金融業界におけるペネトレーションテストの有効性

「公共機関のサイバー対策」第19回 - 金融業界での「脅威ベースのペネトレーションテスト」を紹介し、サイバー攻撃へのインシデント対応能力向上について解説する。

「公共機関のサイバー対策」第19回 - 金融業界での「脅威ベースのペネトレーションテスト」を紹介し、サイバー攻撃へのインシデント対応能力向上について解説する。

サイバー攻撃が高度化・複雑化するにつれて、攻撃の予兆を捉えて防御することは困難になってきている。そのため、被害を最小化するにはサイバー攻撃を受けた後の対応が重要である。サイバー攻撃を受けた後に迅速かつ的確に対応するには、演習や訓練を通じて、サイバー攻撃への組織的なインシデント(事故につながる恐れのある事態)対応能力を向上させることが有効である。こうした認識を背景に、金融庁は金融機関の対策を底上げするために、「金融業界横断的なサイバーセキュリティ演習(Delta Wall)」を毎年実施している。攻撃の実例の分析や外部有識者の知見の活用などにより、業態・業務特性に照らして最も脅威となりうる攻撃を想定した、より実践的な内容で実施しており、サイバー攻撃へのインシデント対応能力を向上させる重要な施策として期待されている。

サイバー攻撃への防御耐性とインシデント対応態勢を評価する、より実践的な手法として、実際に侵入を試みる「脅威ベースのペネトレーションテスト」がある。これは、金融機関に対する脅威動向の分析を踏まえて作成した攻撃シナリオに基づく実践的な侵入テストであり、「レッドチーム演習」とも呼ばれる。海外の金融機関ではすでに取り組みが進んでおり、国内では金融庁が推進していくことを公表したこともあり、関心が高まっている。
「脅威ベースのペネトレーションテスト」では、まず業態・業務特性や脅威動向に照らして攻撃シナリオ(リスクを発現させるまでの過程)を策定する。これに基づき、本番環境で疑似的な攻撃を実施することが特徴である。このテストを実施することで、本番環境に対してサイバー攻撃が仕掛けられた場合の技術的な防御措置やインシデント対応能力の実効性を検証し評価することができる。

金融機関では、OA環境での標的型攻撃や、ネットバンキングでの不正アクセス、ATMに対する物理的・論理的破壊などが攻撃シナリオとして採用されることが多い。フィンテックに取り組んでいる先進的な金融機関では、アプリやAPI(アプリケーション・プログラミング・インターフェース=外部システムと連携するための技術仕様)基盤に対する攻撃にも関心が高まりつつある。

大規模なインシデントの発生に備えたサイバー攻撃へのインシデント対応能力の向上は一朝一夕で実現できるものではない。継続的かつ実践的な演習や訓練の積み重ねが極めて重要である。

日経産業新聞 2019年5月21日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
ディレクター 薩摩 貴人

公共機関のサイバー対策

お問合せ

薩摩 貴人

執行役員 パートナー

KPMGコンサルティング

メールアドレス