みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助：ITmedia Security Week 2024 冬

2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当（グループCO-CISO）寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。

[宮田健，＠IT]

　この基調講演は、組織の“かたち”によって変わる“本当に必要なセキュリティ対策”の姿について、＠IT編集部が聞き手となってみずほフィナンシャルグループのグループCO-CISO（情報セキュリティ共同担当）に伺う公開インタビューだ。DX（デジタルトランスフォーメーション）戦略、フレームワークに基づいた具体的なセキュリティ対策、そして教育・共助を含め、セキュリティの見え方と探り方の“いま”を掘り下げる講演となった。

みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当（グループCO-CISO） 寺井理氏（右上）と聞き手：＠IT編集部 宮田健（右下）

サイバー空間から見る、金融機関が置かれた現状

　みずほフィナンシャルグループのCO-CISOとして活躍する寺井氏は、これまで旧3行システム統合プロジェクトに携わっただけでなく、野村総合研究所やみずほ証券においてITインフラの導入などを経験し、みずほフィナンシャルグループのサイバーセキュリティ統括部署でも活躍してきた、現場を知る立場の重要人物だ。

　もはやサイバー攻撃は業種、業態によらない部分も多く、金融系企業も例外ではない。被害が発生した場合、金融機関では「金銭」そのものが奪われてしまう。そのため、脅威の把握や認識について、他業種でも参考になるだろう。

　寺井氏はまず、セキュリティの重要性を訴えるためにDX戦略から語った。みずほフィナンシャルグループでもDXを推し進めており、さまざまな機能を追加するとともに、外部とのアライアンスを基に新たなビジネスを創出しようと動いている。

　「DXを進めていくと、お客さまとサイバー空間でどのようにつながるかがポイントになる。サイバー空間での接点増加によって、“DX with サイバーセキュリティ”の重要性がさらに高まると考えている」（寺井氏）

　寺井氏は、DXを金融サービスに当てはめて考える。これまで行ってきた物理的な、ATMや店頭でのサービスが減少傾向となると同時に、Webやアプリを活用したサービスや、チャットなどによるリモート対応といったデジタル化がさらに増えるだろうと見立てている。

　一方、金融機関を狙うサイバー攻撃は激化しており、セキュリティ対策は重要性を増している。脅威として考えるべきものは非常に多く、かつ増えているというのが寺井氏の実感だ。クラウドのセキュリティに課題がある上に、従来あるDDoS攻撃や標的型攻撃だけでなく外部委託先や提携事業者も狙われて情報が窃取されるといったサードパーティーのリスク、いわゆる「サプライチェーン攻撃」が無視できない。

　加えて、金融機関では不正送金の問題もある。2024年1月に不正送金について金融庁が注意喚起しているように、被害額が増大して過去に例を見ないほどの被害件数が出ている状況だ。「金融機関全体が力を合わせて対策していく必要がある」（寺井氏）

　この現状を変えるにどうすればいいのだろうか。

みずほフィナンシャルグループは「フレームワーク」で取り組む

　みずほフィナンシャルグループでは、グローバルスタンダードといえるNIST（米国国立標準技術研究所）の「Cybersecurity Framework」で提示されている、「特定」「防御」「検知」「対応」「復旧」の5分類を基にセキュリティ対策を考えているという。さらに、みずほフィナンシャルグループには「ガバナンス」を加え、6つの枠組みから対策を洗い出し、推し進めている。

　NISTのフレームワークは、本講演直前の2024年2月26日にバージョン2.0が正式にリリースされたが、その中にはガバナンスに関する項目が加えられた形で円の中心に置かれており、みずほフィナンシャルグループはその内容を先取りした形でセキュリティ対策を進めている。

　各分類における、みずほフィナンシャルグループでの具体的な対策を寺井氏は紹介する。

特定：構成管理と脆弱性スキャンを“自動化”

　「特定」では、構成管理と脆弱（ぜいじゃく）性スキャンで対応を進める。従来は外部からの脆弱性情報を基にサイバー所管部が各部に“通達”するだけだったが、各部署の手間もかかる上にチェック漏れをカバーできない課題が残っていた。これに対して新たにCMDB（構成管理データベース）を整備し、収集した構成情報を脆弱性スキャンツールのスキャン結果とひも付けながら対策を指示する方式を採用する。これによって、対策状況をダッシュボードで把握できるようになるだけでなく、ツールによるスキャンなので正確で抜け漏れがないというメリットが得られた。

特定：脅威ベース侵入テスト（TLTP）の実施

　もう1つの「特定」部分の対策として、寺井氏はTLPT（Threat-Led Penetration Testing）の導入を紹介する。

　レッドチーム／ブルーチームを構成してTLPTを実施することで侵入や改ざんの状況、検知の可否を検証したり、防御側の検知能力、サイバーレジリエンスを評価したりすることができる。ここで発見された気付きはグループおよびグローバルで横展開する。

　「構成管理と脆弱性スキャンで脆弱性をつぶしたとしても、いろいろな脅威に応じてシステムに侵入できるかもしれないという懸念がある。みずほフィナンシャルグループとして考えられる脅威を洗い出した上で、侵入され情報を奪われる可能性を確認するものだ」（寺井氏）

防御／対応：社内啓発やアウェアネスでカバー

　「防御」では、脆弱性対応やパッチ管理、特権ID管理などの一般的な対策に加え、人材育成もセキュリティ対策の一つとしている。「サイバーセキュリティは特別なもので一般の従業員には関係がないと思われていた部分もある。それではいけないと、さまざまなチャネルを使って情報を発信している」（寺井氏）

　全従業員に向けてサイバー脅威に関するニュースを発信するだけでなく、役員や経営層向けにも隔週でレポートを発信。その内容を、後述する金融ISAC（Information Sharing and Analysis Center）を通じて金融機関各社とも共有している。

　「対応」では演習や各種研修プログラムを活用し、知識のインプットだけでなく本番に近いシナリオを用いた訓練や、シナリオに応じた網羅的な演習などを積極的に活用している。

　「やってみるとさまざまな気付きが出てくる。大事なのは、単なるイベントに終わらせず、そこで出てきたことを自分たちの中で振り返って気付いた点をブラッシュアップし、その成果をさらに反映させていくことだ」（寺井氏）

ガバナンス：サードパーティーリスクをどう管理するか

　「ガバナンス」では、サードパーティー（外部委託先）のリスク、つまり「サプライチェーンリスク」をどう管理し、対策していくかに注目する。金融機関に限らず、DX推進で増えていくサードパーティーに関連するサイバー事案を把握、対応するために、みずほフィナンシャルグループではガバナンスを強化している。もはや、〈みずほ〉だけを強固にするだけでは足りないのだ。

　寺井氏は、ガバナンスの取り組みを3つ挙げる。

　1つ目は「サードパーティーリスク管理の強化」。従来の施策に加え、クラウドを含む外部委託先を評価する上でのチェック項目を拡充している。

　その中でも特に重要な委託先に関して行うのが、2つ目の「サイバーセキュリティ対策の強化」だ。これは特定の委託先に対し、共同訓練やオンサイトでの確認、サイバー関連条項の契約追加などを要請し、サプライチェーン全体でのセキュリティ強化を狙う。

　3つ目は「サプライチェーン攻撃対策の強化」だ。インターネットを接続している箇所において、さらなるセキュリティ対策状況を点検し、対策する。これは、日本でも大きく報道された、大阪急性期・総合医療センターの事例でも発生した、委託先から侵入された事例を想定してのものだ。

　「金融機関も、これまでもインターネットとの接点はていねいに点検してきたが、専用線で接続しているところは劣後していた。接続先がどうなっているかを確認し、対策を進めている」（寺井氏）

〈みずほ〉のセキュリティを形作る「人」の体制は

　寺井氏はこれらのフレームワークを、組織に属する「人」にどう浸透させているのだろうか。

　みずほフィナンシャルグループではグループCIO（Chief Information Officer）/グループCRO（Chief Risk Officer）の直下にグループCISO（情報セキュリティ担当）／共同CISOが存在しており、グループの複数の会社にまたがって兼務している。このため「グループとしての対策の整合性が取りやすい」と寺井氏は話す。みずほフィナンシャルグループは銀行、信託銀行、証券会社など多岐にわたる会社が存在しており、さらに関係子会社が国内外に置かれている。

　「サイバーセキュリティの対策そのものだけでなく、対応の方向性を伝えることは難しいが、方向性がずれないような体制になっている」（寺井氏）

　加えて、多くの企業ではサイバーセキュリティ人材の確保に苦しんでいる。これはみずほフィナンシャルグループでも例外ではなく、人材を増やす施策を重ねてはいる。だが、無限に増やせるわけではないので、寺井氏はグループ会社間でのサイバー人材の“共有”も進めている。

　「外部に委託できない部分は個社でバラバラに対応するのではなく、どうグループとして対応するかを考えている」（寺井氏）

変化の激しい世界で考えたいこと

　寺井氏は、最後にまとめとしてサイバーセキュリティにおけるポイントを挙げた。

　「人材の確保は極めて重要。サイバーセキュリティの業務は、〈みずほ〉のため、〈みずほ〉のお客さまのためだけでなく、『社会や、極端に言えば世界のためになっている』と私は思っている。そういったやりがいをちゃんと伝えていくことも必要だ」（寺井氏）

　加えて寺井氏は「自社だけでは限界がある」と正直に述べる。同じような悩みを持つコミュニティーを“共助”として位置付け、取り組みを共有してアドバイスし合うことを勧める。例えば金融業界では「金融ISAC」がコミュニティーとして存在しており、寺井氏をはじめ多くの金融機関におけるサイバーセキュリティ専門家がメンバーとして活躍している。

　「各業種でもISACが発足されているので、ぜひ活用していただきたい」（寺井氏）