銀行がサイバー セキュリティを強化 – 新フレームワークCBESTが意味するものとは

Banks stepping up cyber security

ガイ・バンカー博士

英国銀行協会(BBA)が火曜日に開催したサミットをうけて、イングランド銀行(英中央銀行)は貸し手側の弱点を発見し、テストするため、増え続けるサイバーハッキング問題に対処する新たなフレームワークを発表しました。サイバーセキュリティが業界の主要な問題として位置付けられたことで、英国銀行協会(BBA)はサイバー セキュリティがIT部門のかかえる一問題から経済の最前線の問題として脚光を浴びることになりました。

新しいフレームワークはCBESTと呼ばれ、政府が提供する情報と入念に調べたコマーシャルソースを使って潜在的な攻撃者を突き止めるとイングランド銀行は声明で述べています。そして、ハッカーが使用したテクニックを複製し、企業への攻撃がどれくらい効果があるかのテストを考案し、攻撃に対抗するに十分な耐性があるかどうかを検証します。これには、「馬が逃げ出した後に、ドアを固く閉める」ようなものであり、もっと革新的な攻撃方法があるに違いない、主張する方もいるでしょう。しかしながら、既知の方法から始めて、さらに思いがけない方法を思いつく前にハッカーを身構えさせることは良いことです。

これは特別な問題ではありません。銀行がサイバーセキュリティ対策を補強するのは我々の経済にとって絶対に必要なことなのです。あらゆるリスクに対応する能力によって企業は評価されますが、そのリスクにはサイバー上のリスクも含まれているのです。King & Wood Mallesons SJ Berwinの投資情報サービス弁護士であるアンドリュー・ウィングフィールド氏が今週初めに行われたサミットの場で出したメッセージはこれを証明するものです。「こうした攻撃への英国の対処能力が、投資と、投資情報サービスの世界的なリーダーとしてのポジションという観点で世界でどのように認識されるかを決めるのです。」

弊社の最高経営責任者ヒース・デイビスが5月初めにブログthe importance of cyber security in mergers and acquisitionsでとりあげているように、「サイバーセキュリティの穴はあらゆる産業の企業にとって金銭的にも、評判の上でも破滅的な損失につながります。M&A最中に価値あるデータが失われるリスクから、(サイバー セキュリティ リスクを恐れての)顧客の流出、データ保護規制遵守に違反した場合の英国政府機関Information Commissioner's Office(ICO)に支払わなければならない莫大な罰金まで、こうしたリスクは企業の将来や評価に重大で直接的なインパクトをおよぼす可能性があるのです。」

サイバー セキュリティの追加 – そして、その結果起こった主要な変化、これはサイバーセキュリティは単にテクノロジーの専門家だけの問題ではないという事実を証明しています。サイバーセキュリティは重要な問題であり、関係者すべてが意識すべき問題であります。

銀行は経済に欠かせない存在であり、サイバー攻撃は最大のリスクのひとつであることから、今回の発表は銀行のセキュリティ強化プランをフォローするものです。12月にはロイヤル・バンク・オブ・スコットランドがハッカーから短時間の攻撃を受け、顧客口座へのアクセスを試みられたと発表しました。Operation Waking Shark 2 作戦に関してのSC Magazine誌への私の寄稿で触れましたように、バリューチェイン(価値連鎖)の重大さは計り知れないものがあります。

金融サービスの業界外の方にとっても、サイバー攻撃の影響に目を向けることにはメリットがあります。Walking Shark 2 作戦に従って完璧なサイバー攻撃シナリオが実行されているのに、サイバーをディザスタリカバリーやビジネス継続性プログラムの一部としてとらえるのがよいだろうか、などと考えることは実際的ではないように思います。ほとんどの場合、シナリオがとことん考え抜かれ、それに対応するチームや最初に取るべき行動といったものを理解すれば、シミュレーションされた攻撃全体の80%にまで到達するのです。悪意を持ったインサイダーによるものか、外部のハッカーなのか、あるいはDDoS攻撃でさえも、本プロセスへインプット出来そうな例はマスコミにいくらでもあります。

残念なことに、これは「もし起きたら」ではなく、もはや「いつ起きるか」の問題です。英国銀行協会が認識し、協会に所属する銀行にも対処を期待している問題なのです。