国家的な取組みが求められる金融機関のサイバー対策とは

デジタル化の加速に伴い、金融機関に対するサイバーセキュリティリスクも高まっている。金融業界ではそうしたリスクに、どのように対処していけばよいのだろうか。金融庁は2018年10月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を更新し、この中で同庁は「情報共有の枠組みの実効性向上」をうたっている。

サイバーセキュリティを確保するには、保有する情報資産やIT（情報技術）の利活用の状況を踏まえた上で、自組織のリスクを特定し、必要な対策を進める「自助」の取組みが前提だ。しかし、そうした自助努力だけでは防ぎにくくなりつつあり、金融機関同士で情報共有・分析する「共助」の果たす役割が非常に大きくなってきている。

高度に連携された金融システムにおいては、サイバー攻撃の被害はネットバンキングによる不正送金などにとどまらない。あらゆるシステムがつながることにより単一障害点を発端に連鎖的に影響が広範囲におよぶ「システミックリスク」もマクロ視点でみた場合の課題で、サイバー攻撃がその糸口になることも否定できない。

サイバー攻撃による被害の発生可能性を抑えるには、サイバーセキュリティリスクとなり得る脅威情報を収集し分析することで未然防止に努めていく、いわゆる率先的な対応が重要である。このような脅威情報などの共有の必要性は一段と高まっており、金融業界では2014年に情報共有機関として民間組織、金融ISAC（インフォメーション・シェアリング・アンド・アナリシス・センター）を設立している。

2020年の東京五輪・パラリンピックに向けて、サイバー攻撃の増加や分野をまたがる攻撃、大規模インシデント（事故につながる恐れのある事態）の発生などが懸念されている。これらに対処するには、金融業界だけではなく、電力や通信など他の重要インフラ業界や海外の動向なども含めて幅広く収集する必要があり、NISC（内閣サイバーセキュリティセンター）からの情報提供や注意喚起などによる「公助」も、より重要になると思われる。

新たなサイバーセキュリティリスクの発生をいち早く捉えて対応策に生かしていく「自助」「共助」「公助」による組織的・国家的な取組みが求められている。

日経産業新聞　2019年5月20日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
ディレクター　薩摩 貴人