デジタル化時代の金融セキュリティ

企業と銀行をつなぐテクノロジー 第 4 章 〜 この章では、金融セキュリティの現状と、デジタル化時代におけるサイバーセキュリティ対策について考察します。

デジタル化と情報セキュリティの高度化

日常的に利用するインターネットやスマートフォンでも、昨今その情報セキュリティが高度化してきている、そのように感じられる方も多いのではないでしょうか。クラウド上にある自分のアカウント情報にアクセスする際に 2 段階認証が (SMS やメール宛に届いたワンタイムパスワードを入力する形で) を求められる、ロボットでないことの確認のためのパズルを解く — デジタルのツールが便利になる一方で、安全性を担保するためのユーザー体験も多様化してきています。

オンライン上でのコミュニケーションや、お金を扱う取引を狙った脅威自体も高度化してきています。なりすましによる詐欺、アクセス情報の剥奪や不正利用 — デジタルでの脅威は、「システムを攻撃するコンピューター・ウィルス」の時代から、「脅威者がデジタルを活用して、個人の資産を脅かす」時代、犯罪自体がデジタル化した時代へとシフトしてているとも言えるかもしれません。そういった状況下において、犯罪自体を裁く上での法整備とともに、脅威から身を守るための対策が極めて重要です。

金融庁のサイバーセキュリティ強化に向けた取組み

金融庁では、サイバーセキュリティを確保し、安心・安全かつ利便性の高い金融サービスの実現のため、2022 年の「金融分野におけるサイバーセキュリティ強化に向けた取組方針 (Ver. 3.0)」において、5 つの取り組み方針を提示しました。

1. モニタリング ・演習の高度化 – 金融機関におけるモニタリングの実施と、金融業界全体のサイバーセキュリティの高度化の推進
2. 新たなリスクへの備え – キャッシュレス決済やクラウドといったサービス利用のための安全対策
3. サイバーセキュリティ確保に向けた組織全体での取組み – 経営層の関与下での組織的なサイバーセキュリティの実効性向上、人材育成
4. 関係機関との連携強化 – 警察・公安、海外当局等との連携強化
5. 経済安全保障上の対応 – 政府全体的なシステム利用・業務委託を通じたリスクの対応

総じて、政府機関として金融機関との連携を高め、金融業界としてのサイバーセキュリティの強化を図るものです。その中では、国内の銀行、証券会社、保険会社といった金融機関での情報セキュリティにかかる事案 (インシデント) の把握と管理体制の検証を行うととももに、国を跨ぐ・国際的な事案に対応するための国際的な議論への参画、海外当局との連携、また、海外金融機関の先進事例を参考にしたサイバーセキュリティの高度化を掲げています。 この姿勢は、政府機関としてサイバーセキュリティのベストプラクティス (最善の施策) を模索し、金融業界として相互運用性を高めることにより、脅威への対応という社会命題に向き合うことを示していると言えるのではないでしょうか。

金融機関のモニタリングに関連して、整備が進んでいるのが「電子決済等代行業」、略して「電代業 (でんだいぎょう)」に関する制度です。

電代業に関する制度

「電子決済等代行業」、略して「電代業 (でんだいぎょう)」とは、情報技術を活用した銀行振込や、銀行口座残高等を照会するサービスを提供することを指しています。名称にある「決済」のみに限定するものではなく、情報照会も対象としており、総じてデジタルな手段をもって銀行の情報へアクセスすることを指していると解釈することができます。

電代業の制度では、(1) 登録制の導入、(2) 利用者への適切な情報の提供、(3) 銀行との契約締結義務、以上 3 つの規制が課されており、認可された機関のみがサービスを提供でき、利用者に対する説明責任を明示的なものとしています。「不確かな事業者」がこのサービスを提供すること自体ができません。

一方、この制度の下、銀行に対しても、オープン・イノベーションの推進の観点から、現代的なテクノロジーを用いた銀行のサービス情報へのアクセス方法である「オープン API」への取り組みに関する事項として「オープン API への取組等に関する方針の策定・公表」と「オープン API の導入に務めること」を求めています。

総じて電代業のビジネスモデルを成立させる上での信頼性を担保するとともに、銀行への技術革新を促しており、国内においても競争力のある市場のエコシステム形成に向き合う姿勢を伺うことができます。金融機関における新しい技術の開発においても、サイバーセキュリティ面への配慮があることは、想像に難くありません。

アプリケーション層でできること

さて、情報セキュリティの日常の風景、日本の行政の取り組みについて、概ねの全体像がイメージできたでしょうか。ここでは、金融セキュリティの観点で、テクノロジープロバイダーが提供するアプリケーションでできることについて触れてみたいと思います。

本人認証

本人認証、利用者が本当にその人であるのか、の確認は、日常的に利用されているインターネットやスマートフォンのサービスと同じように行うことができます。アプリケーションにログインする際に、通常のパスワードのみでなく、ワンタイムパスワードによる 2 段階認証を利用する、など。また、第 3 章で触れた Swift では SwiftNet での送金を行う場合は、2 段階認証の利用を必須と定めており、ソリューション・プロバイダーでもサービス運営上の必須要件として、コンプライアンスに組み込まれています。

また、企業での多様化するウェブシステムの認証を束ねるシングル・サイン・オン (SSO) による認証を行うこともでき、SSO のサービス・プロバイダーが提供する 2 段階認証サービスと併用することも、利用者に利便性を提供しています。具体的な例としては、アプリケーションに SSO でログインする際に、SSO サービス側でスマートフォンを用いた 2 段階認証を利用するようなことです。スマートフォンでは指紋認証や、顔認証を 2 段階認証の手段として利用して、スムーズにアプリケーションへログインすることができます。

ワークフロー – デジタル化された稟議

企業でグループ内の資金移動や取引先への送金を行う際に、デジタル化された稟議のプロセスを辿ることができます。高額なものは、承認のステップを増やすなど、パターンに応じた稟議のプロセスをシステム上登録しておくことで、必要な承認がシステム上で行われ、また、いつ、誰が、どの送金を起案したのか、承認したのか、といった記録は自動的に記録されます。

承認を担当する方がすぐ PC を使えない環境にいるかもしれません。そういった場合でも、スマートフォンのアプリを使って、タイムリーに承認を行うことができ、業務を円滑に進めることに寄与します。

送金先のスクリーニング

送金のための依頼情報が、どのような形で入力されるかは、会社の業務プロセス設計に準じて、様々なパターンがあります。また、社外へ送金をする業務は、海外のグループ会社からかもしれません。その際、送金先が疑わしいものでないかを、人為的に確認することは困難です。

携帯電話のキャリアでは、発信元の電話番号のブラックリストによるスクリーニング・サービスとして提供しているところもありますが、同様のソリューションとして、「制裁リスト (サンクション・リスト)」によるスクリーニング・サービスがあります。データベース化された反社会勢力等の送金先をスクリーニングし、送金を未然に防ぐことができます。

送金パターンのスクリーニング

制裁リストにはなくても、特定の個人宛に不正な送金がされるような事案、あるいは、同じ送金を複数回してしまう、といった運用上の手違いがあっても、パターンベースで「疑わしい送金」を検知することによって、未然に防ぐことができます。あくまで仕組み上スクリーニング・検査できるようにしておくことで、直接のコミュニケーションがまだ行き渡っていない海外の事業所でも、ガバナンスを強化することにも繋がります。

監査報告のための操作履歴の記録・レポート

企業グループ内の業務処理、トランザクションの数が膨大であっても、監査上必要な操作履歴はシステム的に記録され、またシステムから定型的なレポートとして出力することができます。これにより、監査報告はもとより、社内のモニタリングとして業務の行われるタイミングを分析したり、継続的な改善のインプットとすることもできます。

金融機関ネットワークのセキュリティ高度化

アプリケーション層のセキュリティは、ソリューション・プロバイダーによって市場のニーズに沿って開発されています。一方、アプリケーション以前 (あるいはその先) にある金融インフラにおいても、現代的なセキュリティの強化は着実に進んでいます。

グローバルの金融機関ネットワークである Swift の技術のひとつが「Swift GPI」です。Swift GPI (スウィフト・ジーピーアイ = Global Payment Innovation) は、国を跨ぐ送金の新しい標準として Swift が 2017 年より提供している技術で、即日着金を可能とするよりスピーディーで確実・円滑な送金、送金手数料の透明性、送金の過程で「その支払がいまどこにあるのか」のトレーサビリティ・追跡性を実現する技術です。追跡性については、宅配便のサービスで、いま荷物がどこにあるのかを追跡できるものがありますが、それと似たイメージかもしれません。国を跨ぐ送金の場合、いくつかのポイントを経由して、最終的な送金先に届きます。送金が、金融機関ネットワークの中で、今どこにあるのかを把握できることにより、送金元・送金先の双方が透明性をもって取引を行うことができます。

デジタル化時代に安全であるということ

この章では、身近な情報技術、行政施策、アプリケーション、金融インフラの観点から、金融セキュリティを掘り下げてみました。今回含まれていませんが、より広義に技術的な観点では、ネットワーク・疎通上のセキュリティ、例えば暗号化などの汎用的な技術などもあります。また、ソリューション・プロバイダーが SaaS・クラウド上でサービスを提供する上でのセキュリティ構成や、業界のセキュリティ認証が寄与する部分もあります。このように、情報セキュリティは、様々な機構において対策が講ぜられ、それと同時に、全体の繋がりの中でどこかひとつが欠けると、それが事案に繋がるリスクともなり得ます。また、技術革新が進むと、それに伴いセキュリティ要件も書き換えなくてはならない場合も多くあります。技術革新とセキュリティは表裏一体で、また、進歩を続ける限り絶えず変化していくものでもあります。

ユーザーの観点では、環境の情報セキュリティが確立されているとしても、利用者の視点からも安全を講ずる意識を持つこと、また、ユーザー企業として安心して業務に臨めるよう、サービスを選択・構成していくことが重要です。

Navigation

1. 加速するグローバル化と金融テクノロジーのトレンド
2. 日本の金融テクノロジー : 全銀システムと ANSER を中心に
3. 国際標準としての Swift と Host-to-Host 接続
4. デジタル化時代の金融セキュリティ
5. 将来の展望 : 金融テクノロジーの未来と革新