当者にすることや、IT予算全体の7％以上をITセキュリティに割り当てることといった要件が導入された。

実際の銀行へのサイバー攻撃でATMが全国的に停止する事態を経験した韓国は、かなり具体的なセキュリティ体制の要件を定めている

　各国の状況を調査した矢野薫マネージャーは、「従来のセキュリティ対策ではネットワークやデータの保護とコントロールに重点が置かれていたものの、今後はマネジメント体制の整備やサイバー関連情報の活用などを通じて、攻撃の被害から速やかに回復できるようにすることが求められる」と解説した。

　セキュリティ対策を推進させる3つの観点について山本氏は、まず「情報活用」の点で業界内の企業同士が、サイバー関連情報の積極的な共有やセキュリティを推進させる活動での相互協力が重要だと解説。さらには、他業種の企業とも連携できる仕組みが必要だと話す。国内金融業界におけるセキュリティ連携では2014年に「金融ISAC」が設立されている。

企業間で連携するためにも、まずはセキュリティについて外部と情報や活動をやりとりする「窓口」を設置をすることが必要になる

　「人材育成」の点は、金融機関に限らず昨今多発する標的型攻撃などによる情報漏えい被害の実情から、専門人材の獲得ニーズが急増するものの、人員数が慢性的に不足している。山本氏は、企業の状況に応じて外部機関の活用しつつ、社内で適任者を育成するなどの対応を挙げつつ、経営レベルでセキュリティを担当するCISOの設置がまず優先されると述べた。

　また「演習」は、実際にサイバー攻撃などを受けた時の迅速かつ適切な対応を実行する上で重要な取り組みになる。サイバー攻撃の対応訓練は一度ではなく繰り返し実施して慣れておくことが肝心で、対応における課題を把握したり、課題解決のための改善策が有効であるかを確認したりすることにもつながるとしている。