金融機関はセキュリティ対策の手を緩めるな

拡大する銀行のネット利用

銀行によるインターネット利用が進んでいる。最近の特徴は、これまでインターネットの活用にやや消極的だった地方銀行の間にもサービスの拡充・多様化に向けた動きがあることだ。
例えば、 本コラム
でも指摘していた個人ローンや中小企業向けローンの拡販にインターネットを活用する地方銀行も現われた。 住宅ローンの24時間受付法人向けサイトの拡充がそうである。

対面営業を大事にしてきた地方銀行とは言え、収益力を高めるには全ての取引先に渉外がアプローチする訳にもいかず、また店舗の集客力にも限界がある。インターネットといった営業チャネルを取り込み、組織営業力をもう一段強化する必要に迫られているのである。したがって、今後ともインターネットを活用する金融機関の裾野はさらに広がっていくことは間違いない。

増大するネット上の脅威

ところが、こうした動きに水を差す 物騒なリポートが、今年6月に世界銀行から公表されている。
金融機関にアタックする悪意あるハッカーが急増しているというのである。

同リポートは、1998年以降悪意的なアクセスを受けたという報告件数が急激に増えているというカーネギメロン大学のデータや、米国におけるクラッキングの約57%が金融機関に向けられたというデータを紹介し、金融機関に対するハッカーの脅威を警告している。
バーゼル銀行監督委員会によると、ある30行の銀行が過去3年間に外部の不正行為によりうけた被害総数は、把握されているものだけで9,961件、総額約650億円に上り、所要自己資本に賦課すべきいわゆるオペレーショナルリスクの約20%(金額ベース)を占めているという。この被害が今後急増するとなると、やはり話は穏やかではない。

被害が急増する一つの背景は、「素人ハッカー」の台頭である。新しい技術の導入が進むほど、
逆にハッキングを容易にする攻撃ツールが作成され、これがwww.attrition.org
といったWebサイトを通じて流布することで「素人ハッカー」が増えている。

日本の銀行は大丈夫?

さて、心配なのは日本の銀行である。一般的な見解としては、技術的にそれなりのリスク対策はとられている、ということになるだろう。
確かに、殆どの邦銀が採用しているSSL等のセキュリティが適正に実現かつ運用されていれば、これを「素人ハッカー」が破ることは基本的には考えにくい。
また、多くの地銀はインターネットバンキングの運用を共同でベンダに委託しているので、
そこでも一定の基準に適合したセキュリティ対策が講じられている。

しかし、筆者はそれほど楽観もできないと思っている。心配なのは、
こうした「技術過信・ベンダ依存」の体質が逆に銀行に身につき、セキュリティ上の穴を不用意に作らないようにしたり、
作ってしまった穴を迅速に埋める是正措置をとる、といった活動を銀行の責任で行なう管理態勢が甘くなっていることである。
「素人ハッカー」達が常用する攻撃ツールは、しらみつぶしに穴を攻撃するものが多いので、こうした銀行の脇の甘さが逆に潜在リスクを高めていることを認識しておくべきだ。

具体的な課題

例えば、重要なページにSSLによるセキュリティを掛け漏らしてしまうといった単純ミスは、日本の銀行のWebサイトについてもかなり指摘されている。
Webインタフェースは簡単に作れると安易に考えずに、セキュリティ技術に精通した開発者を選定すべきである。むろん、システムの検証や監査といったプロセス面の対応についても、銀行側で管理態勢を確立しておく必要がある。
また、顧客の認証情報の取り扱いについて、現場担当者にコンプライアンスの遵守を徹底させておくことも重要である。
不幸にしてハッカーによる攻撃で損害が発生した場合の対処方法は大丈夫だろうか。すでに幾つかの日本企業の例が示している通り、風評リスクを恐れ、事実を隠蔽してしまう体質は、信頼を基盤とする銀行には命取りになる。

このような管理態勢を銀行全体で一貫して確立するのは、実は簡単ではないと思っている。インターネットの活用方法を多様化させている
地方銀行などでは、各所管部が独自に取組みを進めている例を見かけるが、「ベンダと所管部」任せという態勢は極めて要注意である。