サイバー犯罪が増加・多様化する時代の「インシデント対応」に必要なこと 〜Fintech Japan 2022レポート

サイバー犯罪が増加・多様化する時代の「インシデント対応」に必要なこと 〜Fintech Japan 2022レポート

目次

DXやデジタルシフトがさけばれて産業変革が進むなか、増加の一途をたどるサイバー犯罪。あの手この手を使い、さまざまな手口を駆使する金融犯罪は多様化し、事業者はその対策に追われる状況が続いている。

2022年7月19日に開かれた「Fintech Japan 2022」のセッション「サイバー犯罪とAML」では、金融庁の尾崎 寛氏とアマゾン ウェブ サービス ジャパンの桐山 隼人氏が登壇。Fintech協会 理事の島津 敦好氏をモデレーターに迎えて、マネーロンダリング対策やサイバーセキュリティの最前線に関するディスカッションが展開された。

xDXでは当セッションの様子を、前後編に分けてレポートする。

パネリスト:
・尾崎 寛(金融庁 総合政策局 リスク分析総括課 マネーローンダリング・テロ資金供与対策企画室 主任統括検査官)
・桐山 隼人(アマゾン ウェブ サービス ジャパン合同会社)
・島津 敦好(一般社団法人Fintech協会 理事/株式会社カウリス 代表取締役)※モデレーター

※本記事では、登壇者の所属情報や公表資料の名称等以外は「マネーロンダリング」と表現します。

セキュリティオートメーションへの期待

セッションの前段として、モデレーターの島津氏は「ここ数年、セキュリティとAML(アンチ・マネーロンダリング)はクロスオーバーするような様相を呈している。特に2021年はランサムウェアやフィッシング、特殊詐欺の3つが増加しているような状況である」と述べた。こうした状況について、​​金融庁にてマネーロンダリング対策に従事している尾崎氏はどのような所感を抱いているのだろうか。

警察庁から公表されている資料によれば、「日本でもランサムウェアの被害は確実に増えており、昨年度における件数は146件に上った」という。

「こうした背景には、デジタル化の進展やサイバー空間の公共空間化が関係していると考えられます。ランサムウェアの被害は身代金の要求に限らず、不正アクセスによる情報流出などもあり、サイバー空間における脅威は年々大きくなっていると言えます。2021年はサイバー犯罪における検挙数が12,209件と過去最多を記録していて、キャッシュレス社会の発展やEコマースの拡大も多分に影響を与えているわけです。また、消費者を狙うフィッシングの被害も2021年には約53万件と増加傾向にあります」(尾崎氏)

また、近年における不正送金の動向としては、銀行から暗号資産にお金が流れるなど、業界を横断したマネーロンダリングが横行しているそうだ。そんななか、AWSではランサムウェア対策としてeBook「ランサムウェアから AWS 環境を守る」を発表。ランサムウェアからAWS環境を保護するために取り組んでいることや、クラウドセキュリティのあり方について、同社の桐山氏はこのように説明する。

「ランサムウェアというと、重要なデータが暗号化されて『身代金を要求される』ということにフォーカスされがちですが、AWSが発表したホワイトペーパーには、事件の前後を含めた対策などを網羅的に記載されています。サイバーセキュリティ対策を、①IDの特定 ②防御 ③検知 ④対応 ⑤回復の5つのカテゴリーに分け、明示的にすることで、どのように対策しないといけないかを提示しています」(桐山氏)

一定のフレームワークに沿ってサイバーセキュリティ対策を行うのは有用的だと言える。一方で、多様な手法がイタチごっこ的に編み出されるサイバー犯罪に対して、よりフレキシブルに対応していくためのコツは何かあるのだろうか。

桐山氏は「AWSのようなクラウドサービスでは、APIを連携させて自動的にサービスを呼び出せるのが大きな特徴になっている」とし、クラウドならではの運用について意見を述べる。

「これはランサムウェアに限らないことかもしれませんが、インシデント対応のユースケースに当てはめると、これまでは会社ごとにインシデントフローが定義されていました。それがクラウド環境が普及し、各サービスをAPIで呼び出せるようになった現在では、いわば人が手動でやらなければならなかったことが、ある程度自動化できるようになったわけです。用語としては『セキュリティオートメーション』と呼んだりしますが、クラウドの方がよりセキュアな環境を作りやすいと考えています」(桐山氏)

桐山氏の意見に対し、尾崎氏はマネーロンダリングの観点から「ランサムウェアの影響で、お金を払ってしまった場合にそれがどこに流れるのか。それを捕捉して凍結できるかがポイントになる」とし、こう見解を示す。

「もしランサムウェアの被害に遭ってしまった際は、すぐに警察へ情報提供し、警察と連携していくことが大切で、アメリカではこうしたアクションを起こすことでリカバリーできている事例も多いです。ただ、銀行から見た場合に『ランサムウェアのどういうところに気をつければいいか』というのを考えるのは、なかなか難しい問題であると思っています。
ひとつ予兆として把握できるのは、今まで暗号資産に変えたことのないような事業者が、曖昧な理由を元に暗号資産交換業へお金を送ろうとする場合です。このようなケースが起きた場合は、不正送金を疑うなど、未然の抑止につながるような兆候を掴んでおくことが大事になってくるでしょう」(尾崎氏)

今後のサイバーセキュリティで重要になる「発見的統制」とは?

次にテーマに挙がったのはフィッシング詐欺だ。特に、金融機関や金融サービスを営む事業者に向けてのフィッシングによるアタックが増加しているという。2021年にはクレジットカードの不正利用額が330億に達し、フィッシングによる被害が拡大している。

そんななか、争点になっているのは「悪用するクレジットカードの番号をいかに流通させないか」ということだ。これに関して、金融庁はどのような打ち手や対策の手立てを考えているのだろうか。尾崎氏はここでも、検知のスキーム構築の必要性を訴える。

「初期の頃は銀行がターゲットにされていましたが、実はインターネットバンキングにおける不正送金の事案は、昨年度の場合は584件の被害総額が8.2億円と減ってはきています。しかし、どうしても“イタチごっこ”と言わざるを得ない状況で、手を替え品を替えてフィッシングサイトを作成したり誘導してきたりするのが現状です。基本的なことですが、SMSで送られてきた知らないサイトのアドレスは開かない。仮に開いてしまったらすぐに検知をするなどの取り組みが、フィッシング対策においては大事になるのではないでしょうか。もちろん、悪事を働くサイバー犯罪は巧妙化していくわけですので、常にアラートの感度は高く持っておくことが必然になってきます」(尾崎氏)

被害に遭ったときの初動を早くすることは非常に大切なことだが、桐山氏は「異常を素早く検知できるかが、初動対応においてものすごく重要になる」と話す。ここで登場した概念が、「発見的統制」と「予防的統制」だ。

情報セキュリティにおける発見的統制とは、インシデントが発生した場合に、その原因を発見して是正する統制のことだ。対して予防的統制とは、インシデントを未然に防ぐ統制のことである。この2つを考えた場合、「これまで多くの会社がセキュリティ対策として予防的統制に力を入れてきたのですが、それに加え、これからはもっと発見的統制にも目を向けるようにしていくのが肝になる」と、桐山氏は強調する。

だが、予期せぬインシデントが起こる可能性をゼロにするのは難しい。だからこそ、「仮に起きたとしてもすぐに気づける体制を、組織内に根付かせることが重要になってくる」と桐山氏は続ける。

「発見的統制をやりやすい環境として、まずはデフォルトでセキュリティ機能がクラウド環境の中に組み込まれていることが挙げられます。最初から用意されていれば、ユーザーとしては使いやすいでしょう。AWSでは脅威を検知するものやログを取得するサービス等がもともと実装されているので、これらを有効活用すれば発見的統制を行いやすくなるのではと思っています」(桐山氏)

また、桐山氏が述べた発見的統制と予防的統制の話について、尾崎氏は「ダメージコントロールの問題だと思っている」とコメントする。

「まずは攻撃させない、侵入させないのが前提ですが、問題が起きた場合にそれをいかに早く検知できるかが大事になってくるわけです。被害が出てしまった際にどう対応・リカバリーするかを日頃から訓練しているか否かで、いざ起きたときの被害の大きさに直結するのではと思っています」(尾崎氏)

ここまでの議論を踏まえて、モデレーターである島津氏は「イタチごっこ」となっている情報セキュリティ対策について、以下のように持論を語った。

「新しい手口が出てきた場合に2次被害をどう防ぐのか、そして他社ではどういう被害があったのかを参考にし、いかに対応フローに取り入れられるかが大事になると思っています。そういう意味では、個社に閉じず業界全体で共有していくことが求められる時代だと感じています。オンプレからクラウド環境に移行すれば、サイバーセキュリティのナレッジや対応策における流通の速度も早まると考えていて、いかにその速度を早められるかが、今後のトピックになっていくと捉えています」(島津氏)

コンプライアンスをコード管理する「Compliance As Code」

こうしたなか、不正対策のやり方として「『過去の手口を機械学習してアルゴリズムを作る』ことと『黒と判明した手口を素早く共有していく』ことの2つが相互補完的にある」と島津氏は話す。

この辺りの実現可能性について、尾崎氏は「今、金融機関に求められているガイドラインとしては2つある」とコメントする。

「まず、取引をしてはいけない人をリスト化していてスクリーニングをかけています。またそれ以外に関しては、犯罪の手口やパターン、資金の流れなど疑わしき取引の参考事例をルールベース化し、システムで検知するといった事後的な対応策になっています。これは当然ながら、アラートを検知したらそれに応じて何をするべきかを考えていき、予防的措置につなげていくことでPDCAサイクルにつなげていく必要があります」(尾崎氏)

だが、島津氏の言う2つの相補的な不正対策を実現していくには、個々の金融機関による部分最適な対応にとどまり、業界全体へのベストプラクティスが浸透していかない事になる。すなわち、「業界全体のサイバーセキュリティ対策に凸凹ができてしまい、そこで生じた“弱いところ”が、結果としてサイバー犯罪のターゲットになりやすくなる」と、尾崎氏は指摘する。

「だからこそ、業界全体で底上げして弱いところを作らない。そのためには知見を業界全体で広めていくことや、取引モニタリングシステムのシナリオを機械学習やディープラーニングを使って学習させ、より検知能力を高めていき、効率性を上げていくことが求められてくるでしょう。金融庁ではAIを使った取引モニタリングシステム等の『共同化』を数年にわたって支援してきており、実用化に向けての検討を進めています」(尾崎氏)

デジタル化されている情報であればクラウドに乗せやすいのだが、日本はペーパー社会ゆえに「誰がいつ、どの口座でどんな資金使徒があったか」という情報がデジタルに置き換わっていないことも多い。このような「ペーパー管理情報」をデジタルに置き換えることについて、先進的に取り組んでいる業界はあるのだろうか。

さまざまな業界にクラウドサービスを提供している桐山氏は、「デジタル化することのベネフィットを理解している企業は、自らモチベートしてデジタル化に取り組んでいる」と話す。ペーパー管理していたものがデジタルに置き換わることで、例えばコンプライアンスもコードを管理することでチェックできるという。

同氏によると、コンプライアンスルールを策定・運用する場合の、属人的ではないアプローチとして「Compliance As Code」という概念が注目されているそうだ。Compliance As Codeについて桐山氏はこのように説明する。

「クラウドが世の中に出てきて、まず言われたのが『Infrastructure as Code』という概念でした。要するに、テンプレートファイルでコードを書くことで、誰がいつインフラをデプロイしても全く同じものができ、高品質を保てるということなのですが、このクラウドの特徴をコンプライアンスの領域に応用したのが『Compliance As Code』になります。コードで書くメリットとしては、人を介さずに自動化できること、そして人為的なミスをなくせることが挙げられます。今まで人がやってきたことを機械で置き換えてコードで管理することで、より信頼性を担保できるというのが、Compliance As Codeの根本の概念として存在しています」(桐山氏)

尾崎氏もこの「Compliance As Code」について、「非常に興味深く、今後のサイバーセキュリティにおいても重要性を含んでいる」と意見を寄せる。

「FATF(Financial Action Task Force)勧告遵守の観点から、金融庁では2024年3月までに『マネー・ローンダリング及びテロ資金供与対策に関するガイドライン』に定める体制を整備することを、各業界団体を通じて働きかけを行っています。その際に重要なポイントの一つとなっているのが『規定の文書化』です。手続きが口伝や担当者の属人的対応で収まっていて、人が転勤したり退職したりして分からなくなったら困るわけで、手続きがしっかりと見える化されていることが非常に大事になってきます。
Compliance As Codeでは、いわばコードで手続きを管理するわけで、その点においては考えが一致する部分があります。今後は『規定の文書化』と『情報のデジタル化』をいかに推進していけるかが求められてくるのではないでしょうか」(尾崎氏)

※後編記事につづく

取材/文:古田島大介
編集:長岡 武司

Fintech Japan 2022 レポートシリーズ by xDX

関連記事

  • 麹や旨味など、日本古来からの「食の智慧」に盛り上がる欧米市場を探る 〜Food-Tech Webinar Fall 2022レポート

    麹や旨味など、日本古来からの「食の智慧」に盛り上がる欧米市場を探る 〜Food-Tech Webinar Fall 2022レポート

  • 社会性にセキュリティを組み込むことで、デジタルな人格(ソウル)は復元できる 〜G.GのSBT解説 #4

    社会性にセキュリティを組み込むことで、デジタルな人格(ソウル)は復元できる 〜G.GのSBT解説 #4

  • 効率化だけが論点ではない。AIによる「特許DX」に向けた専門家ディスカッション 〜超DXサミットレポート

    効率化だけが論点ではない。AIによる「特許DX」に向けた専門家ディスカッション 〜超DXサミットレポート

  • ステーブルコインはDXに向けた一丁目一番地か?金融の未来に向けた官民ディスカッション 〜超DXサミットレポート

    ステーブルコインはDXに向けた一丁目一番地か?金融の未来に向けた官民ディスカッション 〜超DXサミットレポート

  • Soulboundトークンはデジタル時代の「社会的包摂の基盤」になるかもしれない 〜G.GのSBT解説 #3

    Soulboundトークンはデジタル時代の「社会的包摂の基盤」になるかもしれない 〜G.GのSBT解説 #3

  • 東京ガールズコレクションのメタバース戦略とは?「バーチャルTGC」が目指す次世代ファッションショーを探る

    東京ガールズコレクションのメタバース戦略とは?「バーチャルTGC」が目指す次世代ファッションショーを探る

News

  • ㍿Borderlessが、株式投資型クラウドファンディングサービス「FUNDINNO」において、募集による投資申込みの受付を開始することを発表

  • ㍿情報基盤開発が、従業員の心身の健康管理に関するサービスを提供する㍿メンタルヘルステクノロジーズと業務提携契約を締結

  • NTT印刷㍿が、新たに「まるごと電子化日報業務効率化パッケージ」をサービスラインアップに追加し、提供を開始

  • ㍿カヤックが、㍿リビングハウスの一部株式を取得し、資本業務提携を締結

  • サグリ㍿が、これまで目視で行われていた農地パトロール調査を、衛星データとドローンを活用することで、農業委員会が効率的な調査を行うことを実現

FREE MAILMAGAZINEメルマガ登録

DXに特化した最新情報配信中