見出し画像

サイバー攻撃

hiro



はじめに

 サイバー攻撃によるシステムダウンのニュースをよく目にします。2005年初めには、りそな銀行がDDoS攻撃を受け、スマートフォンアプリのサービスが一時接続しにくい事態が発生しました。

https://www.nikkei.com/article/DGXZQOUB07AS50X00C25A1000000/?msockid=313a06fb5396699a186913ef527c6873

 自動車や電車などの機能安全に従事してきた私も、セキュリティー、特にサイバー攻撃の防御について理解を深める必要性を感じています。本記事では、機能安全とサイバー攻撃の関係性について、身近な金融業界を例に掘り下げていきます。
 自動車と電車のサイバー攻撃については、別途記載したと思います。

機能安全とサイバー攻撃の基本概念

機能安全とは

 機能安全とは、システムの故障や誤作動が人命や資産に重大な影響を及ぼす可能性がある場合に、そのリスクを許容可能なレベルまで下げるための体系的なアプローチです。具体的には以下の要素が含まれます。

  • 故障モード影響解析(FMEA)による潜在的な故障の特定と評価

  • 冗長設計による単一故障点の排除

  • フェールセーフ機能の実装

  • 定期的な安全性評価とモニタリング

金融業界では、システムの故障がユーザーの資産や取引に直接影響を与えるため、セキュリーティからみた信頼性(機能安全とは言いませんが)の確保が特に重要です。

サイバー攻撃とは

 サイバー攻撃は、情報システムに対する悪意のある侵入や破壊行為です。金融業界では以下のような攻撃が特に懸念されます。

  • ランサムウェアによるシステムの暗号化と身代金要求

  • DDoS攻撃によるサービス妨害

  • マルウェアによる情報窃取

  • フィッシング攻撃による認証情報の搾取

金融業界特有の要件と対策

規制とコンプライアンス

金融機関は、以下の規制やガイドラインに従う必要があります。

  • FISC安全対策基準

  • 金融庁の監督指針

  • PCI DSS(クレジットカード取引関連)

  • 日本銀行金融ネットワークシステム(全銀システム)の安全対策基準

セキュリティと機能安全の統合的アプローチ

  • 多層防御(Defense in Depth)の実装

  • ネットワークセグメンテーション

  • アクセス制御(最小権限の原則)

  • 暗号化(通信およびデータ)

  • 認証システム(多要素認証の採用)

  • 監視システム(IDS/IPS)

  • 耐障害設計

    • システムの冗長化

    • アクティブ-アクティブ構成

    • 地理的分散配置

    • データのリアルタイムバックアップ

    • 障害検知と自動復旧

    • ヘルスチェックの常時実施

    • 自動フェイルオーバー機能

    • 負荷分散システム

インシデント対応と事業継続

インシデント対応計画(IRP)

  • インシデントの検知と初期評価

  • 封じ込めと影響の最小化

  • 原因の特定と対策実施

  • システムの復旧と正常化

  • 事後分析と再発防止

ビジネス継続計画(BCP)

  • 重要業務の特定と優先順位付け

  • 復旧目標時間(RTO)の設定

  • 代替手段の確保

  • 定期的な訓練と計画の見直し

今後の課題と展望

新たな技術への対応

  • クラウドコンピューティング

    • マルチクラウド環境でのセキュリティ確保

    • クラウドネイティブセキュリティの導入

  • AI/機械学習の活用

    • 異常検知の高度化

    • 自動化された対応の実現

    • AI自体のセキュリティ確保

  • ゼロトラストアーキテクチャへの移行

    • 境界型セキュリティからの脱却

    • 常時認証の実装

    • マイクロセグメンテーションの採用

まとめ

 金融業界におけるサイバーセキュリティと電車や自動車インフラの機能安全とは、もはや切り離せない関係にあります。システムの正常動作を確保しながら、新たな脅威に対する防御を強化していく必要があります。特に重要なのは、

  • 規制要件への準拠と自主的な安全対策の両立

  • 多層的な防御態勢の構築

  • インシデント発生時の迅速な対応体制の整備

  • 新技術がもたらすリスクと機会の適切な評価

 これらの要素を総合的に考慮し、継続的に改善を図ることで、より強固な金融システムの実現が可能になります。
 オンラインシステムによって成り立つ金融、行政、商業、交通、道路などの物的資産に対する安全性が重要になっています。

用語解説

■ システム関連

  • DDoS攻撃:大量のトラフィックをターゲットのシステムに向けて送信し、システムを過負荷状態にすることで機能停止させる攻撃手法。通常、分散型サービス拒否攻撃(Distributed Denial of Service)の略。

  • ランサムウェア:コンピュータやネットワーク上のデータを不正に暗号化し、その解除のために身代金を要求する悪意のあるソフトウェア。

  • マルウェア:コンピュータに害を及ぼす目的で作成された悪意のあるソフトウェアの総称。ウイルス、トロイの木馬、スパイウェアなども含まれます。

  • フィッシング:偽のウェブサイトや電子メールを使用して、ユーザーから個人情報(例えば、ユーザー名、パスワード、クレジットカード情報など)を騙し取る詐欺的な手法。

■ 安全対策関連

  • FMEA(故障モード影響解析):製品やシステムにおける潜在的な故障モードを特定し、その影響を評価して対策を講じる手法。リスク管理や品質向上に役立つ。

  • フェールセーフ:システムが故障した場合でも、その故障が引き起こす危険を最小限に抑えるため、予め安全側に動作を制御する設計。

  • IDS/IPS(侵入検知システム / 侵入防止システム)

    • IDS(Intrusion Detection System):ネットワークやシステム内の不正アクセスや異常な活動を検出するシステム。

    • IPS(Intrusion Prevention System):不正アクセスや攻撃をリアルタイムで検出し、ブロックするシステム。

  • 冗長化:システムの重要な部品を複数用意し、ひとつが故障しても他の部分が機能を引き継ぐようにすることで、システムの可用性を確保する手法。

■ 規制・基準関連

  • FISC:金融情報システムセンターの略で、日本の金融機関が従うべきシステム安全対策基準を提供する機関。

  • PCI DSS(Payment Card Industry Data Security Standard):クレジットカード情報を安全に取り扱うために必要な国際的なセキュリティ基準。カード決済に関わる企業はこれに準拠する必要があります。

  • 全銀システム:日本の銀行間で資金移動を行うための全国規模のシステムで、決済や資金移動に必要なインフラを提供しています。

■ 新技術関連

  • クラウドネイティブ:クラウド環境に最適化されたアーキテクチャや開発手法を指し、クラウドサービスを最大限に活用してスケーラビリティ、可用性、柔軟性を確保するシステム設計。

  • ゼロトラスト:従来の「信頼できる内部ネットワーク」と「信頼できない外部ネットワーク」の境界をなくし、すべての通信やリクエストに対して常に検証を行うセキュリティの考え方。内部ネットワークでも例外を設けず、信頼しないという前提でセキュリティを強化。

  • マイクロセグメンテーション:ネットワークやシステムを小さな単位に分割し、それぞれに対してセキュリティ制御を適用することで、攻撃者が一箇所に侵入した場合でも、全体への影響を最小化する方法。

いいなと思ったら応援しよう!