日本国のサイバーセキュリティの危機的実体(17)
金融分野におけるサイバーセキュリティ対策について
#金融庁 は、日本の #金融システム の安定性を確保するために、 #サイバーセキュリティ 対策を重要な課題として位置づけており、金融機関に対するサイバーセキュリティ対策の強化を求めています。
具体的な取り組みとしては、以下のようなものがあります。
サイバーセキュリティ演習:金融庁は『 #金融業界横断的なサイバーセキュリティ演習 (Delta Wall)』を実施しています。これは、金融業界全体のインシデント対応能力の向上を目指すもので、大規模なサイバー攻撃が発生した場合に金融機関が適切に対応できるようにするためのものです。実は本稿を昨日書かず今日書いているのは、本日から一週間『Delta Wall Ⅷ』が開催されているからです。
『Delta Wall Ⅷ』の『演習シナリオの概要』を参照すれば、どのような演習を行うのかが明確になります。ただし、これは一般的なサイバーセキュリティ演習とは異なり、あくまで防災訓練程度の内容です。
● 銀行
☑ (ブラインド方式のため非開示)
● 信金・信組
☑ 業務システムや端末の停止等が発生(業態内インフラシステムの停止含む)
● 証券
☑ 業務システムの停止等が発生(証券インフラシステムの一部停止含む)
● 生命保険会社・損害保険会社・資金移動業者・前払式支払手段発行者・暗号資産交換業者
☑ ネットワーク機器の脆弱性を端緒とした業務システムの停止等が発生
サイバーセキュリティ対策のガイドライン
金融庁は『金融分野におけるサイバーセキュリティ強化に向けた取組方針』を公表しています。これは、金融機関がサイバーセキュリティ対策を実施する際の基本的な考え方を明確にし、その対策の明確化を図るものです。
金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)
令和 4 年 2 月
金融庁
① サイバーセキュリティ管理態勢の検証
(a)大手行等
グローバルに業務を展開している 3 メガバンクについては、サイバー攻撃の脅威動向の変化や海外大手金融機関における先進事例を参考にしたサイバーセキュリティの高度化に着目しつつ、通年検査においてサイバーセキュリティ管理態勢を検証する。また、その他の大手金融機関(新たな形態の銀行を含む)については、各社のビジネスモデル及びそのリスク特性を踏まえ、リスクベースでのモニタリングを通じて検証する。
金融庁はメガ三行に対しては、特別高いサイバーセキュリティの脅威を想定していますが、上に引用した『海外大手金融機関における先進事例を参考にしたサイバーセキュリティの高度化に着目しつつ、通年検査においてサイバーセキュリティ管理態勢を検証する』の部分が海外から信用されない最大の理由です。サイバーセキュリティは、一日の遅れも許されない分野です。海外の動向を見てから後追いでセキュリティ管理体制を整えるということは、先進諸国で日本の金融機関のサイバーセキュリティが最も遅れていて脆弱であると宣言しているようなものです。サーバーが不正アクセスされても8か月間も気が付かなかったNISCからサイバーセキュリティの指導を受けている金融庁のレベルが疑われても仕方がありません。
サイバーセキュリティセルフアセスメント
地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果を公表しています。これは、各金融機関が自身のサイバーセキュリティ対策の状況を自己評価し、その結果を共有することで、全体としての対策強化を図るものです。
注意喚起
昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について注意喚起しています。これは、特定の状況や期間(例えば春の大型連休や年末年始休暇など)における特別な対策や、最近の攻撃手法やトレンドに対応した対策を実施するよう促すものです。
これらの取り組みは、犯罪者や #テロリスト 等が日本の金融システムを悪用することを防ぐためのものであり、国際社会全体で取り組むべき課題です。そのため、金融庁は引き続き、官民一体となって取り組む必要があると考えています。前に引用したテキストベースの取り組み方針を一枚にまとめたのが以下の資料です。
金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)
4.関係機関との連携強化
サイバー攻撃等の情報収集・分析、金融犯罪の未然防止と被害拡大防止への対応を強化するため関係機関(NISC、警察庁、公安調査庁、金融ISAC、海外当局等)との連携を強化
内閣サイバーセキュリティセンターが同盟国から信用されない理由(1)~(16)で、 #NISC 、 #警察庁 、 #公安調査庁 のサイバーセキュリティや #諜報 が機能していないことについては説明済みですが、テロリストの具体的な情報を持っていない機関と連携しても、何の情報も得られないことは、分かりきっていることです。
そのため、 #FATF などからも日本の #マネー・ローンダリング及びテロ資金供与対策 の不十分さは何度も指摘されていますが、有益な情報は何も持っていないので、金融庁では何の対策もできず、このような問題はリスクベース・モニタリングとして、金融機関の能力に依存しているのが日本の金融庁の実体です。
海外送金を行うと送金終了してからしばらく後に、当該銀行から送金理由の問い合わせなどが入る場合があります。銀行からの電話での質問内容は、『イランか北朝鮮に送金しましたか?』です。それで、『送金時に送金先と送金目的は伝えてありますよね。そもそも、送金したのは貴行ですが、貴行ではどこに送金したかも把握できていないのですか?』と質問すると、『海外送金は支店と本店外為部の管轄で、私どもは国際部なので、他部門の情報は把握していません』という答えが返ってきます。
次の質問は『御社ではテロ集団と取引していますか?』です。面白い質問なので、ジョークを交えて『仮にテロ集団と取引していたとして、その質問に対して、はいと答えるテロ集団なり支援者がいると思いますか?』と質問すると、『一応、そのように質問するように金融庁から指導されていますので…』と言った感じの調査が、日本のメガ銀行のリスクベース・モニタリングです。あまりに銀行をからかい過ぎると『 #疑わしい取引 』として、金融庁に通報されてしまう可能性があるので、銀行からの質問には、まじめに対応した方が良いです。ここで指摘しているのは、このような質問をするように銀行に通達している金融庁のリスク管理能力問題です。
マネー・ローンダリング及びテロ資金供与対策に関するガイドライン
令和3年 11 月 22 日
金融庁
リスクベース・アプローチによるマネロン・テロ資金供与リスク管理態勢の構築・維持は、国際的にみても、金融活動作業部会(Financial Action Task Force、以下「FATF」という。)の勧告等の中心的な項目であるほか、主要先進国でも定着しており、前記の機動的かつ実効的な対応の必要性も踏まえれば、我が国金融システムに参加する金融機関等にとっては、当然に実施していくべき事項(ミニマム・スタンダード)である。
日本国政府や東京都は『世界に開かれた国際金融センターとしての日本の地位を確立することを目指しています』が、このような戯言は、岸田文雄首相が松尾豊からプログラミングを実践的に学んだので、AIのガバナンスや透明性を確保するための国際ルール作りを日本が主導する考えを強調しているのと同じくらい滑稽な話しです。
つづく…
この記事が気に入ったらサポートをしてみませんか?