Skip to content

金融機関向けセキュリティ対策

サイバー攻撃からシステムを守るために
金融機関が取り組むべき対策とは

全世界で金融機関を標的とするサイバー攻撃が増加し、また、利用者を狙ったインターネットバンキングの不正送金事件も増えています。金融機関は、自身のセキュリティ対策を万全にするとともに、いかに利用者を保護していくかを考えなくてはなりません。


金融機関におけるサイバー攻撃対策

金融情報システムセンター(FISC:The Center for Financial Industry Information Systems)が発刊する「金融機関等コンピュータシステムの安全対策基準・解説書」は金融情報システムに関する安全対策のよりどころとして広く活用されており、現行の「第8版追補」更新時においては、サイバー攻撃対策に関するガイドラインが追加される可能性があります。

本ページでは、「第8版追補」更新に先駆けて、FISCから2014年2月26日に報告された「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」の一部を引用しつつ、トレンドマイクロが提供する金融機関におけるサイバー攻撃対策やインターネットバンキングの利用者保護対策について紹介します。

サイバー攻撃によるセキュリティリスク

“(1)サイバー攻撃による被害想定
各金融機関においては、サイバー攻撃に対する一定のセキュリティ対策は実施しているが、それを掻い潜った攻撃が行われた場合には、各社のシステム環境の違いによって、さまざまな被害が発生しうる。こうしたなかで、各金融機関に共通して該当する被害の具体例としては、個人・法人顧客情報(取引明細・顧客情報)の不正流出、決済業務の停止、インターネットサービスの停止、フィッシング詐欺やホームページ改ざんによる誤情報提供・提示などがある。また、サイバー攻撃による被害が発生したり、事後対応に不備があったりした場合には、各社の社会的な評価・評判が低下するおそれもある。”

公益財団法人 金融情報システムセンター「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書 Ⅱサイバー攻撃を受けるリスク 1金融機関に対する攻撃」より抜粋

多くの国内金融機関では、規制や監査への対応も踏まえて、すでに一定のセキュリティ対策が行われています。また、国内においては、金融機関へのサイバー攻撃事例がそれほど多く見られなかったことや、システムがメインフレームで構築され、クローズなネットワーク環境にあることなどから、これまではサイバー攻撃を大きなリスクとして捉えにくかったと考えられています。

しかし昨今、インターネットバンキングの不正送金被害が増加していることもあり、金融機関をとりまく情報セキュリティの課題は多岐にわたると共に深刻さが増しています。セキュリティ対策を今後どのように強化していくか、利用者をどのように保護していくか、具体的な対策を含めて検討をする必要があります。

金融機関向けセキュリティ対策とポイント

サイバー攻撃のリスクを認識した上で、情報通信ネットワークやインフラへのセキュリティ対策、インターネットバンキングの利用者を保護するための対策など、全般的なセキュリティ対策を講じる必要があります。

金融機関向けサイバー攻撃対策   利用者の保護

インターネット経由でのウイルス感染によるデータの窃取や改ざんなど、サイバー攻撃は日々進化し多様化しています。さまざまな攻撃からシステムを守るためには、システムの入口、出口、内部でそれぞれ対策を行う「多層防御」が効果的です。

具体的な対策を見る

 

インターネットバンキングを利用した不正送金被害が増加しています。こうしたリスクから利用者を守るためには、システムで対応策を講じるだけでなく、インターネットバンキング利用者を保護するための対策も重要です。

具体的な対策を見る

Webサイトの保護   クラウド環境の保護

オンライン銀行詐欺ツールやWebサイト改ざんなど、Webサイトを通じて、その利用者に被害を与えてしまうことも考えられます。利用者への働きかけはもちろんのこと、Webサイト自体のセキュリティ対策も重要です。

具体的な対策を見る

 

クラウドへの移行に漫然とした不安を抱える企業も多く、金融機関においても、それは変わらないといえるでしょう。しかしながらクラウド化によって享受できるメリットから、その管理手法に関する検討も進んでいます。

具体的な対策を見る


サイバー攻撃対策のポイント

FISCの「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」では、金融機関の態勢整備のあり方として、以下のように侵入を前提とした対策の必要性を述べています。

“(1)侵入を前提とした対策の重要性
最近は、特定の組織や個人を標的としたいわゆる標的型攻撃により、通常の業務を装い、メールやCD-ROM、USBメモリなどを介して、不正プログラムをパソコンに侵入させ、秘密裏かつ長期間にわたって情報の窃取を行うという、検知や防御が相対的に困難な手口が増えている。このように、サイバー攻撃の手口はますます巧妙化しているため、これを完全に防ぐのは難しい。 したがって、攻撃に関するリスクアセスメントを行い、攻撃の結果、システムが全面的にダウンし業務の継続が困難になるリスクを想定して、対応方針を明確にする必要がある。そのうえで、「入口対策」「内部対策」「出口対策」といった技術的対策や、サイバー攻撃を受けた際のインシデントレスポンス態勢やフォレンジックを充実する必要がある。”

公益財団法人 金融情報システムセンター「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書 Ⅲ金融機関が攻撃を受けることを想定した態勢整備のあり方 1総論」より抜粋

多層防御で金融機関内のシステム対策を実施

巧妙化するサイバー攻撃に対応し、システムを防御するために、従来からのファイアウォールやウイルス対策ソフトといった、ネットワークの「入口対策」だけではなく、侵入を前提とした「内部対策」や有事の際のインシデントレスポンス体制の準備が必要です。 また、昨今のメール攻撃は、取引先などを装い、複数回のメールのやりとりを経て不正ファイルをパスワード付き圧縮ファイルとして送ってくる「やりとり型攻撃」など、巧妙化が進んでおり、従来のゲートウェイ対策だけでは対策が難しい脅威も増加しています。

トレンドマイクロが提供するソリューション

トレンドマイクロでは、従来までの入口対策、出口対策はもちろんのこと、侵入をいち早く検知するための内部対策までをカバーする、サイバー攻撃・標的型攻撃対策ソリューションを提供しています。また製品の提供だけにとどまらず、セキュリティの観点から、システムアセスメントや運用のコンサルティングなど、包括的な支援が可能です。

入口対策・出口対策に効果的な製品

次世代メール攻撃対策製品
Deep Discovery™ Email Inspector

従来のメールセキュリティ製品では防ぐことが難しい脅威からお客さまの情報資産を守る、次世代メール攻撃対策製品です。

詳しくはこちら

様々なサーバ環境に合わせたセキュリティ対策を実現
Trend Micro Deep Security™

サーバが抱える課題を仮想・クラウド・物理環境において、トータルに解決する統合型サーバセキュリティ製品です。

詳しくはこちら


詳しくは「サイバー攻撃・標的型攻撃対策:入口対策と出口対策」をご覧ください。

内部対策に効果的な製品

多角的な脆弱性攻撃検出アプローチを持つレーダー
Deep Discovey™ Inspector

従来のウイルス検索エンジンのほか、通信のふるまいを分析するエンジンなど、合計4つのエンジンで脅威を検知する製品です。

詳しくはこちら

セキュリティの専門家を活用した変化する脅威への対応
トレンドマイクロ セキュリティエキスパートサービス™

「技術」「運用・統制」「情報」の3つの視点から支援しています。

詳しくはこちら


詳しくは「サイバー攻撃・標的型攻撃対策:内部対策」をご覧ください。

金融機関のクローズド環境のセキュリティ

スタンドアロン/クローズド環境向けウイルス検索・駆除ツール
Trend Micro Portable Security™ 2

インターネットに接続していない端末や、ウイルス対策ソフトを導入できない端末向けのUSBメモリ型ウイルス検索・駆除ツール。

詳しくはこちら

ロックダウンで不正プログラムの侵入・実行を防止
Trend Micro Safe Lock™

登録済のアプリケーションのみ実行を許可することで、不正プログラムの実行を防止します。

詳しくはこちら



インターネットバンキングの利用者側の保護

オンライン銀行詐欺ツールなどインターネットバンキングの利用者を狙う脅威が増加しています。FISCの「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」においても、以下のように金融機関から利用者側への働きかけの必要性が述べられています。

“(1)利用者側のセキュリティ向上
インターネットバンキング等のセキュリティ向上のためには、金融機関のみならず利用者側の対策も重要である。このため、利用者側に対策を講じてもらうべく金融機関として適切に働きかけを行っていくことが重要と考えられる。こうした働きかけを行う際には、各業態で統一的な対策を講じることが望ましい。”

公益財団法人 金融情報システムセンター「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書 Ⅳ 金融機関の利用者が攻撃を受けることを想定した態勢整備のあり方 1 インターネットバンキング等のセキュリティ」より抜粋

金融機関から利用者への注意喚起・サポート

インターネットバンキングにおけるセキュリティ対策は、金融機関だけでなく、利用者への注意喚起・サポートが重要なポイントとなります。利用者に対策を講じてもらうべく、金融機関はセキュリティ向上の啓発、利用者へのパソコン推奨環境の事前告知、不正対策プログラムの導入有無の事前告知、利用者へのリスク説明、システム的な対応策など、さまざまな面で適切に注意喚起・情報提供を行っていく必要があります。

しかしながら、金融機関が働きかけを行っても、問い合わせに応じない、金融機関が求めるセキュリティ対策を講じない利用者もいます。また、金融機関側においては、バンキングマルウェア(※)に感染の疑いのある、もしくは感染した利用者からの問い合わせに対応できない、専門的なセキュリティ動向の把握が難しいといった課題も抱えていると思われます。

※ バンキングマルウェアとは、インターネットバンキングの情報を盗むことに特化されたスパイウェアあるいはコンピューターウイルスのことを指しています。

利用者を保護するトレンドマイクロの製品・サービス

バンキングマルウェアの調査・駆除、およびセキュリティアドバイサリサービス

トレンドマイクロでは、インターネットバンキングの利用者保護サービスとして、バンキングマルウェアに感染した一般利用者の端末PCをリモートで調査・ウイルス駆除を行う「金融機関向けインターネット不正送金対策サービス」を提供しています。このサービスでは、前述の調査・駆除の他にも、一般利用者での対応状況およびバンキングマルウェアの脅威傾向、脆弱性情報などのセキュリティ情報をトレンドマイクロのセキュリティ対策アドバイザーが金融機関に報告・アドバイスします。 また、トレンドマイクロでは、一般利用者に安心してインターネットサービスを利用していただくために、「ウイルスバスター クラウド™」などのセキュリティソフトの提供や情報サイト「インターネットセキュリティナレッジ(is702)」を通じてセキュリティ情報を提供しています。

金融機関向けインターネット不正送金対策サービス

インターネットバンキング利用者向けの相談窓口(コールセンター)を設け、提携金融機関の利用者からの問い合わせに対応する、「金融機関向けインターネット不正送金対策サービス」を提供しています。

お問い合わせはこちら

ウイルスバスター クラウド

ウイルス対策だけにとどまらず、不正なWebサイトへのアクセス、個人情報やプライバシーの流出などさまざまなセキュリティリスクを未然に防ぐ総合セキュリティ対策ソフトです。

詳しくはこちら


インターネットセキュリティナレッジ(is702)

トレンドマイクロが運営するセキュリティ情報サイトです。スマートフォン、クラウド、フィッシング詐欺、ワンクリック詐欺、迷惑メールなどのセキュリティ対策、最新のセキュリティニュースを提供しています。

詳しくはこちら



攻撃手法や手口を理解し、適切な対策を

オンライン銀行詐欺ツールへの対策

オンライン銀行詐欺ツールは、オンライン銀行口座の不正操作のためにアカウント情報を詐取する不正プログラムです。攻撃者はオンライン銀行の利用者をスパムメールや、改ざんした正規サイトから不正サイトへ誘導して、オンライン銀行詐欺ツールに感染させます。その後、特定のオンライン銀行サイトへのアクセス時に、認証情報を促す偽の入力画面を表示させ、アカウント情報を搾取します。金融機関では不正ログインの試行にいち早く気づけるようにするため、システムログ、セキュリティログの監視が必要です。

脆弱性攻撃による正規Webサイト改ざんへの対策

脆弱性攻撃によるWebサイト改ざんは、Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。脆弱性の利用方法として、SQLインジェクション、Stored XSSなどの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つが考えられます。管理者側としては、Webサーバ上のOSやアプリケーションを常に最新の状態にする他、脆弱性への対策を行うことが求められます。また、Webサーバの「異常発生」にいち早く気づけるようにするため、Webサーバのシステム改変監視、各種システムログ、セキュリティログの取得、およびログ監視の強化を行うことも有効です。

トレンドマイクロが提供するソリューション

様々なサーバ環境に合わせたセキュリティ対策を実現
Trend Micro Deep Security™

サーバが抱える課題を仮想・クラウド・物理環境において、トータルに解決する統合型サーバセキュリティ製品です。

詳しくはこちら



クラウドサービス導入と管理手法

ビジネスの変化に柔軟に対応し、コストも抑えられるクラウドサービス。一方で、クラウドへの移行に漫然とした不安を抱える企業も多く、金融機関においても、それは変わらないといえるでしょう。しかしながらクラウド化によって享受できるメリットから、その管理手法に関する検討も進んでおり、金融機関においては、2014年11月4日に「金融機関におけるクラウド利用に関する有識者検討会報告書」がFISCから報告されています。そのなかでは守るべき情報の価値と、それに合わせた対策を行う管理手法(リスクベースアプローチの適用)について、以下のように述べられています。

"2.リスクベースアプローチの適用
(1)リスクベースアプローチの考え方
本報告書では、「リスクベースアプローチ」を以下のように捉える。
まず、クラウド利用の対象となる業務(システム処理を含む)について、システムの可用性とデータの機密性などの切り口をもとに、その特性や重要度を分析・把握する。そのうえで、重要度の高い業務についてクラウドを利用してシステム化する場合は、相応に厳格なリスク管理を実施することが求められるが、他方で相対的に重要度が低い業務においてクラウドを利用する場合は、その業務の特性や重要度に応じて簡易なリスク管理でもよいとするといった判断が可能となる。金融機関においてはこうした「リスクベースアプローチ」を適用し、経営判断のもと適切なリスク管理策を策定することが重要である。”

公益財団法人 金融情報システムセンター「金融機関におけるクラウド利用に関する有識者検討会報告書 Ⅱリスク管理に関する基本的な考え方」より抜粋

また有識者会議報告書結果を踏まえて、2015年6月29日に「金融機関等コンピュータシステムの安全対策基準・解説書8版追補改訂」がリリースされています。 クラウドサービスと「金融機関等コンピュータシステムの安全対策基準・解説書」の各項目について 調査・整理した資料も各社から提供されており、金融機関でのクラウド利用を後押ししています。

FISC基準の適合が可能なクラウドサービスと金融機関向けセキュリティレファレンス

Amazon Web Services

Amazon Web Services(以下、AWS)は、2011年には国内にデータセンターが開設され、データを国外に置けない、もしくは置きたくないという企業でも、安心して活用ができるようになっています。「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」は、「金融機関等コンピュータシステムの安全対策基準・解説書」第8版および第8版追補に対応した安全対策の指針です。

詳しくはこちら

Microsoft Azure/Office 365

Microsoft社のクラウドサービスであるMicrosoft AzureとOffice 365。「金融機関向け『Microsoft Azure』対応セキュリティリファレンス」ならび「金融機関向け『Office 365』対応セキュリティリファレンス」はMicrosoft AzureとOffice 365に関して、FISC安全対策基準の第8版追補改訂の各項目に対する対応状況を調査したものです。

詳しくはこちら


金融機関向けセキュリティレファレンスとは

金融業界におけるクラウドサービスの利活用促進を目的として、FISC安全対策基準の各項目に対して、対象とするクラウドサービスの対応状況を確認・整理した結果を、「金融機関向けセキュリティリファレンス」と呼んでいます。

エンタープライズ向け各国基準対応のクラウド利用セキュリティリファレンス

Amazon Web Services

第一弾としてMAS TRMガイドラインに対応。
グローバルにビジネスを展開する企業は、各国に設置した拠点で利用する、安全で高品質な情報システムを準備する必要があります。AWSなど、グローバルでサービスを提供するクラウドインフラを利用することで、その実現が容易となりましかし、それを利用する企業等は、各国の政府当局や業界団体が定める、セキュリティ確保やリスク管理に関するルールに対応する必要があります。

詳しくはこちら

トレンドマイクロが提供する製品・ソリューション

様々なサーバ環境に合わせたセキュリティ対策を実現
Trend Micro Deep Security™

サーバが抱える課題を仮想・クラウド・物理環境において、トータルに解決する統合型サーバセキュリティ製品です。

詳しくはこちら

パブリッククラウド導入時のセキュリティ対策

AWS、Microsoft Azureを中心としたクラウド環境でのシステム構築を安心して行うためのポイント、および各クラウド環境とトレンドマイクロ製品の連携についてご紹介します。

詳しくはこちら

本ソリューションの内容や製品のお問い合わせ 


資料

国内金融業界のセキュリティリスクと求められる内部対策

今日の金融機関にとって最も警戒すべきサイバー攻撃は、標的型に類する攻撃です。この種の攻撃は、手口をさまざまに変化させながら、標的とする組織に執拗に攻撃をしかけてきます。従来型の出口・入口対策やウイルス対策だけでは、その攻撃を防ぎ切ることは難しく、また、侵入した脅威は組織内での活動を巧みに隠ぺいするため、「気づかれにくい」といった特性があります。そこで重要になるのが、ネットワーク全体の“可視化”によって、社内のシステムで今、何が起きているかを把握することです。

資料ダウンロードはこちら

金融業界、官民一体で今すぐ取り組むべきサイバーセキュリティ対策

国内金融業界におけるサイバーセキュリティ対策の強化に向けて、金融庁が取り組みの速力を上げています。2015年4月には、国内金融機関のサイバーセキュリティ対策強化を一つの柱とする監督指針改正を行い、 同年7月には、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を発表、9月には「金融行政方針」を打ち出し、その中でも7月発表の方針に基づく金融行政を推進していくことを改めて明示しました。 これら一連の動きの中で、金融庁が目指しているのは官民一体の対策強化です。

資料ダウンロードはこちら

お問い合わせ・連絡先

フォームでのお問い合わせ

フォームでのお問い合わせはこちら

お問い合わせ窓口

金融営業グループ:03-5334-3605
月曜日~金曜日の9:00 ~ 12:00、13:00 ~ 18:00
(ただし祝祭日および、その振替日を除きます)
〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー