金融庁と日本銀行による「注意喚起」とは

　金融庁と日本銀行は連名で、4月下旬に金融機関の経営陣に対して、不正アクセスや情報漏えいなどに十分に注意するよう通達文書を発表した。

　この文書では、テレワークの拡大に伴いサイバーリスクが高まることを明確に認識する必要があると指摘。緊急時の措置であることも考慮した上でメリットとリスクのバランスを踏まえつつ、適切なサイバーセキュリティ対策を講じることが求められるとしている。

　具体的には、（1）リモートアクセスに際して2つ以上の認証要素を組み合わせた多要素認証などの情報セキュリティの向上、（2）ウィルス検知の定義ファイルやセキュリティパッチを最新状態に保つための体制確保、（3）身に覚えのないメールの添付ファイルやURLを実行しないよう職員に徹底することなどを要請した。さらに（4）システム障害やサイバーインシデントなどの事案が確認された場合の速やかな報告も求めている。

日銀による「金融機関における在宅勤務」の調査結果

　日本銀行は10月13日に「金融機関における在宅勤務の拡がりとシステム・セキュリティ面の課題」と題する、7月6日から8月7日までの期間に全金融機関（239）向けに実施したアンケート調査の結果をまとめたレポートを発表した。この発表は注意喚起がどの程度徹底されたかを確認するという意図がうかがえる。

　調査結果によると、大手銀行のすべてが在宅勤務制度を設けているのに対し、地方銀行は53.9%にとどまっている。当初は東京や大阪などの都市部に比べて地方での感染者数が少なかったため、在宅勤務が定着しなかった地域もあった模様である。また、業務内容でも差がみられ、融資担当は77.9%が在宅勤務を実施したのに対し、口座開設などの窓口業務は43.4%にとどまっている。

　金融機関からは、在宅勤務制度を実施するためには「押印や郵送など紙による処理を前提とした事務フローの見直しが必要」といった声も聞かれた。既存の業務プロセスをそのままにした場合に、在宅で働く社員と紙をやり取りすることは容易ではなく、業務のデジタル化は在宅勤務導入の前提となる。

　調査からセキュリティ面の課題が顕在化していることも明らかになった。ほとんどの金融機関では業務用端末を従業員に貸与し、自宅での利用を認めている一方で、個人所有の端末利用を認める金融機関も41.6%あり、政府が基本方針を公表する前と比べて10%ほど上昇している。

　私用端末の利用そのものに問題はないが、日銀が「会社貸与端末と比べるとセキュリティガバナンスが取りづらい」と指摘しているように、在宅勤務に対応するために充分なセキュリティ対策を講じる余裕がなかった場合も多かったようである。

　私用のメールを介してウィルスに感染する恐れがあるほか、一部金融機関では私用USBメモリなどの利用も認めたために、さらにリスクが拡大する状況になっていたという。

金融庁による「セキュリティ演習」の中身

　また、金融庁は日銀調査発表と同日（10月13日）に、「金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅴ）」を発表、金融業界全体のインシデント対応能力の更なる向上を図ることを目的に、業界横断的な演習を実施することを明らかにしている。

　実施の背景として、「昨今、資金移動業者の決済サービスを通じた不正出金、新型コロナウィルス感染症に便乗したサイバー攻撃やテレワーク環境を狙ったサイバー攻撃が発生しており、こうしたサイバー攻撃の脅威は、金融システムの安定に影響を及ぼしかねない大きなリスクとなっています」と説明している。


　今回5回目となるサイバーセキュリティ演習は、10月14～21日に約110金融機関の参加を得て実施され、以下のようなシナリオを想定している。これまでの演習と異なる特徴として、「テレワーク環境下でのインシデント対応能力の向上を図るため、参加金融機関は実際のテレワーク環境下で演習に参加」することが求められている。


【次ページ】テレワークのセキュリティ対策は何を「拠り所」にすべきか