金融機関がサプライチェーン攻撃の標的になる理由
金融機関は、サプライチェーン攻撃の主要な標的となっています。その理由は、金融機関が保有する資産と情報の価値、そして多数の外部接続点にあります。
- 保有する資産・顧客情報の価値
- 金融機関は、顧客の預金、投資資産、決済情報など、直接的な金銭的価値を持つ資産を管理しています。また、氏名、住所、口座番号、取引履歴などの顧客情報は、フィッシング詐欺やなりすましに悪用される可能性があり、攻撃者にとって魅力的な標的です。
- 攻撃者の動機
- 金融機関への攻撃は、直接的な金銭的利益につながる可能性があります。不正送金、ランサムウェアによる身代金要求、顧客情報の売買など、様々な形で収益化が可能です。また、国家支援型の攻撃グループが経済的混乱を目的として金融機関を標的にするケースもあります。
- 多数の委託先・サービス提供者との接続
- 現代の金融機関は、勘定系システム、インターネットバンキング、決済ネットワーク、ATM、クラウドサービスなど、多数の外部ベンダーやサービス提供者と接続しています。これらの接続点それぞれが、サプライチェーン攻撃の侵入経路となりえます。特に、複数の金融機関にサービスを提供するベンダーが侵害された場合、被害が業界全体に拡大するリスクがあります。
- 規制遵守のプレッシャー
- 金融機関は厳格な規制下にあり、セキュリティインシデントが発生した場合、当局への報告義務、業務改善命令、レピュテーションの低下など、深刻な影響を受けます。攻撃者はこのプレッシャーを利用し、身代金の支払いや被害の隠蔽を期待することがあります。
これらの要因から、金融機関はサプライチェーン攻撃への対策を経営課題として位置づけ、体系的な対応を行う必要があります。
FISC安全対策基準の要件
FISC(金融情報システムセンター)が策定する「金融機関等コンピュータシステムの安全対策基準・解説書」は、日本の金融機関におけるセキュリティ対策の事実上の標準となっています。FISC安全対策基準には、委託先管理に関する重要な要件が含まれています。
委託先管理に関する基準
FISC安全対策基準では、外部委託を行う際の管理体制について詳細な要件を定めています。
| 項目 | 主な要件 |
|---|---|
| 委託先の選定 | 委託先の技術力、信頼性、財務状況、セキュリティ体制を評価し、適切な委託先を選定すること |
| 契約における明確化 | セキュリティ要件、責任分界、監査権、インシデント報告義務等を契約で明確化すること |
| 継続的な管理 | 委託先のセキュリティ対策状況を定期的にモニタリングし、必要に応じて是正を求めること |
| 再委託の管理 | 再委託を行う場合は、金融機関の承認を得るとともに、再委託先にも同等の管理を行うこと |
外部接続に関する基準
金融機関と外部システムとの接続に関しては、以下の対策が求められています。
- 外部接続点におけるファイアウォールの設置と適切な設定
- 接続先との間での認証・暗号化の実施
- 外部接続を経由した不正アクセスの監視・検知
- 接続先のセキュリティ対策状況の確認
クラウド利用に関する基準
近年、金融機関においてもクラウドサービスの利用が拡大しています。FISC安全対策基準では、クラウド利用に関する追加的な要件として、クラウドサービス事業者の選定基準、データの所在地管理、クラウド固有のリスク対策などを定めています。
金融機関は、クラウドサービスの利用にあたって、サービス事業者のセキュリティ対策状況を十分に確認し、リスクに応じた対策を講じる必要があります。
— 出典:FISC「金融機関等コンピュータシステムの安全対策基準・解説書」の趣旨より
金融機関は、FISC安全対策基準を参照しながら、自組織の規模やリスクに応じた委託先管理体制を構築することが重要です。
金融庁ガイドラインの要件
金融庁は、監督指針やガイドラインを通じて、金融機関のサイバーセキュリティ管理態勢について明確な要件を示しています。
サイバーセキュリティ管理態勢
金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」では、金融機関に対して以下の対応を求めています。
- 経営陣のリーダーシップ
- サイバーセキュリティを経営課題として認識し、経営陣がリーダーシップを発揮して対策を推進すること。CISO(最高情報セキュリティ責任者)の設置や、取締役会への定期報告が求められます。
- リスクベースのアプローチ
- 自組織のリスクを評価し、リスクに応じた対策を講じること。サプライチェーンリスクも評価対象に含まれます。
- 多層的な防御
- 境界防御だけでなく、内部ネットワークの分離、エンドポイント対策、監視・検知など、多層的な防御体制を構築すること。
委託先管理に関する要件
金融庁の監督指針では、外部委託に関する管理体制について詳細な要件を示しています。
| 評価項目 | 確認事項 |
|---|---|
| 委託先の選定 | 委託先のセキュリティ体制、実績、財務状況を評価しているか |
| 契約管理 | セキュリティ要件を契約に明記し、監査権を確保しているか |
| 継続的モニタリング | 委託先のセキュリティ対策状況を定期的に確認しているか |
| インシデント対応 | 委託先でインシデントが発生した場合の報告・対応体制を整備しているか |
| 再委託管理 | 再委託先の管理も適切に行われているか |
監督・検査における重点項目
金融庁の検査では、サプライチェーンリスク管理が重点項目の一つとなっています。特に、重要な業務を委託している先のセキュリティ対策状況、クラウドサービスの利用状況、インシデント発生時の対応体制などが確認されます。
金融機関は、取引先管理の体制構築を参考に、金融庁の要件を満たす委託先管理体制を整備してください。
金融機関の委託先管理
金融機関における委託先管理は、選定、モニタリング、監査の3つのフェーズで構成されます。
委託先選定
委託先の選定段階では、セキュリティ体制を含む総合的な評価を行います。
- デューデリジェンスの実施
- 新規取引先や重要な委託先に対しては、契約前にセキュリティデューデリジェンスを実施します。財務状況、過去のインシデント履歴、セキュリティ認証(ISO 27001、SOC 2等)の取得状況、技術力などを評価します。
- 評価項目の標準化
- 評価の一貫性を確保するため、評価項目と基準を標準化します。金融機関向けのセキュリティ質問票を作成し、すべての委託先候補に対して同じ基準で評価を行います。
- リスク分類
- 委託先を、委託する業務の重要性やアクセスする情報の機密性に応じてリスク分類し、高リスクの委託先には厳格な評価を実施します。
詳しい選定方法については、サプライチェーン攻撃対策の取引先評価をご覧ください。
モニタリング
契約後も、委託先のセキュリティ対策状況を継続的にモニタリングします。
- 定期報告:月次または四半期ごとに、委託先からセキュリティ状況の報告を受ける
- SLA管理:サービスレベル合意(SLA)の遵守状況を確認する
- インシデント報告:委託先でセキュリティインシデントが発生した場合の即時報告体制を整備する
- 脅威情報の共有:業界の脅威情報を委託先と共有し、対策を促す
監査
重要な委託先に対しては、定期的な監査を実施します。
| 監査の種類 | 内容 | 頻度目安 |
|---|---|---|
| 書面監査 | セキュリティ質問票への回答、認証証明書、ポリシー文書の確認 | 年1回 |
| リモート監査 | Web会議を通じたヒアリング、画面共有による確認 | 必要に応じて |
| 立入監査 | 委託先のオフィス・データセンターへの訪問、実地確認 | 高リスク先は年1回以上 |
監査で発見された問題点については、是正計画を策定させ、フォローアップを行います。
ベンダー評価・監査の実務
金融機関におけるベンダー評価・監査の具体的な実務について解説します。
- セキュリティ体制
- 情報セキュリティポリシーの策定状況、セキュリティ組織の体制、責任者の明確化、従業員への教育・訓練の実施状況を評価します。ISO 27001やSOC 2などの第三者認証の取得も確認します。
- インシデント対応能力
- セキュリティインシデント発生時の検知・対応体制、報告プロセス、復旧計画を評価します。過去のインシデント履歴とその対応状況も確認します。
- 事業継続計画
- BCPの策定状況、バックアップ体制、災害復旧計画を評価します。特に、金融機関の業務に影響を与えうるシナリオについて、対応計画が策定されているかを確認します。
- 財務健全性
- 委託先の財務状況を評価し、事業継続の安定性を確認します。財務状況が悪化している委託先は、セキュリティ投資の削減やサービス停止のリスクがあります。
- 技術的セキュリティ対策
- アクセス制御、暗号化、脆弱性管理、ログ管理など、技術的なセキュリティ対策の実施状況を評価します。
監査方法と是正フォロー
監査の結果、問題点が発見された場合は、以下のプロセスで是正を進めます。
- 発見事項の報告:監査結果を委託先に報告し、問題点を明確にする
- 是正計画の策定:委託先に是正計画の策定を求める(期限、対応内容、責任者を明確化)
- 是正の実施:委託先が是正計画に沿って対応を実施
- フォローアップ確認:是正が完了したことを確認する(必要に応じて再監査)
- エスカレーション:是正が進まない場合は、経営層へのエスカレーションや取引継続の見直しを検討
取引先管理の詳細も参照し、体系的な委託先管理を実現してください。
金融ISACの活用
金融ISAC(Information Sharing and Analysis Center)は、金融機関間でサイバーセキュリティに関する情報を共有する組織です。サプライチェーン攻撃対策においても、金融ISACの活用が有効です。
情報共有の仕組み
金融ISACでは、会員金融機関間で以下の情報を共有しています。
- 脅威情報:新たな攻撃手法、マルウェア、脆弱性に関する情報
- インシデント情報:会員機関で発生したセキュリティインシデントの概要と対応
- ベストプラクティス:効果的なセキュリティ対策の事例
脅威インテリジェンスの活用
金融ISACから得られる脅威インテリジェンスを活用することで、サプライチェーン攻撃の早期検知や予防に役立てることができます。例えば、特定のベンダーを狙った攻撃キャンペーンの情報を入手した場合、自組織で同じベンダーを利用していれば、事前に対策を講じることが可能です。
業界全体での連携
サプライチェーン攻撃は、一つの金融機関だけでなく、同じベンダーを利用する複数の金融機関に影響を及ぼす可能性があります。金融ISACを通じた業界全体での連携により、攻撃情報の迅速な共有と、業界全体でのセキュリティ向上が期待できます。
業態別の留意点
金融機関と一口に言っても、銀行、証券、保険など業態によってリスクや対策のポイントが異なります。
| 業態 | 特有のリスク | 重点対策 |
|---|---|---|
| 銀行 | 決済システム、勘定系システムへの侵入、不正送金 | 決済ネットワークの保護、SWIFT CSPへの準拠、多要素認証 |
| 証券 | 取引システムへの侵入、インサイダー情報の漏洩、市場操作 | 取引システムの分離、アクセス制御の厳格化、異常取引の監視 |
| 保険 | 顧客の健康情報・契約情報の漏洩、保険金詐欺への悪用 | 個人情報保護の強化、代理店チャネルの管理 |
| 資産運用 | 運用情報の漏洩、取引戦略の窃取 | 情報分類と厳格なアクセス制御、内部者リスク対策 |
| 決済事業者 | 決済情報の窃取、不正決済 | PCI DSS準拠、トークン化、不正検知 |
各業態の金融機関は、自組織の業態特有のリスクを把握し、それに応じた対策を講じることが重要です。
関連する攻撃手法
金融機関は、サプライチェーン攻撃以外にも様々な攻撃手法の標的となっています。これらの攻撃手法は、サプライチェーン攻撃と組み合わされることもあります。
- サプライチェーン攻撃
- 委託先やベンダーを経由して金融機関に侵入する攻撃。ソフトウェアアップデートの改ざん、正規ツールへのバックドア埋め込みなどの手法が使われます。詳細はサプライチェーン攻撃の定義と仕組みをご覧ください。
- ビジネスメール詐欺(BEC)
- 経営者や取引先になりすまし、不正送金を指示する詐欺。サプライチェーン攻撃で委託先のメールアカウントが侵害された場合、BECに発展するリスクがあります。詳細はビジネスメール詐欺(BEC)をご覧ください。
- フィッシング詐欺
- 偽のWebサイトやメールで認証情報を窃取する攻撃。金融機関の顧客を標的としたフィッシングは継続的に発生しています。詳細はフィッシング詐欺をご覧ください。
- ランサムウェア
- システムを暗号化し、身代金を要求する攻撃。サプライチェーン経由での感染も増加しています。詳細はランサムウェアをご覧ください。
- 標的型攻撃(APT)
- 特定の組織を標的とした高度で持続的な攻撃。国家支援型の攻撃グループが金融機関を標的にすることもあります。詳細は標的型攻撃(APT)をご覧ください。
- 不正アクセス
- 認証情報の窃取や脆弱性の悪用により、システムに不正にアクセスする攻撃。詳細は不正アクセスをご覧ください。
- 個人情報漏洩
- 顧客情報の不正な持ち出しや流出。内部者による漏洩も含まれます。詳細は情報漏洩をご覧ください。
金融機関は、これらの攻撃手法を総合的に理解し、多層的な防御体制を構築する必要があります。
よくある質問
- Q: クラウドサービス利用時の注意点は何ですか?
- A: 金融機関がクラウドサービスを利用する際は、FISC安全対策基準に基づいた評価が必要です。クラウドサービス事業者のセキュリティ認証(ISO 27001、SOC 2、CSA STAR等)を確認し、データの所在地、暗号化、アクセス制御、監査ログの取得状況を評価します。また、責任分界を明確にし、契約でセキュリティ要件を規定することが重要です。マルチクラウド環境では、各サービスのセキュリティ設定を統一的に管理する仕組みも必要です。
- Q: フィンテック企業との連携時のリスクは何ですか?
- A: フィンテック企業との連携では、API接続を通じたセキュリティリスクが生じます。フィンテック企業のセキュリティ対策レベルは様々であり、特にスタートアップ企業では十分な対策が講じられていない場合があります。連携前にセキュリティデューデリジェンスを実施し、APIのアクセス制御、認証方式、データの暗号化を確認してください。また、フィンテック企業経由での情報漏洩リスクも考慮し、共有するデータを最小限に抑えることが重要です。
- Q: 海外の委託先をどのように管理すべきですか?
- A: 海外の委託先は、法域の違い、言語・文化の壁、時差などの課題があります。まず、現地の規制(GDPR、中国サイバーセキュリティ法等)への準拠状況を確認します。契約では準拠法と管轄裁判所を明確にし、監査権を確保します。言語の壁がある場合は、セキュリティ質問票を現地語に翻訳するか、通訳を介した監査を検討してください。地政学リスクも考慮し、特定の国・地域への過度な依存を避けることも重要です。
- Q: 再委託先の管理はどこまで必要ですか?
- A: 金融庁の監督指針やFISC安全対策基準では、再委託先の管理も求められています。重要な業務を再委託する場合は、金融機関の事前承認を必要とする契約条項を設けます。再委託先のセキュリティ対策状況は、委託先を通じて確認するか、必要に応じて直接評価を行います。再委託の連鎖が深くなるほどリスク管理が困難になるため、再委託の段数を制限することも検討してください。
- Q: 中小規模の金融機関でも同じ対策が必要ですか?
- A: FISC安全対策基準や金融庁の監督指針は、組織の規模や業務内容に応じた対応を求めています。中小規模の金融機関であっても、リスクに応じた対策は必要です。ただし、すべての委託先に対して同じレベルの評価・監査を行う必要はなく、リスク分類に基づいた効率的な管理が重要です。業界団体やコンソーシアムを通じた共同監査の活用、外部評価サービスの利用なども検討してください。
まとめ
金融機関のサプライチェーン攻撃対策について、以下のポイントを押さえてください。
- FISC安全対策基準への準拠:委託先管理、外部接続、クラウド利用に関するFISCの要件を遵守する
- 金融庁監督指針への対応:経営陣のリーダーシップのもと、リスクベースの委託先管理体制を構築する
- 委託先の選定・モニタリング・監査:ライフサイクル全体を通じた管理を実施する
- ベンダー評価の体系化:セキュリティ体制、インシデント対応能力、事業継続計画、財務健全性を評価する
- 金融ISACの活用:業界全体での情報共有と連携を推進する
- 業態別のリスク対応:銀行、証券、保険など業態特有のリスクに対応する
- 関連攻撃への備え:フィッシング、BEC、ランサムウェアなど、サプライチェーン攻撃と組み合わされる攻撃にも対策を講じる
金融機関の規模や業態に関わらず、サプライチェーンリスク管理は経営課題です。業種別カテゴリトップやサプライチェーン攻撃の総合ガイドも参照しながら、体系的な対策を進めてください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す ← 現在のカテゴリ
人気のページ
更新履歴
- 初稿公開
