セキュリティー対策にはコストがかかります。投資に見合うリターンは得られているのでしょうか。

村林:インターネットの登場以降、銀行のサービスは大きく変わりました。例えば振り込み。以前は店舗に足を運び、窓口やATMで手続きする必要がありましたが、今ならネットで完結します。セキュリティー対策をしてきたからこそ、こうしたサービスが実現したわけです。

 極論ですが、もしインターネット「以前」に戻るなら、振り込みのためだけでもATMの数や窓口人員を増やさないと対応できません。それにかかるコストは、セキュリティー対策のコストよりもはるかに高いはずです。

 インターネットバンキングをあきらめるのか、それともサイバーセキュリティーにお金を投じるのか。こう考えれば、投資対効果は明らかです。

銀行の存続に関わるリスク

村林:「信頼」で商売している銀行にとって、レピュテーション(評判)リスクは無視できません。「あそこの銀行に預けると不正送金の被害に遭う」といった風評が立つと、顧客への影響は大きい。そうした意味では、セキュリティ対策を怠ると銀行の存続に関わるリスクが生じかねないのです。

CIO(最高情報責任者)が投資の必要性を訴えても、最終的に資金を投じるかどうかを決めるのはCEO(最高経営責任者)です。

村林:よほど理不尽なことを要求しない限り、セキュリティーに関する投資は全て認められます。逆にCEOから「それで十分か」と聞かれるぐらいです。(米国の中央銀行にあたる)FED(連邦準備制度)は、金融機関の経営にとっての最重要課題の一つはサイバーセキュリティーだと断言しています。日本の金融庁も同じ認識を持っています。

セキュリティー対策に取り組むうえで、最優先すべきテーマは何でしょうか。

村林:まずは組織、体制でしょう。それがないと始まりません。起きている事象を理解し、脅威を判断しなければ技術的な対策は取れません。

 三菱UFJフィナンシャル・グループ(MUFG)は2015年、グループ横断組織の「サイバーセキュリティ推進室」を設置しました。三菱東京UFJ銀行だけでなく信託銀行や証券会社、海外子会社などグループ全体で数百人いるセキュリティー担当者の連携を深めるのが狙いです。

 推進室が中心となり、国内外の業界団体との連携を強化。脅威を察知して調査し、対策を取るという一連の流れを整備しました。経営会議への報告体制も改善しました。