• 会員限定
  • 2022/11/18 掲載

金融庁が求めるものは? 自社で進める「資産、アクセス、ログ」管理の勘所

大野博堂の金融最前線(55)

記事をお気に入りリストに登録することができます。
金融庁が預金取扱金融機関に対して、「セルフアセスメントツール」を配布し、8月末を目途に回答を求めてたのは、周知の事実だ。しかし、金融庁が金融機関が求めるものの背景や狙いについては、なかなか理解されていない。本稿では、連載第54回に引き続き、本ツールにおける質問の背景や考え方のポイントを整理する。今回は「資産管理」「アクセス管理」「データ保護」「監査証跡(ログ)の管理」の項目について、今後の金融機関におけるアセスメントツール活用の在り方を取り上げる。

執筆:NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

執筆:NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。飯能信用金庫非常勤監事。東工大CUMOTサイバーセキュリティ経営戦略コース講師。宮崎県都城市市政活性化アドバイザー。

photo
不正侵入事案からみた効果的な資産管理とアクセス管理の在り方とは?
(Photo/Getty Images)


「資産管理」で欠かせない対象システムの網羅的な把握

 14項目、計42問から構成される日本のサイバーセキュリティ・セルフアセスメントツールについて、前回に続き今回は、「資産管理」「アクセス管理」「データ保護」「監査証跡(ログ)の管理」を解説する。

  • ◆「サイバーセキュリティに関する経営層の関与」
  • ◆「サイバーセキュリティに関するリスクの把握と対応」
  • ◆「サイバーセキュリティに関する監査」
  • ◆「サイバーセキュリティに関する教育・訓練」
  • ◆「新たなデジタル技術の評価」
  • ◆「資産管理」
  • ◆「アクセス管理」
  • ◆「データ保護」
  • ◆「監査証跡(ログ)の管理」
  • ◆「システムの脆弱性に関する管理・対応」
  • ◆「サイバー攻撃に関する技術的な対策」
  • ◆「サイバーインシデントの検知」
  • ◆「サイバーインシデント対応・業務復旧の態勢」
  • ◆「サードパーティ等の管理」

 「資産管理」について、金融機関ではすでにリスク評価プロセスの中で、情報資産管理台帳やシステム構成図などを作成・整備していることだろう。

 まずはそのそれらのアップデートが適切かつ適時実施されているかが問われている。筆者の経験上、ネットワーク構成図が陳腐化していて現状を反映していない、といった例が散見されるので注意が必要だ。

 さらに言うならば、昨今のサードパーティリスク対応重視の流れの中、自社の情報資産にもならず、外部企業の基盤との提携により実現している業務やサービスも多々生まれている。

 ところが、こうしたSaaSやクラウド上などWebで利用中のツールやサービスについては、情報システム部門が管理する資産管理台帳などには反映されず、現業部門任せとなっているケースもみられる。すなわち、全社を挙げたリスクアセスメントの対象としてみなされていないことになるわけだ。

 場合によってはこうした外部サービスに潜む脆弱性などが敵から注目され、サイバー攻撃における侵入チャネルになり得るので注意が必要だ。

 金融機関としては、以下の図に示した情報資産台帳などを参考に、SaaSやクラウドで利用中の外部サービスも別紙で一覧化し、該当するサービスの運営事業者からリスクアセスメントの結果の提供を受け、内部で評価する、といった対応が求められる。

画像
IPAが提供している情報資産管理台帳
(図:IPA「中小企業の情報セキュリティ対策ガイドライン(付録7リスク分析シート-情報資産管理台帳)」)

攻撃パターンからみた適切な「アクセス管理」とは

 「アクセス管理」については、2つの視点が挙げられる。「アクセス権の付与基準」と「アクセス自体の認証手段」だ。

 重要なシステムへのアクセス権については、アカウントを必要最小限の者に限って付与するのは前提条件であり、利用者ごとに、業務上必要最小限の範囲のアクセス権を付与することで、一部のリスクが全体に及ばない工夫が求められている。

 とかく陣容の少ない中小規模金融機関においては、こうしたアクセスを全権アクセスとして特定の人間に付与するケースもあるが非常に危険な行為である。かつて発生した外部攻撃事案でのソーシャルエンジニアリング(人間心理の隙を突き、個人が持つ秘密情報を聞き出す手法)の例を挙げておく。

 まず犯行グループは、当該管理者の個人的なSNSをモニタリングし、友達申請をしてコンテンツを見る権利を得る。その上で、コンテンツとしてアップされている家族構成や誕生日、家族やペットの名前、自家用車のナンバーなどを長期にわたって観察する。

 こうした個人に紐づく情報から、職場の重要システムにアクセスするIDやパスワードを類推し、システム管理権限を奪取した、という事案が確認されているのだ。このケースでは、6カ月にもわたってSNSを通じて管理者の私生活がモニタリングされるなど、敵の執拗さと執念が感じられるほどだ。

 金融機関の諸氏も、SNSで「見知らぬ若年のアジア人女性からの友達申請」をそのまま「許可」してしまうリスクを念頭に置く必要があるだろう。

 こうした事案も念頭に、重要なシステムへのアクセスに際しては、二段階認証などのステップではなく、複数要素認証を実装することが大切だ。その上で外部からの接続に際して、運用管理として接続元の確認・制限を加える必要があるほか、接続監視を適切に実施せねばならない。

【次ページ】「データ保護」のセルフアセスメントとは?

関連タグ

あなたの投稿

関連コンテンツ

PR

処理に失敗しました

トレンドタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます