「侵害は社外で始まる」 クラウドや取引先に“潜伏する”脅威と、求められるセキュリティ再設計：金融業で考えるサプライチェーンのリスク管理（3）

企業を取り巻くサイバーリスクは、もはや単一のシステムや自組織内の統制を考えるだけでは不十分です。クラウドやAPI連携、生成AIの活用が前提となった今、サプライチェーン全体を視野に入れたレジリエンス強化を考える必要があります。

[藤本 大（SecurityScorecard）, 編集：遠藤文康，＠IT]

　事業運営におけるセキュリティは、もはや単体のシステムや自社内の統制だけでは語れない時代になりました。業界を問わずサイバーリスクの質は根本から変わりつつありますが、特にそうした変化の影響が大きく出るのが金融業界です。クラウドサービス、API（アプリケーションプログラミングインタフェース）連携は、もはや金融業界においては先進的な取り組みではなく、業務インフラの前提条件となっています。生成AI（人工知能）の活用も進んでいます。攻撃対象となる範囲は拡大し、金融機関はより複雑で連鎖的なサイバーリスクに直面しています。

1．2026年、金融業界のセキュリティ環境

　FinTech企業が展開するサービスとの連携に加え、外部委託先やクラウドベンダー、ソフトウェアサプライヤーといった外部パートナーとの協力など、金融機関は組織外との接点を常に持つようになりました。事業展開において至るところにリスクが内包される構造が定着しているのです。過去数年間に発生したDDoS（分散型サービス拒否）攻撃や、サードパーティー経由の侵害事例は、単発のインシデントではなく、金融業界における“構造的リスク”として認識されるようになっています。

　さらに、世界各国が規制を強化し、継続的なモニタリングと説明責任を重視する姿勢を明確にしており、インシデントが発生した場合の迅速な把握と適切な対応も重要視されるようになっています。こうした環境下においては、侵入を防ぐことを前提とした防御中心の「守りのセキュリティ」から、「影響を最小化し、速やかに復旧する」ことを前提としたセキュリティ戦略への転換が求められています。

2．サプライチェーンリスクと進化する脅威

　サプライチェーン攻撃は、2026年においても金融業界にとって最も深刻な脅威の一つです。攻撃者は、金融機関そのものではなく、取引関係にあるベンダーやソフトウェアサプライヤーのネットワーク、オープンソースソフトウェア（OSS）、クラウドサービス、取引先の脆弱（ぜいじゃく）なシステムなどを起点に侵入を試みます。その攻撃の特徴は、侵害が開発・運用の早い段階で試みられ、長期間検知されないまま潜伏する点です。外部サービスやSaaS（Software as a Service）への依存が高まるほど、こうした“見えない侵害”の影響範囲は拡大していきます。

　AIは攻撃・防御の双方において不可欠な存在になってきています。攻撃者はAIを用いて、標的型フィッシング、認証突破、偵察活動を自動化し、従来の検知ルールを回避します。

　特に、注意すべき脅威は以下の通りです。

• Nthパーティーまで波及する多層的サプライチェーン侵害
• AIを用いた高度にパーソナライズされたフィッシング
• QRコードを起点とする多段階詐欺
• ディープフェイクによる経営層・取引先を狙った詐称

　これらの攻撃は社内統制だけでは防ぎ切れません。エコシステム全体を対象にしてリスクを認識することが不可欠です。

3．2026年に求められる金融機関のサイバーセキュリティ戦略

ゼロトラストの「概念」から「運用」への移行

　金融機関は価値のあるデータを保管し、経済活動を支えているため、今後もサイバー攻撃の標的となり得ます。多国籍銀行からFinTechのスタートアップに至るまで、攻撃者はサードパーティーの脆弱性、パッチ未適用のインフラ、クラウドの設定ミスなどを悪用して金融ネットワークに侵入を試みます。

　昨今、ゼロトラストに関する議論は、「導入するか否か」という段階を越えており、焦点となるのは、ゼロトラストの考え方をいかに業務プロセスや日常の運用に組み込み、継続的に機能させるかという点です。ユーザーや端末、アプリケーション、データといった単位ごとにアクセスを検証し、常に正当性を確認する「常時検証」を前提とした運用は、多拠点・マルチクラウド環境が当たり前になった金融機関において不可欠になっています。

　特に重要なのは、ID管理やアクセス制御を単なる技術導入にとどめず、業務の変化や組織構造の更新に合わせて動的に見直す運用体制を確立することです。これにより、内部不正やアカウント侵害、委託先からの波及といったリスクを最小限に抑えることが可能になります。

サプライチェーン全体を前提とした連携強化

　サプライチェーン上のリスクへの対応において現実的なアプローチとなるのが、リスクベースによる優先順位付けと連携強化です。全てのベンダーを同一の基準で管理する方法は、もはや持続可能ではありません。事業への影響度やシステム依存度に応じてリスクを評価し、重要度の高いベンダーにはより厳格な管理と監視を行うことが求められます。

　その際、単に評価結果を取得するだけでなく、セキュリティガイドラインの共有、脆弱性情報やインシデント発生時の連絡体制整備など、平時からの協調的な関係構築が重要になります。こうした連携を通じて、金融機関単体ではなく、エコシステム全体としての防御力を高めていくことが不可欠です。

4．持続可能なレジリエンスモデルの確立

　サイバーリスクは、単年度の施策や一時的な強化策で解決できるものではありません。金融機関には、今後、脅威予測、インシデント対応演習、人材育成、従業員教育を含めた継続的な改善を前提としたレジリエンスモデルの構築が求められます。

　とりわけ、インシデント発生時にIT部門だけでなく、法務、広報、経営層までを含めた全社的な連携が取れるかどうかが被害の拡大を左右する重要な要素になります。そして、サイバーセキュリティを「IT部門の課題」から「経営が主導すべきリスク管理」へと再定義することが、結果として金融機関の競争力と信頼を高めることにつながります。

　具体的には、以下の取り組みが不可欠となります。

• サプライチェーン全体のリスク可視化と継続的なモニタリング
• ゼロトラストおよび最小権限を前提としたアクセス制御の実運用
• ソフトウェアサプライチェーンを含む技術的検証の強化
• IT部門に閉じない、全社横断型のインシデント対応体制の構築

　サプライチェーン攻撃は、もはや「想定外の事態」ではなく、「常に発生し得る」を前提条件として取り組むべきリスクとなりました。金融機関は、形式的なコンプライアンス対応にとどまるのではなく、統合的なサイバーレジリエンスを経営レベルで実装し、持続的に進化させていく段階を迎えています。このような取り組みの積み重ねこそが、金融機関の信頼を守り、変化の激しいデジタル環境の中で競争力を維持するための基盤となるのです。

筆者紹介

藤本 大（ふじもと だい）

SecurityScorecard株式会社 日本法人代表取締役社長

1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業などの大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。