お役立ち情報 金融機関のセキュリティ脅威と対策3選

はじめに

金融機関は、顧客の氏名・住所だけではなく年収や資産額、病歴や健康診断の結果などを含む要配慮個人情報などを有しています。また、決算情報等の法人情報も抱えており、他の業界と比べても情報の重要レベルが高いものが多いです。

今回は、金融機関が抱えるセキュリティリスクとその対策について見ていきましょう。

金融機関が抱えるセキュリティリスク

金融機関といっても銀行や保険、証券会社等があり、それぞれで発生するセキュリティリスクは異なりますが、ここでは筆者の前職が銀行員でありその経験も踏まえて、銀行の業務におけるリスクを例に挙げていきます。

1. 紙の盗難・紛失

ペーパーレスが進んではいるものの、紙の取扱いが依然として多いのが業界の特徴です

2. FAXの誤送信

未だにFAXが健在のため、誤送信リスクが高いです

3. 可用性の喪失

情報セキュリティでは、以下が3大要素として定義されています

機密性

情報が漏れない

完全性

情報に間違いがなく、書き換えられていない（または誤っていない）

可用性

情報が必要なときにいつでも利用できる

銀行では、可用性よりも機密性を重視する傾向があります

4. 従業員のセキュリティ意識が低い

デジタルに対する抵抗感、知識不足

新しいツールを取り入れることに抵抗を示す人や、紙の方がセキュリティ上安全であると考えている人も多くいます

パスワードの単純化、他社員への共有

社内システムへアクセスする際にID/パスワードは入力する必要があるものの、特にパスワードルールは設けられておらず、同じ数字4桁といった単純なパスワードに設定している場合も多いです

部下のアカウントでログインするために、上司が部下にID/パスワードを聞く場合もあります

5. サイバーセキュリティ人材の不足

2022年度の「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果」では、71.7％が「要員を十分に確保できていない」と回答しています

6. サイバー攻撃被害に遭遇しやすい

攻撃に成功することにより得られる利益が大きい

業界の性質上、多くの金融資産を保有しているため金銭的利益を得やすい傾向があります

重要度の高い個人情報を多く保有している

氏名や住所といった個人情報以外に、年収や金融資産、保有している不動産情報も取り扱っているため、個人情報を狙う攻撃者の標的になりやすいです

金融機関が対応すべきセキュリティ対策

組織規模が大きい企業が多いため、すぐにセキュリティ対策を実施するのは難しいかもしれませんが、最低限できる/行っておくべき対策をいくつか挙げます。

紙の取扱いを減らす

紙を取り扱っていると、紛失・盗難リスクはつきまといます。

紙媒体は、データと比べて紛失時の所在や経路をつかみにくい側面もあります。業務上の利便性はもちろん、セキュリティの観点からもペーパーレスは優先して取り組むことをお勧めします。

パスワードルールの策定、システムによる制御

上述した通り、ID/パスワードを設定していても簡単なパスワードだと攻撃者にすぐに破られてしまいます。

自社のパスワードについては、例えば「8桁以上の大文字小文字英数字混在」のような組み合わせでルールを策定しましょう。システムにより、簡単なパスワードの場合は設定できない仕様にしておくことが効果です。

日々の情報セキュリティに関する教育

情報システム部門以外の、現場の従業員はデジタルに抵抗があったり情報セキュリティの意識が低いことが多いです。しかし、ひとりでも対策を怠っている従業員がいると、そのぜい弱性を突かれて情報が漏えいしてしまう可能性があります。

すべての従業員に対して情報セキュリティ教育を定期的に行うことは、セキュリティリスク低減に非常に有効です。

まとめ

金融機関には特有の事情やリスクがあります。すぐに対策できないものもあるかもしれませんが、取り扱う個人情報は膨大かつ重要なものが多いため、最低限の対策はできていないと会社の経営が危うくなります。

LRM株式会社では、ISMS/ISO27001認証取得コンサルティングをはじめとした情報セキュリティ体制構築支援を行っています。

高い専門性と豊富な実績をもとに、各組織の実態に合わせたルール・運用を提案し、社内に浸透しやすい「現場で活きるセキュリティ」を提供します。ISMS認証取得をご検討されている方や自社の情報セキュリティ運用にお悩みの方は、お気軽にご相談ください。