金融機関におけるサイバーセキュリティへの対応 | KPMG | JP

金融機関におけるサイバーセキュリティへの対応

金融機関におけるサイバーセキュリティへの対応

営業秘密や個人情報の詐取・漏えい、基幹システムの停止、社会インフラや工場の制御系システムの破壊など、サイバー攻撃は企業にとって、事業継続上、深刻なダメージを引き起こし、その対応は喫緊の課題として社会的な問題になっています。

関連するコンテンツ

サイバーセキュリティはすべての企業が取り組むべき課題となりますが、とりわけ金融機関にとっては、自社への攻撃に加え、顧客の金融資産、PCやモバイル・デバイスへの攻撃にも備えなければいけません。
真正サイトと寸分違わない精巧なフィッシングサイトや、特定の金融機関や顧客層をターゲットとするマルウェアの出現など、手口は金融機関の想定を上回るスピードで進化しており、特定技術要素に依存する対症療法ではなく、総合的でプロアクティブな対策が求められています。

高度化する攻撃の手口

近年のサイバー攻撃は、IT環境の劇的な変化により重層的な攻撃手法がとられることが多く、従来型の対策では防御が困難であることが指摘されています。実際、多くの企業では攻撃を受けてから後追い的に対策が取られているのが現状です。このような状況下では、従来の情報セキュリティ管理態勢をサイバーセキュリティ仕様へと高度化していかなくてはなりません。企業には、サイバー攻撃に対する対応状況を正確に把握した上で、最新のサイバー攻撃にも耐えうる対策の導入を進めていくことが求められています。

金融機関に対する脅威

DDoS攻撃によるシステム停止や、クラッキングや標的型攻撃によるシステムへの不正侵入/情報の不正取得などがサイバーの脅威として想定されます。これらは官民を問わず、すべての機関・企業が対処しなくてはならない問題です。

金融機関は、上記に加えて、マン・イン・ザ・ブラウザ(MITB)、マン・イン・ザ・ミドル(MITM)、マルウェア感染、フィッシング攻撃などによる、顧客の金融資産や顧客のPC等への攻撃にも備えなければいけません。さらに、スマートフォン等のモバイル端末上で動作するオンライン・バンキング・アプリを狙ったモバイル・マルウェア攻撃、銀行のコールセンター等を装った電話での架空問い合わせを組み合わせたビッシングなど、手口はますます巧妙化しつつあります。

金融機関に求められる総合的かつプロアクティブな対応

サイバーセキュリティの態勢整備は、IT部門だけで対応できる課題ではありません。

  • 特定の技術要素に依存し、当該要素の実効性を業務所管部門が把握していない。
  • IT部門と業務所管部門のコミュニケーションが悪く、IT部門の対応について顧客説明が十分にできない。
  • 経営がIT部門、あるいはIT部門がベンダーに任せており、自社のサイバーセキュリティの状況を適切に把握していない。
  • 事象発生時に金融機関としての迅速・適切で一体的な対応ができない。

などの失敗事例は、経営によるガバナンス、IT部門・業務所管部門・コンプライアンス部門の横断的な取組が不可欠であることを示しています。さらには役職員一人ひとりの意識醸成も重要な課題です。

金融庁も、世界的規模で生じているサイバーセキュリティに対する脅威の深刻化、インターネットバンキングに係る犯罪手口の高度化・巧妙化への問題意識を高めており、金融機関の顧客情報管理態勢、外部委託先管理態勢、サイバーセキュリティ管理態勢、預金取扱金融機関におけるセキュリティ対策や顧客対応は一層の高度化が求められています。

サイバーセキュリティは、日々進化する新たな手口に対する継続的な管理態勢として日々の業務運営に反映されなければいけません。

お問合せ

 

RFP(提案書依頼)

 

送信