◇SH1034◇金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(7)　木嶋謙吾（2017/02/24）

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第7回　Report on Cybersecurity Practices  FINRA(2)-1

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木　嶋　謙　吾

 

米国金融機関の「3つの脅威」

　2015年2月にFINRA（Financial Industry Regulatory Authority／金融取引業規制機構）が公表したReport on Cybersecurity Practice（以下「手順書」という）では金融機関へのヒヤリングの結果、以下の3つが、深刻な脅威ベスト3であることを公表している。

1. ① システムに不正侵入するハッカー。
2. ② 会社インサイダー。（顧客情報等の漏洩やシステムの破壊等）
3. ③ オペレーショナルリスク。（停電、ハリケーン、地震等の天災）

　どの脅威が会社にとって最も深刻な脅威であるかは、会社の規模、ビジネスモデルによって異なる。オンライン証券会社やリテール証券会社の最大の脅威はハッカーであり、アルゴリズムトレーディングを行う証券会社の最大の脅威はインサイダーによる不法行為である。（ハッキング被害より深刻な経済的損害が発生する可能性があると考えている）。大手金融機関は国家やテロ組織によるサイバーテロ、またはハクティビスト* によるサイバー攻撃が最大の脅威と考えている。

1.   *  政治的な活動、企業への抗議活動等の手段としてサイバー攻撃を行う、いわゆる「ハクティビズム」は我が国でも活発となっている。「インターネットの世界」の自由を掲げ、規制反対の立場からサイバー攻撃を行う集団「アノニマス」は、その代表例であり、海外の政府機関、企業等に対し、DDoS（Distributed Denial of Service）攻撃、個人情報の漏洩につながるサイバー攻撃等を行っている。2012年6月には我が国の政府機関等に対し、DDoS攻撃及びウェブサイトの改ざんを行った。攻撃と前後して、「アノニマス」は改正著作権法の内容に抗議し、政府機関等へ攻撃を行う旨の声明をインターネット上に掲載するなど、我が国においても「ハクティビズム」がクローズアップされた。

 

FINRAが着目する8項目

　サイバー犯罪への対応策として、FINRA は手順書の中で以下の8項目に関する手順に関して詳細をまとめている。

1. ① ガバナンスフレームワーク
2. ② リスク評価
3. ③ テクニカル・コントロール
4. ④ インシデントレスポンスプラン（初動対応計画）
5. ⑤ ベンダー・マネージメント
6. ⑥ 従業員研修
7. ⑦ 情報共有
8. ⑧ サイバー保険

 

ガバナンスフレームワークについて

　FINRAのガバナンスフレームワークは2013年2月12日にExecutive Order（以下、「大統領令」という）第13636号に基づき、NIST（National Institute of Standards and Technology／米国国立標準技術研究所）が策定したセキュリティフレームワーク* に基づいてつくられている。

1.   *  オバマ大統領は2013年2月12日にExecutive Order（以下、「大統領令」という）第 13636 号「Improving Critical Infrastructure Cybersecurity（重要インフラストラクチャーの サイバーセキュリティの向上）」に基づき、NIST（National Institute of Standards and Technology／米国国立標準技術研究所）がNIST（National Institute of Standards and Technology／米国国立標準技術研究所）（以下、「フレームワーク」という）を策定することことになった。 フレームワークは、サイバーセキュリティへの取組みを企業にとってのビジネス上のモチベー ションの向上に直結するものであり、サイバーセキュリティ・リスクを企業のリスク管理プロセスの中に組み込んで管理することを意図している。フレームワークは、以下の3要素で構成さ れている。
2. 1.    ① フレームワークコア（Framework Core）：フレームワークコアは、すべての重要インフラ分野に共通となるサイバーセキュリティ対策のベストプラクティス、期待される成果、参考情報を集約して、企業がプロファイルを作成するための指標になる。
   2.    ② フレームワークプロファイル（Framework Profile）：プロファイリングを活用することで、企業におけるサイバーセキュリティ対策やビジネス要件、リスク許容度、割当可能なリソースをバランスよく特定できる。
   3.    ③ フレームワーク・インプレメンテーションティア（Framework Implementation Tier）。 サイバーセキュリティ・リスクを管理する上で、自社の特徴を理解してリスク管理を行うための仕組みを導入する。

　FINRAのガバナンスフレームワークでは以下の6項目に関して具体的な手順を示している。

1. ① リスク許容度に基づき意思決定できるガバナンスフレームワークを明確化する。
2. ② 取締役、シニア・マネージメントのサイバーセキュリティに対する積極的な関与を担保する。
3. ③ サイバーセキュリティのベストプラクティス、スタンダードを認識する。
4. ④ マトリックス等を利用してガバナンス・プロセスを周知する。
5. ⑤ 期待する成果を上げるために必要なリソースを確保する。
6. ⑥ サイバーセキュリティのリスク評価を行う。

 

リスク評価に関する手順書

　規模やビジネスモデルに関係なく定期的リスク評価と対策の優先順位づけを行うことは必須である。効果的な手順として以下の2項目に関して具体的な手順を示している。

1. ① ネットワークへのアクセスが認められる会社資産のインベントリーの内容を正確に把握・維持し、優先順位を決めて保護策を講じる。
2. ② 以下の2項目を含む包括的なリスク評価を行う。
   イ. サイバー攻撃の脅威とインフラの脆弱性に関して外部者とインサイダーが関与する場合でそれぞれ分けて評価する。
   ロ. 確認されたサイバーリスクに優先順位をつけ、期限を定めて対応策を講じる。

 

テクニカル・コントロールに関する手順書

　利用するソフトウェア・ハードウェアに対するテクニカル・コントロールは金融機関の規模やその他の状況によって対応が大きく異なる。コントロールメジャーの数は多く、効果的なテクニカル・コントロール態勢を構築するには以下の方法がある。

1. ① 深度のあるディフェンス戦略を採用する。
   深度のあるディフェンス戦略とは、各証券会社が例えばサイバーキルチェーンのように重層的に独立したフェーズで防御策を構築する防御戦略を言う。FINRAは深度のあるディフェンス戦略としてサイバーキルチェーンを推奨している。サイバーキルチェーンを解説すると、キルチェーン（Kill Chain）はもともと軍事用語であり、敵を攻撃する際に踏む一連の段階（フェーズ）をモデル化したものだ。2011年、米ロッキード・マーチンがコンピュータ・ネットワークにおける先進的な標的型攻撃をモデル化したものを「サイバーキルチェーン」と呼び、民間でも使われ始めた。「Reconnaissance（偵察）」「Weaponization（武器化）」「Delivery（配送）」「Exploitation（攻撃）」「Installation（インストール）」「Command & Control（遠隔操作）」そして「Action（目的の実行）」で構成される。このフェーズごとに攻撃者の意図を挫くチャンスがあり、キルチェーンを破壊することによって攻撃を止め、会社資産を守ることができる。そのためには、人とプロセスとテクノロジーを効果的に組み合わせる必要があるが、攻撃を早い段階で撃退できれば、より簡単に、より早く回復でき、業務の中断も最小限にできる。本格的な攻撃が始まる前にそれを回避できれば、影響もコストも少なくて済む。
2. ② テクノロジーとサイバーリスクの状況によって以下のコントロール対策を構築する。
   イ. アクセス権限の確認。
   ロ. データの暗号化。
   ハ. ペネトレーショーン・テスト等。

つづく