金融庁ガイドライン改定ポイント　侵入を前提としたセキュリティ対策「入口・内部・出口での多層防御」...

⾦融庁ガイドラインの改定ポイントと侵⼊される事を前提とした対策の必要性について

ネットスカウト・システムズ・ジャパン株式会社

©2015 NetScout Systems, Inc. All rights reserved.

⾦融庁ガイドラインの改定ポイントと

侵⼊される事を前提とした対策の必要性について

2015 年 7 ⽉ 24 ⽇


シニアセールスエンジニア

宮澤巧

⾦融庁ガイドライン改定にある背景昨年 6 ⽉に発覚した教育サービス企業⼤⼿による数千万件に及ぶ個⼈情報漏洩やその 3 ヶ⽉後の

9 ⽉に発覚した運送業⼤⼿による（※当初数⼗万件と予想されるも）数千件の個⼈情報漏洩など、2014 年

を振り返ると、外部からの不正アクセスによる被害だけでなく、業務委託先も含めた内部関係者による情

報漏洩事件が⽬⽴った 1 年ではなかったでしょうか？

情報セキュリティ 10 ⼤脅威

出典：情報処理推進機構（IPA） 2015 年




情報処理推進機構（IPA）が今年 2 ⽉に発表した情報セキュリティ 10 ⼤脅威によると 1 位がイン

ターネットバンキングやクレジットカード情報の不正利⽤、2 位が内部不正による情報漏洩、3 位が標的

型攻撃による諜報活動となっており、これらの事件が氷⼭の⼀⾓であり、如何に数が多かったが伺えます。

インターネットバンキングに係る不正送⾦事犯の発⽣状況等について

出典：警察庁 2015 年

また、同じく今年 2 ⽉に警察庁が発表した広報資料によると、インターネットバンキングに係る

不正送⾦被害件数はこの 2 年で約 30 倍に、被害総額については約 60 倍に増えています。

出典：⾦融庁 2015 年

これらを背景に、⾦融機関においても情報セキュリティ管理体制のあり⽅について⾒直しが求めら

れた反省を踏まえ、今年 2 ⽉に⾦融庁より「⾦融検査マニュアル」および「監督指針」の⼀部改正が公表

され、パブリックコメントを反映し、今年 4 ⽉より適⽤が開始されました。




⾦融庁ガイドラインの改定ポイント「検査マニュアル」については業種別に「⾦融検査マニュアル」と「保険検査マニュアル」が有り、

「監督指針」についても「主要⾏等」「中⼩・地域⾦融機関」「保険会社」「⾦融証券取引業者」等業種

別に分かれていて、ほぼ同様の改正が⾏われております。

⾦融庁ガイドラインの改定ポイント改定ポイント概要

情報セキュリティ管理外部委託先社員等によるカード偽造・不正出⾦事案等を踏まえ、顧客に関する情報の厳格な管理体制

や外部委託先に対する適切な管理体制について、監督上の着眼点として明確化

サイバーセキュリティ管理 2015 年 1 ⽉のサイバーセキュリティ基本法の施⾏を踏まえ、⾦融機関が重要インフラ事業者等であ

ることなどから、サイバーセキュリティ管理体制の整備状況について、監督上の着眼点として明確化

インターネットバンキングインターネットバンキングに係る犯罪⼿⼝が⾼度化・巧妙化していること等を踏まえ、預⾦等取扱⾦

融機関におけるセキュリティ対策や顧客への対応について、監督上の着眼点として明確化

何れもシステムリスク管理に関するものですが、「情報セキュリティ管理」が“既存の枠組み”の強

化を促す⼀⽅、「サイバーセキュリティ管理」と「インターネットバンキング」は深刻化するサイバー攻

撃に対する“新しい枠組み”を要求している点が重要な改定ポイントとなります。

尚、サイバー攻撃に対する監視体制については CSIRT を設置する事としてガイドラインでは⾔及

されていますが、本ドキュメントでは詳細は割愛します。

では“新しい枠組み”とは何でしょうか？「検査マニュアル」と「監督指針」を読み解くと“多層

防御”という表現が使われています。情報通信推進機構（IPA）によると、

“多層防御” ＝「特定のセキュリティ対策製品を導⼊しただけでは被害を防ぐことができない

場合があるとし、ウイルス感染予防だけでなく、感染してしまうことを想定した

上で、感染後の被害低減のために複数の対策を多層で⾏う事」とあります。

では「特定のセキュリティ対策製品」とは何でしょうか？




多層防御における主なセキュリティ対策と適⽤箇所主なセキュリティ対策と特定のセキュリティ対策製品の特徴

対策説明特定のセキュリティ対策製品

⼊⼝対策攻撃者の侵⼊を防ぐ為の対策ファイアウオール・ウイルス対策・スパム対策・マルウエア対策・IPS・WAF

サンドボックス

内部対策深く⼊りこまれない為の対策特権 ID の管理・ログ分析・DLP

出⼝対策情報を持ちだされない為の対策ファイアウオール・IPS・プロキシーサーバー

特定のセキュリティ対策製品の適⽤箇所

このように、特定のセキュリティ対策製品を多層に⽤いる事で防御をより強固にする事が出来ます。

しかしながら果たして本当にこれで万全なのでしょうか？報告によると、情報漏洩があった企業の多く

がこれらの対策を既に講じていたにも関わらず、内部不正⼜は標的型攻撃による諜報活動によって情報漏

洩が発⽣しました。




⼊⼝対策・内部対策・出⼝対策の問題点と対策内部対策の問題点は⼀旦侵⼊されてしまうと無策になるという点に尽きます。これは、標的型の

マルウエアに⾼度な隠蔽⼯作が施されているからで、攻撃者は侵⼊後特権 ID を取得し、機密データにアク

セスをしイベントログを消去します。イベントログを消去されたら当然ログ分析は出来ませんので内部

対策も万全ではありません。また、攻撃者が機密データを外部に持ち出す場合、トンネリングされた通

信は通常の通信と遜⾊がなく、検知をする事は困難です。

多層防御に⽋けているのは侵⼊され、ログが消去された状態でもトンネリングされた通信を含む全

ての通信証跡を収集・分析・管理する仕組みです。全て、という部分が重要で、「○⽉○⽇○時○分に

〇〇というユーザーが〇〇というサーバーから〇〇というファイルを○件ダウンロードした」という情報

はパケットデータからのみ知り得る事が出来ます。仮想化によりブラックボックス化するサーバー環境、

広帯域化するネットワーク、そして IoE/IoT の発達により今後さまざまな機器がネットワークに接続され

る中で、如何にして横断的かつ効率的にパケットデータを収集・分析・管理するかが重要となります。

導⼊イメージ




専⽤パケットキャプチャアプライアンスにおける通信証跡の異常検出例

据え置き型となる専⽤パケットキャプチャアプライアンスでは 24 時間 365 ⽇、全ての通信証跡

を収集可能です。 ①任意の時間帯を指定すれば、その時間帯に絞った形で通信証跡を⾒える化します。

②エキスパート解析機能を⽤いれば、セッション単位の TCP フラグの分析やトランザクション単位のアプ

リケーションエラーの分析など、レイヤー単位で通信の異常を⾒える化します。 ③パケット解析機能を

⽤いれば、任意のトランザクションにおいて○○というファイルがダウンロードされたという特定も可能

です。

専⽤パケットキャプチャアプライアンスを⽤いることで、ログが消去された状態でもトンネリング

された通信を含む全ての通信証跡を収集・分析・管理する事が可能になります。




まとめ

サイバー攻撃による脅威が深刻化する中で⾦融庁ガイドラインも改正され、⼀般企業だけでなく⾦

融機関においてもサイバーセキュリティー管理体勢の構築が求められています。「サイバーセキュリテ

ィ管理」と「インターネットバンキング」に対抗する新しい枠組みとしては、⼊⼝対策、内部対策、出⼝

対策といった⼀般的な多層防御だけではなく、侵⼊される事を前提とした対策が不可⽋で、それは専⽤パ

ケットキャプチャアプライアンスを⽤いた通信証跡の収集・分析・管理に他なりません。

ネットスカウト・システムズは1984年の創業から30年、⼀貫してパケットキャプチャ⽅式を⽤い

た通信証跡管理製品の開発・販売に取り組んできたリーディングカンパニーです。世界中の主要⾦融グ

ループ並びに証券取引所への豊富な導⼊実績を元に最適なソリューションをご提供致します。


〒105-6027 東京都港区⻁ノ⾨4-3-1 城⼭トラストタワー27F

TEL: 03-5403-4826

FAX: 03-5403-4646

http://www.netscout.com/

mailto:[email protected]




会社概要

金融庁ガイドライン改定ポイント 侵入を前提としたセキュリティ対策「入口・内部・出口での多層防御」...

Technology

金融庁ガイドライン改定ポイント　侵入を前提としたセキュリティ対策「入口・内部・出口での多層防御」...