「セキュリティリスクの管理策は多岐にわたる。関係者全員が役割を分担して有機的に動くためには全体像を共有して優先順位を付けながら取り組む必要がある」。三菱UFJフィナンシャル・グループ(MUFG)の大日向隆之サイバーセキュリティ推進室長は2017年12月6日、都内で開催された「第3回 情報セキュリティマネジメントSummit」(主催:日経コンピュータ)でこう語った。「セキュリティはチーム戦」と述べ、MUFGでは全体像を把握するための管理モデルを整備し、体系立ててセキュリティリスク対策に取り組んでいることを紹介した。
セキュリティリスクの管理策を組織全体で調和しながら進めるための管理モデルは2013年に確立した。「ここまではできている。次はここに取り組むべきだ、ということが分かるようにつくった」(大日向室長)。まず守るべき資産の特定やアクセス管理などの基礎的な対策をしっかりと講じ、そのうえでインシデント対応や異常の検知などの対策を進めるのが重要だと指摘した。
MUFGはセキュリティリスクの管理に業界標準を積極活用している。米国立標準技術研究所(NIST)が定めた重要インフラにおけるサイバーセキュリティ対策のフレームワーク「NIST Cybersecurity Framework」をセキュリティ対策の企画検討や推進管理に用いる。セキュリティの能力成熟度は米連邦金融機関検査協議会(FFIEC)が発行した「Cybersecurity Assessment Tool」で判定する。さらにISO27001などのリスクアセスメントの基本モデルを活用しながらどんなリスクが大きいかを分析し、優先順位をつけて対策を講じていく。「特に海外拠点は業界標準だと展開しやすい」と大日向室長は話す。
金融機関同士の情報共有も重視している。正会員300社超の「金融ISAC(Information Sharing and Analysis Center)」では、各社で発生したセキュリティインシデントの情報を共有したり、特定のテーマについてワーキンググループで議論したりする。不正送金の被害が急増した2015年には、金融ISACが不正送金対策のガイドを発行。「警察の協力もあり、2016年には不正送金の被害額が減少した。今年もさらに減少する傾向にある」(大日向室長)などの効果が出ている。
大日向室長はシステムの運用などを外部に委託している企業であっても、セキュリティの組織体制や戦略などを考える「ガバナンス」と、セキュリティのリスクを分析して対策の優先順位を考える「リスク管理」は不可欠だと呼びかけた。金融業界で進んだように、重要インフラを守るための民間同士や官民の連携がさまざまな業界で重要になると指摘して講演を締めくくった。
