実践を重ね、自信を確信に。
重要インフラを守る三井住友銀行のサイバーセキュリティ

近年、日本国内でも急増しているサイバー攻撃。とりわけ金融機関を標的とした攻撃は、高度化・巧妙化が進んでいる。そうした時代の要請に応え、2016年には三井住友銀行(以下、SMBC)にシステムリスク統括室が立ち上がった。サイバーセキュリティ業務とはどのような仕事なのか。システムリスク統括室上席室長代理(サイバーセキュリティ管理グループ担当)の中山広樹にその流儀を聞いた。


高度化・巧妙化するサイバー攻撃の実状

——まず、サイバーセキュリティ管理グループについて概略から教えてください。

我々の部隊があるシステム統括部は、これまでSMBCに蓄積された膨大な情報を活かし企業の価値向上や、競争力強化に結びつく「攻めのIT戦略」全般の取りまとめ役を担当する部門です。そのなかにシステムリスク統括室があり、ここではシステムの安定稼働を担い、とりわけ破壊・改ざん・漏洩といったシステムリスクの顕在化の予防並びに発生時に備えたコンティンジェンシープラン(災害や事故など想定外の事態が起きた時のために、事前に定めておく対応策や行動手順)の整備など、システムリスク全般を管理しています。

このうち我々「サイバーセキュリティ管理グループ」は、そうしたシステムリスク管理のなかでも、2010年代からメガバンク界隈で急増したサイバー攻撃からの防衛——すなわち「サイバーセキュリティ」に特化することで強化した専門組織です。2016年4月のシステムリスク統括室発足時より活動しています。三井住友フィナンシャルグループ(以下、SMFG)の160社ほどが、我々の管理の対象となっています。

膨大な個人情報やお客様の資産を預かるSMBCにとってサイバーセキュリティは要。SMBCグループではコンプライアンス・リスク管理の強化を「経営の最重要課題」として位置付けた。

——2010年代から急増した「サイバー攻撃」の実情はどのようなものでしょうか。

金融機関で特に警戒しているサイバー攻撃にはいくつかの類型があります。

システムの内部にウイルスを仕込み、それを外部から操って攻撃を仕掛けるマルウェア攻撃。さらには、ホームページやインターネットバンクなど、公になっている外部サイトの脆弱な部分を狙い、攻撃を仕掛けてくるハッキング。そして、複数のコンピュータから対象となるサイトやサーバに対して大量のデータを送りつけるDDoS(ディードス/Denial of Service attack)攻撃などです。

これらは不正送金やフィッシング詐欺を狙った金銭目的の攻撃から、金融機関の機能停止や社会的混乱を狙った攻撃までさまざま。いずれにせよ、2013年前後からそうした攻撃の類型のなかで攻撃それ自体が高度化・巧妙化し、サイバー攻撃関連の通信の数もここ数年の間で急増しています。

——2020年2月に情報通信研究機構(NICT)が発表したデータによると、2019年、おもに日本で観測されたサイバー攻撃関連の通信は、前年比55%増の約3,279億件。その背景にはインターネットの拡がり、さらにはIoTの進展があると見られています。

そうですね。かつて自社のデータセンターに内部システムを置いていたような時代には、インターネットの“入口”はごくごく限られていました。しかしクラウドサービスやIoTが伸長するにつれ、サービスがより便利なものへ拡充されるとともに、サイバー攻撃の入口が増え、セキュリティの対象もより広範囲になっていると感じています。

“共助”によって金融業界全体のセキュリティの領域の底上げを図る

——では、SMBCではどのような対策が行われているのでしょうか。

私たちの世界には「サイバーセキュリティフレームワーク」と呼ばれる米国基準の考え方があります。同フレームワークは金融など重要インフラ向けの指針で、「特定→防御→検知→対応→復旧」という5つの機能プロセスで構成されており、これをできるだけ“左の段階”に留めることで脅威に素早く対応する「シフトレフト」が理想と考えられています。

特定:システム、人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深める
防御:サービスの提供を確実にするため、あらかじめ適切な防御策を施す
検知:攻撃が発生したら、素早く発見する
対応:検知された攻撃に適切な対策を実施する
復旧:攻撃によって阻害されたあらゆる機能やサービスを元に戻すための適切な対策を実施する
(参照元:重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版

サイバーセキュリティ対策では、このフレームワークを考え方のベースに置き、それぞれのプロセスごとに評価・改善を繰り返していく取り組みが重要です。もちろん、全ての攻撃を未然に「特定」「防御」することは難しいので、侵入されることを前提として、「検知」「対応」「復旧」も疎かにはできません。

特に「特定」において熟慮しなければならない“リスク”には、「どの資産を守らなければならないのか」「何が攻撃の対象になり得るのか」「システムのどこに脆弱性があるのか」「サイバー犯が何をしようとしているのか」など、さまざまな要素があり、先回りしてこれらリスクを事前に拾い上げ、防御することが、サイバーセキュリティでは肝心。サイバーセキュリティ業務に従事する者としてもそこが腕の見せどころです。

ちなみに、シフトレフトは、このフレームワークだけでなく、システム開発の工程でも必要と言われています。つまり、システム化の企画から始まって設計、実装、テストを経て、システム稼働となるわけですが、このプロセスでも企画・設計の段階からセキュリティを考慮しておけば、より強いシステムが作れるということです。

サイバー攻撃は日進月歩で巧妙化するもの。情報や攻撃の予兆をいち早くつかみ、対策することが最重要視される

また、近年は1つの銀行でそれを行うのではなく、他行とも連携しながら情報を共有する動きが活発です。その象徴が、国内主要金融機関の多くが正会員として加盟する一般社団法人 金融ISAC(Information Sharing and Analysis Center)。私はこの金融ISACの運営委員も務めています。

——金融ISACはどのような活動をしているのでしょうか。

日本国内だけでこれだけ多くの金融機関があるなか、セキュリティ技術はどうしても割くことができるコストやマンパワーの問題で、金融機関ごとにレベルのバラツキが生じてしまいます。しかし、為替や送金においては、メガバンクであろうが地方銀行であろうが金融システムとしてはすべてつながっていますよね。たとえ他行のセキュリティであっても他人事ではありません。

そこで、ビジネス的な競争とは分けて考え、セキュリティの領域では“共助”によって金融業界全体の底上げを図ろうとする——それが金融ISACの活動であり、基本思想です。金融業界において、競争から離れた協力関係が築かれているというのは、実は特殊なことでもあります。

具体的には、日々発生しているセキュリティインシデント(セキュリティ上の脅威となる現象)や脆弱性に関する情報を会員間で共有する「コレクティブインテリジェンス」という活動と、協働でのワーキングを通じ、共通課題への対応・対策を深める「リソース・シェアリング」という活動が行われています。組織としては複数のワーキンググループに分かれて活動しており、定期的な会合も開かれています。

「サイバーセキュリティ業務と聞くと、どこか重苦しいイメージを持たれるかもしれませんが、金融ISACでお会いする他行の方を含め、皆さん明るいですよ(笑)」と語る中山自身も、柔和な雰囲気の持ち主だ。

先回りして未然に攻撃を防ぐ。サイバーセキュリティを担うことのプライド

——日本のサイバーセキュリティ人材は将来的に不足するとの推計もあります。人材育成・獲得の面ではどのような考えをお持ちでしょうか。

金融ISACでは日頃からの机上演習の他、模擬システムを作って攻撃側・防御側に分かれて競い合うような実機演習も行われています。SMBC内部でも外部講習の他、社内でそうした実機演習をたびたび行っていて、実際に「特定→防御→検知→対応→復旧」の5プロセスがきちんと機能しているか確かめるため、外部からホワイトハッカーを雇い、模擬的に攻撃を仕掛けてもらうような取り組みも実施しています。

実はサイバーセキュリティ人材を考えるうえで、この実機演習というのが重要だと個人的には考えているんです。

たしかに実状としてサイバーセキュリティの即戦力は圧倒的に少ないと感じます。しかし、たとえ経験は少なくても、基礎的なITの知識を得て、その後は実践をもってたしかな経験を積んでいけば、それに裏打ちされた自信も身につきます。自信を持てれば「これはこうしたらよいのかも」という持論を展開でき、自信を確信に変えるような裏取りもできるようになります。決して一朝一夕にできることではありませんが、地道に歩んでいけば成長できる仕事です。

——他方で、近年はAIやロボットとの協働がビジネスで大きなテーマとなっています。金融のサイバーセキュリティ業務における「人間にしかできない仕事」はどんなことですか。

当行においてもSMFGのシステムインテグレーターである日本総合研究所とともに、AIを活用したサイバーセキュリティ対策を導入していますが、まだまだAIやロボットによる自動化は万全ではありません。金融システムにおいて、正常に動いているのに誤って対処してしまう、いわば「守るつもりが止めてしまう」といった事態も可能性として考えられます。たとえ万が一の事態だとしても、それは金融機関にとって大打撃になるでしょう。AIやロボットと協働していくにしても、そのさじ加減がポイントで、そこは人間にしかできない仕事だと考えています。

——お話を伺っていると、「前例を踏襲していけばOK」というような仕事ではなく、常に新しいチャレンジを仕掛けているように感じます。とはいえ、サイバーセキュリティ業務といえば、銀行のなかでも裏方的な仕事ですよね。ご自身にとってやりがいを感じるのはどんなときですか。

SMBCがなぜサイバーセキュリティを強化しているのか。それは、お客様に安心して資産をお預けいただき、安全に資産を運用していただくためです。

繰り返しになりますが、サイバーセキュリティの分野は先回りすることが何よりも大切。常にアンテナを張り、サイバーセキュリティのトレンドをつかむことは絶対に仕事に不可欠です。

金融機関全体のサイバーセキュリティのレベルを底上げすることで、日本全体のリスク管理レベル向上に貢献できるのではないか。業界にとどまらない未来を見据えるSMBCの矜持を垣間見た。

何も起こらないことが一番ですので、直接的にお客様から感謝されるような仕事ではないかもしれません。しかし先回りして未然に攻撃を防ぎ、攻撃を仕掛けられないような金融システムを構築することは、当行のみならず社会全体に対して大きな意味があります。SMBCのサイバーセキュリティに携わるメンバーがこの意識のもとに繋がり、この仕事にプライドを持って取り組んでいると考えています。

株式会社三井住友銀行
サイバーセキュリティ/システムリスク管理

サイバーセキュリティ/システムリスク管理

  • TEXT BY 安田博勇
  • PHOTOS BY 田中由起子
  • EDIT BY 大村実樹(東京通信社)