DXのリスクを軽減する
体制の作り方
宮内 ここ数年、特にフィンテック領域の事案では、「認証情報の使い回しがしやすい設計になっていた」「2段階認証が提供されていなかった」「本人確認に係る問題が認識されていなかった」など、想定の甘さが不正利用につながってしまったケースが多い印象です。
株式会社Armoris(アルモリス) CYO 宮内雄太さん。Armorisや金融ISACでサイバーセキュリティ人材の育成に取り組んでおり、初心者にも分かりやすい教え方に定評がある。日々の情報収集に加え、たまにDEFCONに参加するなど自己研鑽も怠らない。写真はサイバーセキュリティ演習中の様子。 Photo by Mayumi Sakai
酒井 「セキュリティについて細かく言われると作りたいサービスが作れないので、セキュリティチームをいったん蚊帳の外にした。その後、大きな仕様変更があり、脆弱性を作り込んでしまった」といった例もありました。
ユーザーからの信頼なしに、サービスの成長は望めません。サービス提供側は、あらゆるリスクを想定し、しらみつぶしに対処する必要があるのでしょうか?
宮内 サービス提供側にはその責任があります。ただ、DXは多くの企業にとって前例のない取り組みです。過去の事案からリスクを洗い出したとしてもゼロにはできません。
また、セキュリティは厳しければ厳しいほどいいというわけではありません。海外では「セキュリティがビジネスを阻害してはならない」「セキュリティはビジネスやサービスの付加価値を高めるためにある」という考え方がスタンダードとなっています。
セキュリティのために利便性やコストが犠牲となり、そのうえ機能要件が満たせないとなっては本末転倒です。まずは、自分たちがどんな資産を持っているのか把握し、組織としての重要性や優先順位を評価した上で、リスクが高いものについて重点的に対策するのが現実的です。
一つ参考になるとすれば、多くの金融機関は、サイバーセキュリティを含むリスクをコントロールするために「3 Lines of Defense(3つの防衛線)」にもとづいた体制を整備しています。
1線:現業部門、ビジネス部門、システム部門など(リスクを保有・コントロールする部門)
2線:リスク管理部門など(リスクを管理する部門)
3線:内部監査部門
1線の新規ビジネス・サービスの創出を担う人たちがサイバーセキュリティまでカバーするのは無理です。1線が考えていることは正しいのか、抜け漏れがないか検証し、改善に導くのが2線の役割です。さらに3線が、1、2線の取り組みを監査します。
「こんな体制を律儀に実践できるのは金融機関くらいじゃないか」という声が聞こえてきそうですが、ポイントは、一部門が責任を背負い込むのではなく、監視・牽制・改善する機能を持つことが不可欠だということ。それがユーザーを守ることにもつながります。他社の取り組みを参考にしながら、自分たちに合った体制を構築していきましょう。
