金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第6回 Report on Cybersecurity Practices FINRA(1)
――Cybersecurity and Your Brokerage Firm(アラート)
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
FINRAのガイドライン
米国では複数の金融当局がサイバーセキュリティに関するガイドラインを公表しているが、2015年2月にFINRA(Financial Industry Regulatory Authority/金融取引業規制機構)が公表したReport on Cybersecurity Practice(以下「手順書」という)が最も実務的で参考になる部分が多いので本論で紹介したい。
手順書はFINRAが2014年に実施したSweepと呼ばれる一斉検査を通じて、金融機関が直面するシステムの脆弱性に関する脅威と、金融機関がそれらの脅威に対してどのような対抗策を講じているかを集中的に精査した内容を参考にしてまとめられた。手順書の公表と同じタイミングで、FINRAは投資家に対してCybersecurity and Your Brokerage Firm[1]と呼ばれる投資家向けアラート(以下「アラート」という)を公表した。アラートには金融機関がどのようなサイバーセキュリティ対策を導入してサイバー犯罪から顧客情報及び顧客財産の保護を図っているかについて、投資家がどのように知ることができるか、また投資家がサイバー犯罪の被害者にならないようどのような対策を講じるべきかが説明されている。
投資家向けアラートの公表
FINRAはアラートの中で、金融機関が保有する情報やコンピュータシステムをターゲットにしたサイバー攻撃が激増していて、これらの不法行為が顧客の財産を脅かす可能性があることを投資家に注意喚起している。投資家がEメールハッキングにより個人のメールアドレスを第三者によって不正利用されたケース(自分はメールを送信していないのにかかわらず、友人に自分のメールアドレスからメールが送信されているケース等)で、全く知らない第三者口座への不正送金が行われた。同様の事件の再発防止のために、Eメールハッキングが発覚した場合は直ちに口座がある金融機関に報告することを求めている。アラートでは金融機関に対して以下の質問をして、サイバーセキュリティプログラムの内容を確認することを投資家に奨励している。
- ① 私の個人情報と財産を保護するためにどのようなサイバーセキュリティ対策を実行しているか?
- ② 私の個人情報が盗搾、または不正使用された場合にどのように検知できるのか検知方法を教えて欲しい。
- ③ 私の口座への不正侵入があった場合に、どのように対応するのか? 例えば、個人情報や個人資産の盗搾があった場合は、報告はあるのか? 報告があるとしたら、どのような方法で報告がなされるのか?
- ④ サイバー攻撃によって私の財産が盗搾された場合、金融機関が損失金額をすべて保証してくれるのか?
- ⑤ オンライン取引用口座のパスワード等を保護する為に、私ができることはなにがあるか?
実際に筆者が口座を有する米国大手金融機関に上記の問い合わせをしてみたが、セキュリティ担当者からすぐに電話で連絡があり、ほぼ納得のいく回答が示された。事前にこのような確認ができると、金融機関を選択する時にサイバー犯罪の不安に対して安心感をもつことができる。同時に、投資家に対して十分な説明ができなければ金融機関は顧客を失う可能性があるので効果がある方法だと考える。
オンライン取引を提供している我が国の大手証券会社1社、オンライン証券会社4社、メガバンク1社を任意で選び、各社のコールセンターにサイバー犯罪によって発生した損害金に関して補填をしてくれるかと問い合わせたところ、大手証券会社では原則補填を行う、オンライン証券会社は1社を除いては原則補填はしない。メガバンクはケースバイケース(基本的には銀行と顧客の過失割合を決めてからの協議)の対応という回答であった。今回ヒアリングを行った金融機関の中で、サイバー犯罪によって発生した損害金の補填に関してホームページ上で方針を明記している金融機関はなかった。米国では金融のモバイル化の普及に比例してサイバー犯罪の数は一気に増加した。その結果として補填を含む顧客保護策が整備されている。我が国では、現在金融機関が競い合うようにモバイル金融サービスを推進しているが、サイバー犯罪に関する顧客保護対策に関して後回しになっていると思う。米国のオンラインブローカーSchwabはホームページ上のSecurity Guranteeで以下のように表明している[2]。
- We want you to have the highest level of confidence when you do business with Schwab. So we offer you this simple guarantee: Schwab will cover 100% of any losses in any of your Schwab accounts due to unauthorized activity.
- (我々はお客様がSchwabと取引を行うにあたり最高レベルの信頼を約束します。そのために以下のシンプルなお約束をします。Schwabは許可していない取引によって発生したいかなる損失に関しても100%補填します)
投資家向けの対応策
FINRAはアラートの中で投資家が自分の個人情報、財産を保護する以下(一部を抜粋)の方法を推奨している。
- ① パスワードを強化する。
- ② オンライン取引に利用するパソコンにはウイルス対策ソフトをインストールして同ソフトが常時作動する状況に設定する。
- ③ オンライン取引には自分のパソコン等を利用する。(他人、共用施設のパソコンは利用しない)
- ④ オンライン取引を終了したら必ずログアウトする。
- ⑤ Wi-Fiをオンライン取引で利用するかどうかについてリスクをしっかりと勘案した上で利用するかどうか判断する。(フリーWi-Fi等は空港、駅、レストランなど多くのホットスポットで提供されているが、便利さの一方で、利用者の情報に不正アクセスできる可能性も高いことを理解しなければいけない)
- ⑥ オンライン取引に利用するアプリケーションのセキュリティ設定を最も高いレベルに設定する。
- ⑦ オンライン取引を行う場合はログインページのセキュアーサイトがhttpではなくhttpsから始まることを確認する。(「https」は「http」による通信を暗号化してセキュリティを強化したもの)
- ⑧ オンライン取引で利用するパソコン等では、自分が知らないプログラムやファイルはダウンロードしない。(マルウェア、スパイウェアの可能性がある)
- ⑨ 知らない相手からのEメールには返信しない。巧妙な手口のフィッシング詐欺により、金融機関の口座番号、ソーシャル・セキュリティ・ナンバー、ログインID、パスワード等を奪われ、盗搾に悪用される可能性がある。
- ⑩ 月次報告書をよく確認して間違い、記憶にない取引があれば直ちに金融機関に報告する。
- ⑪ 月次報告書等を一般のゴミと一緒に捨てない。
投資家の啓蒙活動の重要性
米国の金融機関も利用者に対するサイバーセキュリティに関する啓蒙活動を強化している。米国のある大手金融グループでは、投資家向けのオンライン口座画面で顧客情報・顧客財産の保護は同社にとって最重要と認識していており、顧客のクレジットカードや銀行口座に対する不正侵入や盗搾がないか日々モニタリングしていることを公表している。更に、同金融グループのサイバーセキュリティプログラムの説明、疑わしいケースが発覚した場合の同金融グループのサイバーセキュリティ担当者への報告方法が明記されている[3]。サイバー犯罪の手口を含めた事例も紹介し、利用者自身が実行できる防御策の推奨例も記載されている。
我が国では金融庁のサイバーセキュリティ対策企画調整室を中心とした関係者の努力によってサイバーセキュリティに関する金融機関への啓蒙活動は着実に進んでいると思われるが、投資家向けの啓蒙活動に関してはまだ具体的なアクションがとられていない。サイバー犯罪に対しては官民が利用者と一体化して対応することが重要だと考える。利用者の危機管理意識を高める啓蒙活動は効果的な対応策なので、我が国でも利用者に対する本格的な啓蒙活動の実施が望まれる。
[1] http://www.finra.org/investors/alerts/cybersecurity-and-your-brokerage-firm
[2] http://www.schwab.com/public/schwab/nn/legal_compliance/schwabsafe/security_guarantee.html
[3] https://online.citi.com/US/JRS/pands/detail.do?ID=SecurityCenter