開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • 金融庁と日銀も警告、「金融テレワーク向け情報セキュリティ」の勘所とは

  • 会員限定
  • 2020/11/10

金融庁と日銀も警告、「金融テレワーク向け情報セキュリティ」の勘所とは

FINOLAB コラム:

新型コロナウィルス感染拡大によって金融業界にもたらされた大きな変化が在宅勤務(テレワーク)の普及であろう。これまでも「働き方改革」という名称で一部導入が進められていたが、ほとんどが一部の従業員による申請ベースでの短期的な利用など、非常に限定的な導入にとどまるものであった。一方、コロナ禍以降は金融サービスにおいてもテレワークの本格導入を避けることができなくなり、大多数の従業員を対象として恒常的かつ柔軟に働ける環境を構築することが、事業継続の観点からも必要となってきた。これに伴い、情報セキュリティについても、新しい働き方や環境を前提とした対応を進めることが求められるようになっている。

FINOLAB Head of FINOLAB 柴田 誠

FINOLAB Head of FINOLAB 柴田 誠

FINOLAB設立とともに所長に就任。東大経済学部卒、東京銀行入行、池袋支店、オックスフォード大学留学(開発経済学修士取得)、経理部、名古屋支店、企画部を経て1998年より一貫して金融IT関連調査に従事。2018年三菱UFJ銀行からMUFGのイノベーション推進を担うJDDに移り、オックスフォード大学の客員研究員として渡英。日本のフィンテックコミュニティ育成に黎明期より関与、FINOVATORS創設にも参加。

photo
「金融テレワーク」の課題は何か?
(Photo/Getty Images)

金融庁と日本銀行による「注意喚起」とは

 金融庁と日本銀行は連名で、4月下旬に金融機関の経営陣に対して、不正アクセスや情報漏えいなどに十分に注意するよう通達文書を発表した。

 この文書では、テレワークの拡大に伴いサイバーリスクが高まることを明確に認識する必要があると指摘。緊急時の措置であることも考慮した上でメリットとリスクのバランスを踏まえつつ、適切なサイバーセキュリティ対策を講じることが求められるとしている。

 具体的には、(1)リモートアクセスに際して2つ以上の認証要素を組み合わせた多要素認証などの情報セキュリティの向上、(2)ウィルス検知の定義ファイルやセキュリティパッチを最新状態に保つための体制確保、(3)身に覚えのないメールの添付ファイルやURLを実行しないよう職員に徹底することなどを要請した。さらに(4)システム障害やサイバーインシデントなどの事案が確認された場合の速やかな報告も求めている。


日銀による「金融機関における在宅勤務」の調査結果

 日本銀行は10月13日に「金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題」と題する、7月6日から8月7日までの期間に全金融機関(239)向けに実施したアンケート調査の結果をまとめたレポートを発表した。この発表は注意喚起がどの程度徹底されたかを確認するという意図がうかがえる。

 調査結果によると、大手銀行のすべてが在宅勤務制度を設けているのに対し、地方銀行は53.9%にとどまっている。当初は東京や大阪などの都市部に比べて地方での感染者数が少なかったため、在宅勤務が定着しなかった地域もあった模様である。また、業務内容でも差がみられ、融資担当は77.9%が在宅勤務を実施したのに対し、口座開設などの窓口業務は43.4%にとどまっている。

 金融機関からは、在宅勤務制度を実施するためには「押印や郵送など紙による処理を前提とした事務フローの見直しが必要」といった声も聞かれた。既存の業務プロセスをそのままにした場合に、在宅で働く社員と紙をやり取りすることは容易ではなく、業務のデジタル化は在宅勤務導入の前提となる。

 調査からセキュリティ面の課題が顕在化していることも明らかになった。ほとんどの金融機関では業務用端末を従業員に貸与し、自宅での利用を認めている一方で、個人所有の端末利用を認める金融機関も41.6%あり、政府が基本方針を公表する前と比べて10%ほど上昇している。

 私用端末の利用そのものに問題はないが、日銀が「会社貸与端末と比べるとセキュリティガバナンスが取りづらい」と指摘しているように、在宅勤務に対応するために充分なセキュリティ対策を講じる余裕がなかった場合も多かったようである。

 私用のメールを介してウィルスに感染する恐れがあるほか、一部金融機関では私用USBメモリなどの利用も認めたために、さらにリスクが拡大する状況になっていたという。

画像
テレワーク時に個人所有の端末利用を認める金融機関も41.6%と、政府が「新型コロナウイルス感染症対策の基本方針」を公表する前と比べて10ポイントほど上昇した
(出典:日本銀行 前述レポート)

金融庁による「セキュリティ演習」の中身

 また、金融庁は日銀調査発表と同日(10月13日)に、「金融業界横断的なサイバーセキュリティ演習(Delta Wall Ⅴ)」を発表、金融業界全体のインシデント対応能力の更なる向上を図ることを目的に、業界横断的な演習を実施することを明らかにしている。

 実施の背景として、「昨今、資金移動業者の決済サービスを通じた不正出金、新型コロナウィルス感染症に便乗したサイバー攻撃やテレワーク環境を狙ったサイバー攻撃が発生しており、こうしたサイバー攻撃の脅威は、金融システムの安定に影響を及ぼしかねない大きなリスクとなっています」と説明している。

注:「Delta Wall」とは、サイバーセキュリティ対策のカギとなる「自助」「共助」「公助」の3つの視点(Delta)と防御(Wall)を合成した名称

 今回5回目となるサイバーセキュリティ演習は、10月14~21日に約110金融機関の参加を得て実施され、以下のようなシナリオを想定している。これまでの演習と異なる特徴として、「テレワーク環境下でのインシデント対応能力の向上を図るため、参加金融機関は実際のテレワーク環境下で演習に参加」することが求められている。

画像
サイバーセキュリティ演習スキーム
(出典:金融庁 報道発表)

【次ページ】テレワークのセキュリティ対策は何を「拠り所」にすべきか

お勧め記事

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!