村林:三菱東京UFJ銀行について言えば、同じような取り組みは以前からやっていました。しかし、金融システムの範囲が広がるにつれ、銀行だけでは対応しきれないことが増えてきました。関連会社のDDoS攻撃(大量のデータを送りつけてサーバーをダウンさせる攻撃手法)対策が不十分だと、グループ全体に影響が及ぶケースが出始めたのです。提携先も含めて対策に漏れがないか、改めて管理しないといけません。

情報の共有が、セキュリティー強化につながる

金融業界ではグループの垣根を越えて、各社が情報共有に積極的です。

村林:前述のSWIFTや全銀システムを通じて、あらゆる銀行はネットワークでつながっています。どこかの銀行が狙われたら、次は自分たちが同じ被害に遭うかもしれない。「インテリジェンス」と呼びますが、脅威の情報をできる限りシェアして、業界をあげて対策を強化するのが重要になります。

 そうした観点で2014年に設立されたのが一般社団法人、金融ISAC(Information Sharing and Analysis Centerの略)です。国内金融機関で情報を共有するだけでなく、米国の同様組織であるFS-ISACとも連携。ベストプラクティスを学んでいるところです。攻撃側はどんどん新しい手法を編み出しており、「いたちごっこ」が続いています。金融機関全体で協力しなければ、押さえ込むのは難しいでしょう。

他の業界に目を転じると、情報共有を躊躇する日本企業はまだ多い。ネットで「炎上」することを恐れて、サイバー攻撃を受けたことを可能な限り隠そうとする企業もあります。

村林:非常に難しい課題です。じっと隠しているのは問題ですが、無用な混乱を与えてはならない。マスコミ報道のあり方も含めて、コンセンサスが必要だと思います。

 三菱東京UFJ銀行では経営トップが「記者会見」の訓練をするのが通例になっています。サイバー攻撃によるシステム障害が原因で、サービスが提供できなくなったと想定し、適切な情報発信ができるよう準備するためです。幸いなことに現実化していませんが、サイバー攻撃を受けたらその事実はきちんと伝えるようにしています。

 現頭取の小山田(隆氏)は副頭取だった昨年9月、担当者から質問攻めに遭いました。MUFGグループCEOの平野(信行氏)も同様の訓練を受けています。

 株主総会でサイバー関連の質問が出る時代です。世の中が本当に変わってきたと思います。セキュリティーに完璧はあり得ない。常に最新の情報をインプットして、対策を取り続けないといけません。