継続的顧客管理に対応、「金融庁が求めるコンプラ」に“コード化”が有効なワケ

会員限定
2022/09/26 掲載

継続的顧客管理に対応、「金融庁が求めるコンプラ」に“コード化”が有効なワケ

記事をお気に入りリストに登録することができます。

ランサムウェアやフィッシングなど、サイバー空間の脅威は増すばかりだ。あらゆる産業でデジタル化が不可逆的に進む中で、特に金融業界は金融犯罪、アンチマネーロンダリング（AML）対策に頭を悩ませている。金融領域やサイバー領域の最前線にいる金融庁尾崎寛氏とアマゾンウェブサービス（AWS）ジャパン桐山隼人氏、カウリス島津敦好氏（モデレーター）が、サイバー脅威の動向や金融領域の継続的なコンプライアンス確立に必要なポイントを明らかにした。

執筆：フリーランスライター阿部欽一

継続的顧客管理にどう対応する？

（Photo/Getty Images）

※本記事は、Fintech協会が2022年7月に主催したFintechJapan 2022の講演内容を基に再構成したものです。

ランサムウェアの対策は網羅的に、継続的に

Fintech協会理事
カウリス代表取締役
島津敦好氏

（出典：Fintech協会）

　フィッシングや特殊詐欺、ランサムウェアといったサイバー空間での被害は現在、どの程度確認されているのか。金融庁尾崎寛氏は警察庁の公表資料を引用し「2021年のランサムウェアの国内の被害件数は146件、これは2020年よりも増加傾向にある」と説明する。

　背景にはデジタル化の進展やサイバー空間の公共化などがある。ランサムウェアの被害は身代金の要求だけにとどまらず、不正アクセスによる情報流出などと組み合わせた攻撃はサイバー空間の大きな脅威となっている。

　一方、2021年に全国の警察が検挙したサイバー犯罪の件数は1万2275件で過去最多となった。キャッシュレス化が進み、EC市場は19兆円の市場規模に拡大する一方、悪意のある犯罪者にとっての犯罪機会も増えている。特に、クレジットカード情報などを含む個人情報を詐取するフィッシング被害の報告件数は2021年は約53万件と増加している。

　この話を受け、カウリス島津敦好氏は「最近の不正送金の傾向としては、銀行から銀行への送金ではなく、銀行から暗号資産への送金など、業界をまたがった被害傾向が挙げられる」とした。そして、AWS ジャパン桐山隼人氏に対し、AWSが発行するe-Book「ランサムウェアからAWS環境を守る」の取り組みを問うた。

　このe-Bookは、ランサムウェアの脅威に対し、どのような機関がリスクにさらされるのか、なぜランサムウェアが有効な攻撃となるのか、身代金を払うべきか、そして、AWS上で構築するセキュリティコントロールの方法について紹介したものだ。

　桐山氏は、「AWSとしてランサムウェア対策は大きなテーマであり、蓄積されたノウハウや知見はe-Bookやホワイトペーパーなどの形で公開している」と話した。

　ランサムウェアは、重要データが暗号化され、身代金が要求される点がフォーカスされやすいが、実は感染前の対策や、感染後の事後対応が重要で「その点を含め網羅的に書かれているのが特徴だ」という。

　対策はNIST（米国国立標準技術研究所）が定めるCSF（サイバーセキュリティフレームワーク）に準拠する形で、脅威の「特定」「防御」「検知」「対応」「回復」の5つのカテゴリーを網羅的に、継続的に行っていく必要があるということだ。

セキュリティ運用面では自動化技術がキーワード

金融庁総合政策局
リスク分析総括課マネーローンダリング・テロ資金供与対策企画室主任統括検査官
尾崎寛氏

（出典：Fintech協会）

　続いて、運用面のポイントについて聞かれた桐山氏は、「ランサムウェアに限らない」としつつ、「API連携により自動的にサービスを機能させるクラウドの特徴がインシデント対応にも当てはまる」と説明した。

　クラウドインフラの構築は定義された対応フローに従い、APIでプロセスが自動化される。これをセキュリティに適用した「セキュリティオートメーション」とも呼ぶべき運用の自動化が実現できるのではないかということだ。

　また、尾崎氏は運用面のポイントとして「マネーロンダリングの観点からいうと、身代金を支払うべきか、支払ったお金の流れは捕捉が可能で、口座を凍結して没収できるかという問題がある」と話した。

　ランサムウェアの被害に際していえば、「速やかに警察機関に情報提供、連携しながら身代金をリカバリーした米国の事例もある」という。

　送金先が暗号資産のケースが出てきている点については、金融機関側の注意点として口座開設や海外送金などに関して「疑わしい取引に対する届出（疑わしい取引の届出制度）」が義務づけられており、これまで暗号資産に変えたことがない事業者が急に暗号資産に変えたいといった依頼があったときなどが、犯罪行為の予兆の発見につながりうるだろうと話した。

フィッシング対策は「早期発見」による発見的統制が有効

アマゾンウェブサービスジャパン
シニアセキュリティソリューションアーキテクト
桐山隼人氏

（出典：Fintech協会）

　議論はフィッシングの動向に移った。日本クレジット協会の調査によると、2021年に国内で発行されたクレジットカードの不正利用額は330億円に達した。これに対し、クレジットカード番号の不正な流通の防止について金融庁はなにか対策を打ち出しているかを島津氏から問われた尾崎氏は次のように述べた。

「フィッシングについては初期のターゲットは銀行だった。本物そっくりのフィッシングサイトに利用者が誘導され、口座番号や暗証番号などが詐取された。これについては、基本的な対応、すなわちフィッシングサイトが立ち上がって検知されたらすぐにテイクダウン（フィッシングサイトの閉鎖）を実現する取り組みが重要だ」（尾崎氏）

　インターネットバンクの不正送金の被害額は、2021年、8億2,000万円に減少してはいるものの、犯罪者は手を変え、品を変え利用者を騙そうとしている。たとえば、電話という「古典的」な手段を組み合わせ、相手を信じ込ませて暗証番号やカード番号をだまし取ろうとする手口も確認されている。

　尾崎氏は「特殊詐欺は認知件数は増加傾向にあるが、被害額は減っている」として、金融機関側では上述したような基本的な対応を継続していくことが重要だと話した。

　一方、桐山氏は、「早期に検知すること」の重要性を挙げる。すなわち「発見的統制」と呼ばれるものだ。侵害の可能性はゼロにできないものの、「仮に起きたとしてもすぐに検知し、それを修正する一連のプロセスや環境を組織に根付かせることが重要だ」ということだ。

　AWSにはこの発見的統制が最初から「組み込まれている（バイデフォルト）」。脅威検知やログ取得といった機能がサービスとして提供されており、それらを活用することも有効だと桐山氏は話した。

　そして、尾崎氏も発見的統制という観点から、ダメージコントロールの重要性を述べる。すなわち、「侵入させない対策も大事だが、フィッシングサイトにいかにはやく気付けるか、被害が出たときにどう対応するか、こういったことを日頃からしっかり訓練していくことが大事だ」ということだ。

【次ページ】AIを使った「取引モニタリングシステム」の共同化