【採用事例】横浜銀行さま~金融業界全体のサイバーセキュリティの底上げに~(Panorays)
左から ICT推進部 セキュリティ統括室 ビジネスリーダー 吉嶋正和氏、ICT推進部セキュリティ統括室長 砂田浩行氏、ICT推進部 セキュリティ統括室 ビジネスアシスタントリーダー 伏見亮大氏
横浜銀行のご紹介
求められるデジタル化への対応 ~柔軟に、スピーディに、かつ安全に~
オンラインバンキングやオンライン決済、スマホ決済、私たちの暮らしがデジタル化するにつれて、銀行に求められる役割、銀行のあるべき姿というのも劇的に様変わりを遂げています。こうした環境の変化に順応し、銀行として成長を続けるためには、外部との協力、連携が不可欠です。求める技術を開発している企業を買収したり、求める事業を既に展開している企業と業務提携したり、合併したり、また、専門性を生かした事業を展開する企業に業務の一部を委託したり、いわゆるサードパーティと呼ばれるビジネスパートナーの数は気が付けば数千を超えている事業者も少なくないのが現状です。
そのサードパーティに開発を委託したり、個人情報などの機密データを共有したりするわけですが、それによって利便性は高まりますが、同時に、今までになかったリスクも生まれます。近年、よりセキュリティが脆弱であるサプライチェーンを踏み台にしたインシデントもニュースで時折耳にするようになり、「サプライチェーンリスク管理」という言葉も定着してきました。
こうした環境の変化を受けて、横浜銀行ではサプライチェーンリスク評価サービス「Panorays」を採用し、リスクの軽減に取り組むと同時にリスク管理プロセスの効率化にも取り組み始めています。今回、Panoraysの採用に至った経緯などを横浜銀行ICT推進部のセキュリティ統括室長である砂田 浩行氏、伏見 亮大氏、吉嶋 正和氏の三名にうかがいました。
導入背景・課題
i.ここ10年ほどの金融業界のサイバーセキュリティを取り巻く環境の変化は?
砂田氏:10年前となるとまだ別の金融グループでセキュリティ組織を立ち上げた頃の話になります。経営層を含め、この10年でセキュリティに関する考え方は変化しており、セキュリティ組織の枠組みが各金融機関でだいぶ認知されて来ている印象です。レベルの高いセキュリティ製品やサービスを導入し始めている組織もあれば、専門家を採用した組織もあり、10年前に比べると雲泥の差があります。
当時は大手重工業メーカーがサイバー攻撃を受けたり、大手電機メーカーへのハッキング事件が世間を賑わせたり、日本国内で「サイバーセキュリティ」とか「CSIRT」という言葉が定着してきた時期でもありました。一部の大手行や先進的な金融機関ではCSIRTを立ち上げていましたが、金融機関全体にはまだ浸透していたわけではありません。各金融機関で個別のCSIRTを立ち上げて、セキュリティ専任者を配置するという風潮が出て来たのが、この10年だったと思います。
国もNISC(内閣サイバーセキュリティセンター)を立ち上げたり、日本銀行や金融庁が重要インフラ事業者のサイバーセキュリティ強化に向けた文書や方針を打ち出したりする影響もあり、我々金融機関には毎年サイバーセキュリティの監査が行われるようにもなりました。監査部署や経営からもサイバーセキュリティ対策はどうなのかと必ず聞かれるため、回答を用意して提出し、それに対し突っ込まれて、というやり取りを10年繰り返して来ているので、相対的にレベルが上がって来たという状態です。
金融庁のガイドラインに関して言えば、大手金融機関に対して求めるレベルは高いです。例えば、海外の金融機関はここまでやっているが、国内の金融機関はどうか、という意見交換があり、自発的に対策を進めてきましたが、地方銀行に対して金融庁が同レベルの対応を求めるかというと、現状まだそうではありません。しかし、今年に入って「地銀のセキュリティレベル強化」を目的として、金融庁からアンケートが実施されております。組織の規模に応じて、金融庁もレベル感を変えて対策を講じているように思います。
ii.セキュリティの担当者として、前出の環境の変化による日々の業務への影響は?
国内外の大手金融機関は脅威ベースのペネトレーションテストを実施していますが、我々も2,3年前から実施しております。しかし、1回の実施でも数千万単位の費用がかかりますので、いきなり地銀や関連会社も含めて実施するというのは現実的ではありません。まずは大手の地銀で実績を作って、ベンダーとのサービス範囲や期間の調整と価格交渉をしたうえで、徐々に浸透させていくことが現実的と思います。
iii.委託先やグループ会社の管理という面で、情報システムの担当者として、前出の環境の変化による日々の業務への影響は?
砂田氏:元々委託先関連をしっかり管理しないといけないというのは、金融機関では以前からありました。チェックリストベースで、情報セキュリティの体制がきちんとあるのか、誰が責任者として個人情報を管理しているのかなど、情報セキュリティやシステムリスク、マネーロンダリングに関わる100項目程度の点検項目があります。ここ2、3年で「サプライチェーンマネジメント」という言葉、最近では「アタックサーフェスマネジメント」という言葉も聞かれるようになりました。国としても5月に経済安全保障推進法案が成立し、ここ2、3年で急激にニーズが高まってきています。サプライチェーンの問題もおそらく、防衛産業にも携わる複数の大手電機メーカーの機密情報が中国系の攻撃者に盗まれたインシデントあたりがきっかけかと思います。国家機密を扱う業界はともかく、我々のような重要インフラ事業者が具体的に何をどこまでやったら良いかという指針は、現状、ありませんが、今まで以上にしっかりやらなければというのは感じています。
グループ会社や関連会社の管理の課題
砂田氏:当行ではまずは2タイプあって、一つ目はグループ会社の管理です。
前出のように大手金融機関では、従前から日銀や金融庁からも関連会社グループ会社のガバナンスをしっかりするよう指示が出ており、定例の会議体でグループ会社のセキュリティの責任者が集まって状況報告を行う場がありましたが、当行にはまだありませんでした。グループ会社に対しても、そういう責任者が集まって我々からグループとしてのセキュリティの方針を伝えて、向こうから報告事項があれば速やかに報告してもらう体制を作る、というのを最初に実施しました。
しかし、資本の割合により統制度合が変わり、どこのセキュリティスタンダードに準拠するかという問題がありました。例えば、我々が20%資本入れていて、うちのポリシーに従ってやってくださいと依頼しても、「親会社のポリシーに従っている」と言われる場面もあります。どの配分でどのガバナンスをかけていくのかというのが非常に難しい問題ではあるものの、完全子会社に対してはグループの統一的なポリシーに従ってやってくださいと、順次、依頼していっている段階です。今のところ、資本何%以上はこう、と明確には定めていませんが、過半数以上、筆頭株主であれば統制はとりやすいと思っています。
委託先などのサプライチェーン管理の課題
砂田氏:二つ目は資本関係のない委託先などのサプライチェーン管理という非常に難しい課題があります。例えば、システム開発や個人情報の委託先であれば、従来通りの情報セキュリティの観点でこういうものに準拠してくださいというチェックリストがあるので、そこは問題ないのですが、一部の業務委託先などに関しては、今まであまり明確にポリシーがありませんでした。ある一部の業務を委託しているだけなのに、当行のセキュリティポリシーを適用させるとなるとハードルがかなり高いのが現状です。多くの銀行がシステム開発を委託している大手ベンダーが、各銀行のポリシーを把握し全ての要件を満たすというのは大変な手間がかかります。
東京オリンピックがあった年に、サイバーインテリジェンスサービスのトライアルを実施しましたが、重要なシステムを委託しているベンダーで、かなりの数の脆弱性が検出されました。改善依頼をかけましたが、全てには対応してもらえませんでした。誰もが知るような大手ベンダーでさえ、そういった状況なので、一顧客として、全部の脆弱性に対して修正してください、というのは、かなり難しい、というのが現実にどの企業も直面している課題だと思います。
あとは、委託を開始する前の審査もありまして、上述のチェックリストがありますが、アタックサーフェイスをスキャンして、脆弱性の有無やリスク度合いを評価後、取引の可否を判断するような審査は行っていません。日本の商慣習にそういう文化がまだ根づいていないということもあります。
下請法の問題もあり、立場の優位性を利用して取引を停止するとなると、別の問題になる可能性があり、非常に神経を使います。選定基準として明確に書面に落とし込めば良いのでしょうが、日本はあまり細かいセキュリティの契約の基準を契約に盛り込む文化というのはありません。どちらかというと、定型の契約をして、後から固めていく、そこはお互いに昔からの付き合いや関係性の中でやっているのが良くも悪くも実情です。逆に明記すると「セキュリティの追加要件により一律〇〇%費用が増します」と一律値上げも起きる可能性が大きいです。お互いに、書いても地獄、書かなくても地獄。なので、セキュリティの基準を満たしていないから、もう契約しませんよ、とは言いづらいという空気はあります。
導入経緯・理由
砂田氏:SOMPOリスクマネジメントから紹介を受けたのがきっかけです。Panoraysの前にも前職時代から、サプライチェーンのリスク管理ツールに関しては複数ヒアリングをしていました。でも、なかなかアンケートの機能と一緒になっているツールがなくて、Panoraysの機能説明を受けたときに、これは先進的だと感じました。自社やグループ会社を対象にしたアタックサーフェイスの管理ツールはありましたが、委託先、取引先までを自由に評価できるツールはありませんでした。Panoraysは「サプライチェーンリスク管理」のプラットフォームであり、プラスで我々が従来からやっているアンケート機能があるというのが決め手となりました。
委託先関連という文脈で言えば、いきなり従来のアンケート方式からアタックサーフェイス管理などの外部評価だけに変えるというのは、従来からの継続性の観点からも、難しいと判断しました。アンケートを自動化して、内部評価が引き続き可能で、外部評価で徐々にアタックサーフェイス管理の商慣習みたいなものを定着させる、それを実現させるのに両方の機能が備わっているというのは非常に魅力的という判断でした。
当行も約2000社の委託先があります。2000社に対し、毎年同じような文面のエクセルシートのアンケートをメールに添付して送って、期日までに記入して返却してもらい、それを全部エクセルのデータベースの重いマクロに入れて管理、といことをやっています。アンケート内容も随時精査が必要なのでしょうが、返信する側もほぼ同じ内容をコピペして返してきている、という可能性はあります。SaaSを活用することによって、メールを毎回送らなくても、プラットフォーム上で一元管理できますし、集計も自動、双方にメリットはあります。
今後の展開・展望
i.Panoraysを使って今後取り組んでみたいことはありますか?
砂田氏:もう一歩踏み込みたいのは、複数の金融機関で共同利用するというコンセプトです。
内部評価(アンケート)に関して言えば、例えば複数の銀行でそれぞれ数百~千社の委託先を抱えているとして、ものすごい数のやり取りが発生しているはずです。そこの事務にかかる時間と負担を軽減できないか、と。アンケートが統一されれば、入力する側の負担も軽減できます。複数の銀行に同じ内容を返していたのが、1回記入すれば共有してもらえる、そういう使い方をすることによって、双方にメリットが出るというのはすごく我々がこれから期待している使い方です。
外部評価に関しては、金融機関の間で委託先のリスク評価を共有したい、という将来的な構想があります。点数で委託先を切るとか、そういうことではなく、継続的にリスク評価を実施する中で、改善してくれるベンダーさんとそうじゃないベンダーさんに分かれてくると思います。単独で委託先に対して「改善してください」と訴えるよりも、複数の銀行が口を揃えて依頼をかけることで改善の方向に動く可能性も高くなると思っています。結果として金融業界のサプライチェーン全体のセキュリティの底上げ効果に繋がると思っています。格付けのような意味合いがあると思っていて、最初はスコア自体がさほど意味を持たないものだったとしても、何社かやっていると、必然的に順位が出てきます。強制的ではなく、可視化することで、自発的に取り組む雰囲気を作り、先程お話したサプライチェーン管理の課題を解消していくことで、金融業界全体のより安全な経営に繋がるのではないか、という期待があります。
あとは、サプライチェーン管理としてセキュリティの向上を目指す主体は誰なのかという問題もあります。
例えば、当行が主体となってやる、確かにそうなのですが、例えば、大手自動車メーカーさんはものすごい数の販売店や委託先の下請け業者を抱えています。そこのセキュリティ対策も全て、メーカー側で管理して、費用も負担するというのは限界があります。セキュリティ意識の高い業者でサプライチェーンを固めたい、自発的にセキュリティを向上してもらう空気感を作り上げられたら理想的なのではないかと思います。
伏見氏:Panoraysの導入で課題だったのが、アンケートの取り込みです。今までエクセルで管理していたアンケートを取り込もうとしていますが、本当にそれが適切なのか、つまりアンケートの内容が適切なのかということは、今後、Panoraysを使用していく中で考えないといけないと思っています。アンケート機能という観点でも、SaaSならではの、適切な質問の仕方などもあるはずで、その辺りのノウハウを頂いて、我々の中でのアンケートの実施方法を改善していく必要があると考えています。
どういった観点を質問すべきか、聞き方も、より統計を取りやすくYES or NOで、NOの場合はフリーテキスト、など工夫が必要かと。他行に展開するとなると、共通のアンケートを作ることになると思うのですが、単純にエクセルの各行のアンケートを統合して、プラットフォームにアップロードすればいいという考え方だと、多分スケールしていかないですし、単純に項目が増えていくだけで、質問内容自体、委託先の適切な評価に繋がるものなのか、精査されないまま増えていってしまうと、あまり意味が無い使い方になってしまいます。こういうような質問形式でやっていくべきという指標は、今後Panorays社の方からノウハウ等頂ければと思っています。
Panoraysでは、PCI DSSなどの各種基準に即した質問票が用意されています。我々もそういった〇〇に準拠した質問票というものを作る必要があると考えています。Panoraysのようなツールを使ったサプライチェーンの管理の仕方が、今後、銀行業界に広がっていくとなると、この質問票の項目自体が業界スタンダードになっていくと思うので、そこも含めて、内容のところへの精査、検討というのは今後しっかりやっていきたいと思っています。
吉嶋氏:ちょっと前にサプライチェーンリスクとかサードパーティリスクマネジメントとは少し系統は違いますが、NTTドコモ口座事件というのがありました。まさにあの事件に象徴されるようなFinTech事業者が事故を起こすと、システムで繋がっている銀行も被害を受けるというリスクがあります。似たような事件はまだ起きていますが、各銀行が求める質問票に回答するのは非常に大変だとFinTech事業者側が仰っているのを伺ったことがあります。1、2年前に業界団体のイニシアチブで質問項目を統一しましょう、という取り組みがあり、結果、審査プロセスがスムーズになったというということもありました。業界としてFinTech事業者に限らず、委託先に対してはチェック項目を統一化するようなことを今後は進めていく必要があります。イニシアチブをとる組織がいるというのが条件にはなりますが、そういった取り組みにPanoraysが活用できる可能性は十分にあると考えています。
*掲載情報は2022年8月のインタビュー時の情報になります。
Panoraysについてご紹介
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
サプライチェーンリスク管理お役立ち資料
グループ会社やサプライチェーンのセキュリティ課題 TOP 5(2022年度版) |
|
 |
当社がサプライチェーンリスク評価サービスとして提供しているサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」の実データから見えてきた多くの組織に共通するセキュリティ課題とその対策ポイントを簡潔に紹介しているホワイトペーパーの2022年度版です。 |
インシデントレスポンスプレイブック(Panorays) |
|
 |
ベンダーがサイバー攻撃を受け、侵害された場合のリスクや影響を考えたことはありますか?サプライチェーンへの侵害発生時の体制構築に参考にしていただける内容をプレイブックにまとめました。 |
子会社や取引先が狙われる?サプライチェーン攻撃を自動可視化で未然に防ぐ |
|
 |
当社がサプライチェーンリスク評価サービスとして提供している「Panorays」について、「聞けば誰でも社名は聞いたことあるぐらいに有名なA社」の事例として、分かりやすくご紹介しております。 グループやサプライヤーへの導入を検討されている方は、 |
