This post is also available in: English (英語) 繁體中文 (繁体中国語)
サイバー犯罪者が数・質ともに高度化するなか、標的の選定も有効性の最大化や収益性に的を絞ったより戦略的なものとなってきています。データが世界的なサイバー犯罪に流入するにつれ、金融サービス業界が標的としての地位を固めるようになりました。
金融サービスは、サイバーセキュリティ人材、ツール、関連投資のすべてにおいて、垂直セクタの同業他社のほとんどを一貫して上回っているにもかかわらず、これら組織へのサイバー攻撃は続いています。
本稿では、金融サービス がサイバー犯罪の最大の標的となっている3つの大きな理由と、最も一般的なサイバー攻撃の種類、そして組織がこうした攻撃にどのように反撃すればよいのかについて概説したいと思います。
サイバー犯罪者が金融サービス組織を最大の標的とする理由
1. 金融サービス組織を標的にすると利益が大きい
金融サービス組織が脅威攻撃者によって不釣り合いに大きく標的にされているのは偶然ではありません。その理論的根拠は非常に単純です。脅威攻撃者は、自分たちがほしいものを持っていてカネになる組織を標的にしているからです。つまり、データとカネです。データを売ればカネになりますし、脆弱性はデータとカネの両方を手に入れさせてくれます。
脅威攻撃者は、標的選定のためのアプローチや、最も収益性の高い業界・組織・個人の選定のしかたをさらに高度化させてきています。彼らは、年々調査量や偵察量を増やして、より的確に被害者を選定し、経済的利益を最大化し、成功の可能性を改善しようとしているのです。
ですから、豊富な金融資産とデータをもつ金融サービスは、彼らの標的として最適なのです。金融サービスは貴重なデータを維持管理しているだけでなく、顧客からの高まる需要、つまりデジタルエクスペリエンスに対応していくことも求められています。
2. デジタルトランスフォーメーション(DX)が攻撃対象領域を広げている
「金融データを便利にしたい、いますぐにアクセスしたい」という顧客からの要望を受けて、金融サービスはデジタルトランスフォーメーション(DX)を進めています。クラウドテクノロジ、データ分析、ロボット工学は、デジタルエコノミーやカスタマーエクスペリエンスの課題に対応していくために、大規模な機関にとっては不可欠のツールになりつつあります。ですがこうした新しいテクノロジは、攻撃対象領域を広げ、脅威攻撃者が脆弱性を利用する能力を高めることにもつながります。
くわえて、金融サービスはこれまでの競合相手であるフィンテック企業や大手テック系企業と協力しあい、より魅力的なデジタルエクスペリエンスを顧客に提供するようになってきています。金融サービスは集めた顧客データをパートナー企業と共有してそこから知見を得たり、提供するサービス内容をお客様ごとにカスタマイズしたりしています。ところが、この協力関係が、データの損失や乱用、業務の混乱につながることがあります。
組織がデジタル需要に効率的に対応していくには、より高性能で安全なデジタルサービスモデルとサードパーティベンダが必要ですが、それは多くの場合、セキュリティの複雑さにつながります。これらのますます複雑化するITシステムはエンドツーエンドで保護することが難しく、規制コンプライアンスを満たすことだけにフォーカスしてしまうと、ギャップが残る結果になりかねません。
このほかに影響を及ぼしかねない脆弱性の1つが、リモートアクセステクノロジ経由でサードパーティプロバイダを活用しているケースです。リモートアクセス設定が安全な内容になっておらず、そのことを当の金融機関が把握していないと、金融サービスに悪影響をおよぼしかねません。
そして大規模金融機関とは対照的に、小規模な金融機関、たとえば信用組合や資産運用会社などには、徹底したサイバーセキュリティサービスを提供するだけの潤沢なITスタッフやセキュリティスタッフがオンサイトしていないこともあります。これらの中小企業のなかにはメールで金融取引を行うところもあり、脅威攻撃者がその処理に介入するスキを与えてしまっています。
3. デジタル資産の保護はむずかしい
デジタル資産の保護は、1回やればそれでおしまいにはなりません。デジタルランドスケープや使用するシステムは刻々と進化していきますから、それに対応して継続的に監視や管理を行っていく必要があります。
ただし、そうしたテクノロジをささえるのに適した社内ITセキュリティ担当者とサードパーティサイバーセキュリティベンダを調達するのは、どんな規模の組織にとっても易しいことではありません。
ITインフラストラクチャの実装には時間も専門知識も必要です。組織が新しいプロセスで組織を教育・主導するには、適切なチームメンバーを用意しなくてはいけません。さらに、データセキュリティの監視と管理には、常にトレーニングや脆弱性テストを実施し、新たな脅威や進化する脅威に先んじ続ける注力も必要です。新しいクラウドベースのテクノロジが採用されると、チーム メンバーは共有責任モデル を理解し、機密データを保護するクラウド セキュリティのコントロールや設定を行う方法を理解する必要があります。
金融サービスを脅かす攻撃の種類
金融サービスはあらゆる種類の脅威から影響を受けていますが、これにはビジネスメール詐欺(BEC)とインサイダー脅威の2つも含まれます。
FBIによると、BECは「正当な資金移動を行う企業と個人の両方を標的とした巧妙な詐欺」です。攻撃者は、正当なメールアカウントを侵害して不正な送金を行うことでこの詐欺を実行することが多いですが、ほかにもバリエーションがあります。インターネットから直接アクセスできる電子メールアカウントは非常に多いことから、資格情報が盗まれると、資金が失われるだけでなく機微なデータも侵害される可能性があります。
インサイダー攻撃は、組織のメンバーがデータや情報を削除したり開示したりすることで発生します。その理由は個人的なもの、金銭上の利益、組織の信用毀損などさまざまです。インサイダー攻撃には、機密情報の漏えい、知的財産の窃取、機密情報への不正アクセスなどがあります。
このような攻撃の種類にくわえ、金融サービスは、機微なデータのうっかりミスによる漏えい(多くの場合、クラウド設定やWeb向けアプリケーションの構成ミスによる機密データの偶発的な暴露)により、不釣り合いに大きな影響を受けています。金融サービスは、データ管理や顧客サービスモデルに対応するためにクラウドソリューションや顧客向けアプリケーションに大きく依存していることから、エラーが紛れ込む可能性が高くなっています。脅威攻撃者は、そうしたスキを継続的にスキャンして探し、うっかり公開されてしまっているデータを侵害します。
金融サービスがサイバー攻撃を阻止するには
金融サービス組織をサイバー脅威から適切に保護するためには、ゼロトラスト、多要素認証(MFA)、DevSecOpsなどのサイバー衛生対策やセキュリティベストプラクティス導入が重要です。
また、サイバーセキュリティテストやトレーニングへの投資も欠かせません。そうしたテストやトレーニングでは、年2回、基礎的な内容だけにとどまらない詳細なセキュリティ啓発トレーニングを実施し、高度な脅威戦術を見つけてもらえるよう、従業員に学習してもらいます。トレーニングプログラムには、企業内の各グループに焦点を当てたカスタムモジュールを含めておき、そのグループがどのように標的にされうるのかを説明する必要があります。またそうしたトレーニングでは、高度なフィッシングテクニック(回を追うごとに難易度があがるもの)、幅広いソーシャルエンジニアリング戦術、インサイダー脅威による活動兆候(それに加えてそうした問題を匿名で通報する方法の提供)、物理的なセキュリティをカバーする必要があります。
クラウド プラットフォームに関するセキュリティとIT担当者の集中トレーニングも不可欠です。
脆弱性のない業界はありません。ですがとくに金融サービス組織は、管理する金融資産やデータ資産の大きさから頻繁にサイバー攻撃の標的にされています。適切な領域を対象にセキュリティ投資を行うこと、脅威を監視・管理するための適切なトレーニングをスタッフに受けてもらうこと、これらを確実に行うことで、金融サービス組織はハッキングの嵐をうまく乗り切っていきやすくなるでしょう。
セキュリティ評価と侵入テストを適切なレベルで実施することで、弱点を特定し、投資をより適切に絞り込み、セキュリティ投資の最適化と優先順位付けをしやすくなります。サイバーセキュリティの対応準備状況やニーズを積極的に評価する方法については、infojapan@paloaltonetworks.com までお問い合わせください。