サイバーリスクの高まり
パンデミックの影響で、情報セキュリティやサイバーセキュリティのリスクが高まり、金融業界は他の業界よりも「比較的頻繁に」サイバー攻撃を受けていると言われています。その一例として、攻撃に関するデータでは、在宅勤務の普及率と2020年2月末から6月までの間のサイバー攻撃の発生率との間に強い関連性があることが指摘されています。決済企業、保険会社、信用組合は「特に影響を受けた」とされています。
2021年1月、国際決済銀行(BIS)は、パンデミックによって生じた課題に金融セクターがどのように対応しているか、初期調査結果をまとめた報告書を発行し、サイバーリスクに関しても言及しています。この報告書では、新たなデータを用いて、パンデミックによってもたらされた金融機関の脅威の変化を示しており、まだ大きな混乱や組織的な影響には至っていないものの、今後、サイバー攻撃は、金融機関やその職員、顧客にとって、大きなリスクになるとしています。
新たなサイバー攻撃の傾向
金融機関は、パンデミックの前からすでにサイバー攻撃の格好の標的となっていました。2020年12月、国際通貨基金(IMF)は、サイバー攻撃の件数が過去10年間で3倍に増加しており、最も被害を受けているのは金融サービス業であると発表し、BISも金融業界に対するサイバー攻撃の増加に対して改めて懸念を示しています。攻撃者は、より安価でシンプルかつ強力なハッキングツールを利用できるようになり、また、モバイルバンキングサービスの普及により、サイバー攻撃の機会が急速に拡大しています。
このような要因が重なり、大手金融機関、あるいは多くの金融機関が利用している基幹システムやサービスへの攻撃が成功すると、金融システム全体に波及し、事業の継続性や評判、極端な場合には金融流通や金融の安定性に影響を及ぼす可能性も出てきます。
もう一つの要因として、ネットワークを利用した金融犯罪が挙げられます。金融活動作業部会(FATF)の2020年12月報告書によると、パンデミックによる個人、企業、政府の活動の変化が、ネットワークを利用した犯罪の急増につながり、犯罪者がその収益をロンダリングする新たな機会を助長したと指摘しています。
対応の重要性
世界がパンデミックから立ち直り始めた今、情報とサイバーセキュリティは常に取締役会で重要な議題として認識されるべきでしょう。アメリカのコロニアル・パイプラン社へのサイバー攻撃は、たった1つのパスワードの漏洩が原因であったと報告されており、サイバーセキュリティ対応の必要性を物語っています。
すべての企業がオンラインでの攻撃にさらされているなかで、金融サービス企業の経営陣の関心事である業務の回復力と顧客満足度の向上は、サイバーセキュリティ対策の失敗によって脅威にさらされることになります。
サイバー攻撃がもたらす課題は、世界的なものです。2021年4月のロイター・ニュースメーカーで、欧州中央銀行(ECB)のクリスティーヌ・ラガルド議長は、「経済の最大の脅威はサイバー攻撃である」と述べており、オーストラリア健全性規制庁のウェイン・バイヤーズ議長もオーストラリア経済開発委員会で同じ指摘をしています。
「GCRA(ガバナンス、文化、報酬、説明責任)や気候変動リスクの問題とは異なり、サイバーリスクは、損害を与えることを目的として悪意と適応力を持った敵対者によって引き起こされる損害です。竜巻や山火事などの自然災害は壊滅的な被害をもたらしますが、誰かが故意に起こしているわけではありません」
規制対応
規制対応の一環として、2021年10月に欧州保険・職業年金機構(EIOPA)は、サイバーリスクの保険業界への影響に関して最新情報を発表し、サイバーリスクが、金融業界および経済全体に対する最大のリスクと考えられていると指摘しました。そして、「事業者がさらされているICTリスクの種類は過去数年間変わっていないが、サイバー犯罪の頻度や金融機関への影響の大きさは増加している」と報告しています。この問題は、欧州監督当局が発表した「EUの金融システムにおけるリスクと脆弱性に関する共同報告書」でも強調されています。
2021年10月には、ドイツ連邦金融監督局(BaFin)が金融機関のITに関する監督要件として「BAIT」の改定版(原文はドイツ語のみ)を発表しました。その中で、BaFinは根本的に新しい要件を課すのではなく、既存の要件を明確にしたうえで、安全な情報処理と情報技術対する全体的な条件を示しました。
大きな変更はなかったものの、BAITのなかで新たに詳細な説明が加わり、適応された部分があります。例えば、新設された「業務上の情報セキュリティ」の章では、ギャップ分析、脆弱性スキャン、侵入テスト、模擬攻撃など、効果的かつ持続可能な情報セキュリティ管理システムに不可欠な項目が含まれています。
BaFinは、単に「ITセキュリティ」から「情報セキュリティ」へと要件を拡大することで、サイバーおよび情報セキュリティの責任を取締役会に課しています。ITセキュリティは従来、情報技術の分野に限定されていましたが、情報セキュリティは、情報の形態を問わず、関連する情報を保護することを目的としています。したがって、情報セキュリティは、情報処理に関連するすべてのものを含みます。
情報セキュリティと情報リスクマネジメントの観点から、関係するビジネスプロセスが組織全体に浸透していなければならず、また、IT運用やアプリケーション開発だけに適切なリソースを提供するだけでは不十分であることがより明確になりました。
サイバー脅威の複雑さを踏まえ、企業が外部および内部の脅威と脆弱性について常に情報を把握し、リスク分析とリスク状況の変化について経営陣に報告することがいかに重要であるかをBAITは強調しています。
三種の神器:ガイダンス、ツールキット、スキルアップ
企業や取締役会にとって、サイバーセキュリティや情報セキュリティのリスクに関する情報源やリソースは数多くあります。その中でも 最も包括的なものの一つが、英国の国立サイバーセキュリティ・センター(NCSC)であり、取締役会のためにサイバーセキュリティ・ガイダンスと実践的なツールキットを開発しました。ツールキットの一部として、NCSCは、取締役会の議題として以下の4つの項目を定期的に確認することを提案しています。
1. サイバーセキュリティが個人および集団の責任にどのように影響するかを理解しているか?
2. サイバーセキュリティに対する組織のアプローチが効果的であることを、どのようにして確認するか?
3. 現在、誰がサイバーセキュリティに責任を持っているか?
4. サイバー・リスクがビジネス・リスクと統合されていることを保証するプロセスがあるか?
サイバーセキュリティ対策の強化
情報セキュリティとサイバーセキュリティは、以前から非常に現実的なリスクでしたが、パンデミックとそれに伴うデジタルトランスフォーメーションによって、そのリスクは増幅し続けています。企業経営者は、サイバーセキュリティと情報セキュリティのリスクを特定、管理し、可能な限りそのリスクを排除する必要があります。すぐにでも取締役会が検討するリスクの範囲に、情報セキュリティとサイバーリスクが明示的に含まれていることを確認すべきでしょう。
また、経営陣は、会社全体にサイバー・レジリエンスを定着させるために個々の社員が必要な行動について議論できるようにしなければなりません。そして新たな規制に確実に対応するために、何らかの新たなテクノロジーに投資する必要がでてくるでしょう。
トムソン・ロイターのコンプライアンスラーニングは実践的でインタラクティブかつ、コスト効率の高いオンライン・トレーニングです。当社の市場対応型コースは、複数のプラットフォームからアクセスでき、いつでもどこからでも主要なトレーニングを受けられます。