FinTech時代と、金融を取り巻く情報セキュリティの現状

fintech(フィンテック)時代の情報セキュリティ「FinTech とは何か?」「FinTech 狂騒曲」「FinTech革命」「金融業界の破壊者」――今、数々のメディアで “金融ビジネスに大きな変革やイノベーションをもたらす”存在として、FinTechという言葉をセンセーショナルに扱っています。FinTechとは金融(Finance)と技術(Technology)とを掛け合わせた造語です。社会に大きなインパクトを与える可能性があることがすでに予測され、経済産業省でもFinTech研究会を開催する動きも見られます。金融を取り巻く状況が大きく変化しようとしている今、FinTechの基本的な考え方とともに、気になる情報セキュリティも含めて現状について考えてみましょう。

FinTechの基本と懸念点

「FinTech(Fintech/フィンテック)」という言葉が今、世界的に大きな注目を集めています。そもそもFinTechはシリコンバレーで生まれるとともに、先進的で高い技術力を持つベンチャー企業が多くの投資を集め、世界的に活躍するケースも多くあります。特にアメリカや中国からこのような企業が数多く登場しているようです。

もちろん日本でもFinTechビジネスは大きな注目を集めています。既存のIT企業やベンチャー企業などから様々なFinTechサービスが提供されているので、実はすでに利用しているという方もいるかもしれません。それは、身近なところでは家計と複数の銀行口座の情報を管理できるスマートフォンアプリであったり、会社で使っているクラウド型の会計ソフトであったりするかもしれません。

FinTechサービスは、これまでのネットバンキングのように金融機関が用意したIT とは異なり、ユーザーが「どの金融機関を利用しているのか」を意識せずに、目的とする金融取引などが行えるという点で特長的です。IT 企業など第三者が用意した決済、会計、送金、資産管理、資産運用などを目的に、複数の金融機関の情報をまとめて管理したり、目的の操作を行ったりできるようなものを指します。また一方、金融機関も「ブロックチェーン(※1)」や「ロボアドバイザー(※2)」など、FinTechのサービスを取り入れようという動きも見られます。このように、「FinTech」周辺は活発な動きを見せています。

FinTechサービスの機能例と規制緩和

一方で現在、日本のFinTech企業はアメリカや中国に遅れをとっていることも指摘されています。その理由として既存の法制が挙げられていますが、冒頭でも紹介した通り、経済産業省もFinTechに積極的な取組を見せ、多くの金融機関もFinTechを取り込もうとしている今、規制緩和が生まれることでさらなる変化が現れるであろうことは想像に難くはありません。

また規制緩和と同時に懸念点がいくつかあります。その1つが、上図にもあるセキュリテイ対策です。金融機関をターゲットにした標的型サイバー攻撃が世界的に増加している近年、情報セキュリティリスクを想定し、対策を検討する必要があるのです。では、どのようなリスクがあるのでしょうか。

 

FinTech時代、金融機関を取り巻くリスクと情報セキュリティを考える

これまでサイバー攻撃は、一般的にWebサイトの信用を落とす目的やサイバー攻撃者の自己顕示欲を満たす目的で行われることが多いと考えられていました。それが近年では、明らかに「金銭」を目的としたサイバー攻撃が増加している傾向が見られます。つまり、悪意を持った者が“ビジネス”としてサイバー攻撃を行っているとことから、ターゲットにされた企業はさまざまな手口で目的が達成されるまで侵入・攻撃を仕掛けられるといった攻撃を受ける恐れがあるのです。

事実、2016年2月にはバングラデシュ銀行がサイバー攻撃の被害に遭い、1億ドルもの被害が発生しています。日本国内の金融機関も例外ではありません。2015 年には、いくつかの金融機関がDDoS 攻撃(※3) を受けるとともに脅迫された事件が報じられました※ 4。また、世界的にも金融機関を狙ったウイルスやマルウェアが登場していますが、日本の金融機関を標的としたオンライン銀行詐欺ツールも登場しています。

あらゆる企業や自治体・官公庁などがサイバー攻撃の脅威にさらされている今、特に金融機関ではこれまで以上に厳重な情報セキュリティ対策を考える必要があります。主な対策の例を下記に挙げます。

(1)関連行政機関などが公表しているガイドラインや監督指針を参考に対策を考える

標的型サイバー攻撃が日々、高度化・巧妙化する今、関連行政機関による情報セキュリティ対策の方針やガイドラインの見直しが進められています。新たな情報を確認し、継続的に安全を守るためのセキュリティポリシー策定などに役立てるサイクルを作ることが必要です。

(2)入口対策・出口対策・内部対策という視点を持つこと

  • 「入口対策」としては外部からの攻撃の監視・予防体制の構築が挙げられます。

具体例:24時間365日体制にて、サイバー攻撃などセキュリティ上の脅威を監視する体制を構築すること。最近ではセキュリティオペレーションセンター(SOC)が注目を集めています。また、SOCを社内に持たずに専門性の高い外部にアウトソースする動向も増えています。
参考:CEC SOC

  • 「出口対策」としては、侵入した不正プログラムによる持ち出し対策が挙げられます。

具体例:情報漏えいの経路として、メールの添付ファイル、USBメモリ、利用できるアプリケーションなどを制限するなどIT面での取組みとともに、見逃しがちなのが「紙」経由の情報漏えい。情報漏えい経路として最多なのは実は「紙媒体」です。個人や企業などの顧客情報を数多く取り扱っている金融機関は紙資料も多く、印刷物の情報漏えいリスクも高いと考えられます。預金や証券売買、資金の貸付けや振込み・引落しなどの取引情報などを印刷する際には、IC カードによる認証印刷やログを残せる仕組みづくりが重要です。

  • 「内部対策」としては認証強化などが挙げられます。

具体例:短期的に始められる認証強化の方法として、二要素認証(多要素認証)が注目されています。二要素認証とは、下記の3 つの要素のうち、複数の要素を組み合わせる認証方式で、自治体などを中心に採用が進められています。
(1)対象者の「知識」を利用したもの(例:ID・パスワードなど)
(2)対象者の「持ち物」を利用したもの(例:IC カード、USB トークンなど)
(3)対象者の「身体の特徴」を利用したもの(例:指紋、静脈など生体認証など)
参考:「二要素認証」のすすめ~安全にPCにログインするための基礎知識

今後もますます金融とITの融合は進むことと考えられます。このような時代に対応するためにも、新たな脅威に関する動向を常に把握し、対策し続けることが必要でしょう。

※1 ブロックチェーン:仮想通貨「ビットコイン」に使われた技術。ブロックチェーンの技術を簡単に述べると、取引記録を分散して保存することで、改ざんや偽造を防ぐ仕組みを安価に活用できるようになるというもの。今後商用化が期待されています。
※2 ロボアドバイザー:資産運用をのリスクを避けるために、どのように分散するのか、ユーザーに合わせて最適な投資先を自動的に選ぶ(アドバイスする)仕組み。すでに米国ではその活用が進められつつあり、日本でも大手銀行などが実用に移しています。
※ 3 DDoS 攻撃: 特定のサーバに対し、一斉に大量のアクセスをすることでその処理能力を超える過剰な負荷をかけてサービス提供できなくする、サイバー攻撃の一種。
※ 4: 警察庁によると、本事件は海外でも同様の手口の事件が発生していたことから、「ユーロポール及び国際刑事警察機構(ICPO)と調整の下、国際捜査が行われ、ボスニア・ヘルツェゴビナ警察等が関連する被害者2 名を検挙した」とのこと。

▼関連製品
ICカードと暗証番号で安価に二要素認証…… SmartSESAME PCログオン
複合機やプリンター、紙媒体からの情報漏えい予防に …… SmartSESAME SecurePrint!(セキュアプリント)
自治体 セキュリティ対策 調査レポート ダウンロード 「セキュリティー ハンドブック2016」ダウンロードページへ FinTech 金融 セキュリティ対策 ダウンロード PCログオン 詳細ページへ 文書電子化ハンドブック ダンロードページへ 情報セキュリティ対策ハンドブック ダウンロード