finAsol FinTech・金融IT総合情報サイト
サイバーセキュリティシステムの概要
近年、年を経るごとにサイバー攻撃の脅威が高まりを見せており、例えば、米国大手金融機関における大規模な情報漏洩事案(2014年8月)や日本年金機構における標的型攻撃による情報漏洩事案(2015年5月)などの被害が明らかになっています。
このような情勢を受けて、2014年11月にサイバーセキュリティ基本法が施行され、金融機関を含む重要インフラ業者等に対するサイバーセキュリティの推進が明記されたほか、金融庁も、2015年4月に監督指針と検査マニュアルを改正し、金融機関に求めるサイバーセキュリティ管理態勢について、監督・検査上の着眼点を明確化しています。加えて、2015年6月には、FISC(金融システム情報センター)も安全対策基準を改訂し、金融機関におけるサイバー攻撃対応態勢の整備について基準を新設しています。
このため、各金融機関においても、サイバーセキュリティへの対応は喫緊の課題となっており、具体的には、CSIRT(シーサート)等の緊急時対応及び早期警戒のための態勢整備や入口対策、内部対策、出口対策といった多段階の対応策を組み合わせた多層防御措置が進められています。
以下に、監督指針・検査マニュアル(2015年4月)で明記されたポイントを参考に記載します。(詳細は原文を参照ください。)
サイバーセキュリティに関する監督指針の改正ポイント
管理態勢面
- サイバーセキュリティに関する組織態勢の整備、社内規程の策定
- サイバー攻撃に対する監視、報告、広報体制整備
- 組織内CSIRT等の緊急時対応及び早期警戒のための体制整備
- 情報共有機関等を通じた情報収集、共有
- サイバー攻撃を想定したコンティンジェンシープランの策定
- サイバー攻撃対応訓練の実施(業界横断的な演習への参加等)
- サイバーセキュリティに関する人材の育成、拡充の計画策定
など
技術的な対策面
- 入口対策(例えば、ファイアウォールや不正侵入検知システム等)
- 内部対策(例えば、特権ID/パスワードの適切な管理等)
- 出口対策(例えば、通信ログ、イベントログ等の取得と分析等)
- サイバー攻撃を受けた場合に被害拡大の防止措置
- ネットワークへの侵入検査や脆弱性診断等の活用
など
サイバーセキュリティシステムの概要図
以下にサイバーセキュリティシステムの概要図と対策ポイントの例を示します。各金融機関により、システム構成や対策ポイントは大きく異なります。
サイバーセキュリティシステムの概要
ここでは、各サイバーセキュリティシステムの種類と機能について、代表的なものを示します。
(1) インバン不正送金への対応
(2) 入口対策
入口対策とは、各種のサイバー攻撃を金融機関システムの内部に侵入させないための対策になります。複数の対策を組み合わせて多層的な防御を行うことが求められます。以下に入口対策の主要な事例を記載します。
DDoS攻撃対策(負荷分散、IPアドレス制御等)
ファイアウォール(次世代FW、WAF含む)
IDS/IPS
不審メール対策
マルウェア対策ソフト
UTM(統合脅威管理装置)
(3) 内部対策
内部対策とは、金融機関内部システムに入り込んだウイルスや攻撃を早期発見したり、重要情報へのアクセスや窃取を抑止するための対策です。現在、入口対策で全てのサイバー攻撃を防御するのは難しいと言われており、内部対策も充実させて、早期に攻撃を検知・抑止することが求められます。以下に内部対策の主要な事例を記載します。
特権IDの管理、監視
アクセスログ管理、監視
振る舞い検知型マルウェア対策ソフト
WEBサイトの改竄検知
(4) 出口対策
出口対策とは、マルウェア等が不正に重要情報を外部に送信することを早期に検知したり、通信を遮断するための対策です。出口対策を充実させることで、仮に内部に侵入されても不正な通信を早期に検知し、被害を最小限に抑制することができます。以下に出口対策の主要な事例を記載します。
ログの監視、分析
SOCセンターの構築
WEBフィルタリング
(5) 共通的対策など
上記以外の対策として、実際に攻撃を受ける前の情報収集や、システムの脆弱性診断などの対策があります。
攻撃予兆等の情報収集
脆弱性診断、ペネトレーションテスト
データフォレンジック
製品・サービス一覧
サイバーセキュリティシステムの製品・サービス一覧は、以下のページを参照ください。
参考文献
参考文献一覧
参考文献一覧
- 上原 孝之(2014)『情報処理教科書 情報セキュリティスペシャリスト 2015年版』翔泳社 704pp
- 情報処理振興事業協会(2003)「大規模サイトのネットワークセキュリティ」<https://www.ipa.go.jp/security/fy14/contents/enterprise/pdf/enterprise.pdf>(2015/11/05 アクセス)
- 金融庁(2015)「金融分野におけるサイバーセキュリティ対策について」<http://www.fsa.go.jp/policy/cybersecurity/index.html>(2015/11/05 アクセス)
- 金融庁(2015)「金融分野におけるサイバーセキュリティ強化に向けた取組方針」<http://www.fsa.go.jp/news/27/20150702-1.html>(2015/11/05 アクセス)
- 金融庁(2015)「「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」等の一部改正(案)に対するパブリックコメントの結果等について」<http://www.fsa.go.jp/news/26/20150421-1.html>(2015/11/05 アクセス)
- 金融庁(2015)「主要行等向けの総合的な監督指針 平成27年6月」<http://www.fsa.go.jp/common/law/guide/city/index.html>(2015/10/31 アクセス)
- 金融庁(2015)「預金等受入金融機関に係る検査マニュアル」<http://www.fsa.go.jp/manual/manualj/yokin.pdf>(2015/10/26 アクセス)
- プライスウォーターハウスクーパース(2015)「諸外国の金融分野のサイバーセキュリティ対策に関する調査研究報告書」<http://www.fsa.go.jp/common/about/research/20150706-4/01.pdf>(2015/10/17 アクセス)
- (2014)「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書金融機関におけるサイバー攻撃対応に関する有識者検討会」『金融情報システム』No.332(平成26年春号) pp.4-47. 金融情報システムセンター
- 金融機関におけるサイバー攻撃への態勢整備に関する研究会(2013)「金融機関におけるサイバー攻撃への態勢整備について」『金融情報システム』No.325(平成25年冬号) pp.4-29. 金融情報システムセンター
- 金融情報システムセンター(2015)『金融情報システム白書〈平成27年版〉』財経詳報社 417pp
- 総務省(2009)「金融機関におけるネットワークについて」<http://www.soumu.go.jp/main_content/000060440.pdf>(2015/11/05 アクセス)
- 富士通「次世代基幹ネットワーク」<https://www.oki.com/jp/financial/platform/network.html>(2015/11/05 アクセス)
- SCSK「PureFlow GS1事例:株式会社 みずほ銀行様 」<https://www.scsk.jp/product/common/pureflow/intro_mizuho.html>(2015/11/05 アクセス)