■金融庁が「情報セキュリティーに関する検討会」の結果を公表
■金融庁が「情報セキュリティーに関する検討会」の結果を公表
金融庁は7月13日、金融機関の「情報セキュリティに関する検討会」の検討結果を公表した。
今回の公表の最大の狙いは、①「情報セキュリティのリスクや対策について」、監督官庁である金融庁と全国の金融機関が共通認識を持つこと。
②「金融機関における情報セキュリティ対策」の更なる強化を促進すること。
検討会は今年3月から6月にかけて3回開催され、全国銀行業協会や全国地方銀行協会、全国信用金庫協会、全国信用組合中央協会、金融情報システムセンターなどの業界団体や警察庁が参加している。
具体的な検討テーマは、①国内外でのATM(現金自動預け払い機)あるいはインターネット取引などを狙った不正な預金引き出しの手口や、情報セキュリティに関する技術面でのリスクなどを洗い出し、②どのような対策が有効であるかが検討された。
検討結果の詳細について、検討会の参加団体を通じて全国の金融機関にフィードバックされている。
このフィードバックにより、国内外で過去に発生した情報セキュリティ上の犯罪が再発した場合、被害を受けた金融機関は、「あらかじめ想定できたはずのリスク」を防げなかった理由を金融庁に説明する責任が生じることになる。
「そうした犯罪の手口があるとは知らなかった」という言い訳は通用しないことになる。 個別の金融機関での早急な「情報セキュリティー対策の強化」対応が必要となる。
■検討結果の概要
1. 金融機関における検討のあり方
○金融機関は、セキュリティ対策を講じるにあたっては、まずは各金融機関がその経営責任において、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた必要な検討を行った上で態勢の整備に努めるべきである。その際、以下の点に留意することが必要である。
①個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指す
②リスクの存在を十分に認識・評価した上で、対策の要否・種類を決定する
○その際、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなる、いわゆるPDCAサイクルが機能していることが重要である。
ATMシステムに関する例示はあるので、インターネットバンキングに関しての検討手順に応用するとすれば、
①金融機関側に起因するリスクの把握(内部管理態勢の整備状況、システム開発の体制、システムの特性、システムの外部委託の状況等)
②インターネットバンキングの利用に関するリスクの把握(取引限度額、利用可能時間、インターネット利用環境、犯罪発生状況等)
③上記リスク特性を踏まえ、どのような犯罪手口・リスクに対処すべきかの優先順位付け
④自社に適応すべき具体的な対策の実施
⑤対策の効果の検証、改善を反復する。
○インターネットバンキングては、本人認証に関する方式は、ワンタイムパスワード等、多種多様で、その技術も日々進歩しており、情報収集・事後検証の重要性はより高いと考えられる。また、犯罪の手口は、グローバル化しており、海外の犯罪事例情報等も必要となる。
○新たなリスク・犯罪手口に対応するため、自らの情報収集体制の構築には限界があり、財団法人金融情報システムセンター・金融関係団体などとの連携強化などの将来を見据えた対応が求められる。
2. 具体的なリスクの事例
〔ATMシステム〕
①ATMコーナーに隠しカメラが設置され、暗証番号とキャッシュカードの券面情報を盗撮される
②ATMにスキミング装置が設置される
③被害にあう可能性のある顧客を特定できない
④被害にあう可能性のある顧客に対し、速やかに連絡・周知することができない
⑤防犯ビデオが十分に機能していない
〔インターネットバンキング〕
①スパイウェアによりIDと認証情報が漏洩する
②フィッシングサイトにおいてIDと認証情報が詐取される
3. 対策のあり方
〔ATMシステム〕
ICカードに関しては、全銀協ICキャッシュカード標準仕様を順守することにより、現時点においては安全性が確保されていると考えられる。
生体認証に関しては、現時点においては不正利用対策として、本人認証の有効な手段であるが、成長過程の技術でもあり、有効性や利用にあたっての留意事項等について、今後も継続的に評価していくことが必要である。
〔インターネットバンキング〕
インターネットバンキングにおける認証方式については、個々の認証方式が、各種犯罪手口に対してどの程度の強度を有するかを検証した上で、自社に適合すべき対策を選択すべきである。
(注)インターネットバンキングにおける認証方式の選択にあたっては、認証方式を「記憶認証」、「所持認証」、「生体認証」に分類した上で、複数の分野に属した認証方式を採用すべきとの考え方がある。しかし、その場合であっても、例えばスパイウェアにより認証に必要な情報が全て詐取される場合も考えられる。そのため、本検討会においては、個々の認証方式が各種犯罪手口に対してどの程度の強度を有するかを検証した上で、適切な認証方式を採用すべきとして、結論は保留している。即ち、「リスク分析に基づく認証方式の選択すべき」としている。
○特定のリスクへの対策は複数存在することから、これらを組み合わせて、自らに適した対策を選択すべきであるということである。
(例)口座情報・暗証番号が漏洩するリスクに対しては、暗号化など技術的に対応する方法のほかに、アクセス権限の厳格化などの管理運用態勢の強化による方法も忘れてはならない。
■今後の対応
○本検討会の検討結果については、
①参加各団体がそれぞれの基準・標準の改訂に活用する。
②金融庁としては、主要行等及び中小・地域金融機関向けの総合的な監督指針に盛り込む。
■まとめ
金融庁は、検討結果のまとめの中で、「金融機関は経営の責任で情報セキュリティ対策を講じるべき」との考えを示している。
今回の検討結果を踏まえ、今秋にも銀行法に基づき金融機関の活動状況をチェックするための「監督指針」を改正する予定とのこと。
金融機関の経営者は、情報セキュリティに関するリスクを自社の事業内容に照らし合わせ、業界団体やITベンダーに相談するなどして、早急に自社の責任で情報セキュリティ対策を講じていかなければならない。事故が発生してからでは遅いということを認識すべきである。
【編集後記】
やっと涼しくなってきました。
ここに三日東京は大雨が続いています。
しかし、
気温は夏型に戻ったり、肌寒い秋型になったりで天候不順です。
このために、風邪をひいている方が多いように思います。
地球温暖化、天候異常が顕著になってきているのでしょうか?
| 固定リンク
「情報セキュリティー」カテゴリの記事
- ◆ガンブラーウィルスにご注意を(2010.02.17)
- ◆続 トロイの木馬(2010.01.23)
- ◆トロイの木馬の被害事例に関して(2010.01.09)
- ◆続発する個人情報漏洩事件(2009.08.18)
- ◆三菱UFJ証券の顧客情報漏洩事件から学ぶべきこと(2009.07.16)
コメント