ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
トップリスクとして対応するみずほフィナンシャルグループのサイバーセキュリティ戦略(みずほフィナンシャルグループ)
2023-03-27
日本を牽引する企業・組織のセキュリティ責任者や有識者の方々をお招きし、サイバーセキュリティとプライバシーをテーマに、最新の取り組み事例や今後企業がとるべき方策について伺った「Digital Trust Forum 2023」。本サイトでは各社のセッションをダイジェストで紹介します。
本対談では、みずほフィナンシャルグループでCISO(情報セキュリティ担当)を務める阿部展久氏をお迎えし、みずほフィナンシャルグループにおけるサイバーセキュリティ戦略と取り組み内容についてお話を伺いました。サイバー攻撃を「トップリスク」と位置づけ、グループ一丸となって取り組むアプローチは、金融以外の業界でも大いに参考になるはずです。(本文敬称略)
登壇者
株式会社みずほフィナンシャルグループ
情報セキュリティ担当(CISO)
執行理事
阿部 展久氏
モデレータ
PwCコンサルティング合同会社
サイバーセキュリティ&プライバシーリーダー
上席執行役員 パートナー
林 和洋
(左から)林 和洋、阿部 展久氏
巧妙化する金融機関へのサイバー攻撃に対峙
林:
最初に阿部さんの仕事内容について教えてください。みずほフィナンシャルグループは子会社に銀行、信託銀行、証券会社などを擁していますが、関連組織のCISOも担当していらっしゃるのでしょうか。
阿部:
はい。現在はみずほフィナンシャルグループと、子会社の銀行、信託銀行、証券会社、みずほリサーチ&テクノロジーズのCISOも兼務しています。
みずほフィナンシャルグループは一言で申し上げると、「大変大きなお客さまの“基盤”をお預かりしている」ということにつきます。日本における上場企業の70%と取引があり、非常に多くのスタートアップ企業にもご利用いただいています。また、個人のお客さまの預金口座は2,300万口座にも上ります。これは日本総人口の20%に相当し、5人に1人がみずほ銀行の口座をお持ちになっている計算です。また、グローバルでは約40カ国に110の拠点を擁し、お客さまの海外進出の支援や、現地企業との取引などを含め、安心・安全なサービスを提供することを使命としています。
林:
グローバルにビジネスを展開するお客さまを支援するにあたり、「安全・安心なサービスの提供」は重要な要素となりますね。私たちPwC Japanグループでも、グローバル規模で脅威アクター(サイバー空間に脅威をもたらす攻撃主体)の分析調査を実施しています。その一部を紹介させてください。
現在、PwC Japanグループでは全世界で250程度の脅威アクターを追跡しています。その中で金融機関をターゲットにした脅威アクターは55に上り、日本の金融機関をターゲットとしたアクターは11あると識別しています。
私たちの脅威アクター分析アプローチは、最初に収集したデータから攻撃テクニックを分析して構造化し、「どの攻撃フェーズで」「どのようなテクニックが使われているか」を詳らかにします。そして、その攻撃に対して「事前に防御できているか」「侵入された場合はどの段階で検知・防御できるか」などを調査し、攻撃シナリオが最後まで通ってしまった場合、ビジネスにどのようなインパクトを与えてしまうのかといった観点も踏まえてコンサルティングを行っています。
そうしたご支援を通じて感じているのは、金融機関を取り巻くサイバー攻撃の巧妙化です。阿部さんはこの現状をどのようにご覧になっていますか。
阿部:
ご指摘のとおり、攻撃手口の巧妙化は加速していると感じています。金融機関が直接攻撃を受けるケースに加え、お客さまや金融機関が利用するサービスに対してもさまざまな攻撃が仕掛けられています。
金融機関を直接狙った攻撃の手口としては、金融機関のウェブサイトを改ざんしてスパイウェアを仕込んだり、インターネットバンキングを攻撃して不正送金をさせたりといった手口が挙げられます。またイントラネットに不正侵入し、金融機関が保持する情報を盗取する攻撃も確認されています。
インターネットバンキングの不正送金としては、フィッシングサイトでお客さまに認証情報を全て入力させ、パスワードを突破する手口が挙げられます。金融機関がフィッシングサイト対策を徹底したため、その被害件数は減少に転じました。その後はアプリが狙われたり、新たな攻撃手法が登場したりして被害件数は再び増加したのですが、それに対する対策が強化されたことで、被害件数は再度減少しています。
昨今は金融サービスの多様化に伴い、SaaS/IaaS/PaaSの活用やサードパーティとの連携、外部への委託も進んでいます。そうなると当然アタックサーフェスは増加します。攻撃者はサプライチェーンの弱い部分を狙い撃ちしますから、連携箇所を網羅的に俯瞰し、対策を講じなければいけません。やるべきことは日増しに増加しています。
株式会社みずほフィナンシャルグループ 情報セキュリティ担当 執行理事 阿部 展久氏
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシーリーダー 上席執行役員 パートナー 林 和洋
共同CISO体制で臨む、トップリスクとしてのサイバー攻撃
林:
こうしたサイバー攻撃に対してみずほフィナンシャルグループではどのような組織体制で臨んでいらっしゃるのでしょうか。
阿部:
私たちはサイバー攻撃をトップリスクとして選定しています。現在の組織体制の特徴はバックグラウンドの異なるCISOを2名配置し、協働体制を構築していることです。具体的にはグループCEOの下にIT・システムグループ長とリスク管理グループ長がおり、両者にWレポートする形で情報セキュリティを担当する「グループCISO」と「グループ共同CISO」を配置しています。
さらにCISOの配下には、実務を担う「セキュリティ&データマネジメント部」があります。同部はみずほフィナンシャルグループの中にあり、実働部隊として、本部や営業部門に属する各部署のサイバーリスク対応に携わっています。また、銀行・信託銀行・証券会社といった、主要なグループ会社にも同様に、サイバーセキュリティを統括する部署を配置しています。
さらに、金融ISAC*1など外部の専門機関とも密に連携し、「公助」「共助」という形で対策を強化しています。近年のサイバー攻撃は、みずほフィナンシャルグループ単独で対峙できるものではありません。
*1 金融ISAC(Information Sharing and Analysis Center):金融機関間のサイバーセキュリティに関する情報を共有するための組織。金融機関の安全性向上と利用者の安心と安全を継続的に確保することを目的としている。2014年8月1日設立。
ゲートキーパーからコンサルタントへ―DXで変わるセキュリティの役割とBISOの可能性
林:
次にDXとサイバーセキュリティとの関わりについて見解を聞かせてください。デジタル化の進展により、これまで金融機関が提供してこなかった新たなサービスが増加すれば、それに比例してアタックサーフェスも増加します。このような状況をどのように捉えていらっしゃいますか。
阿部:
私たちは「DX with Cyber Security」「Security by Design」といった発想を基に、DX戦略とサイバーセキュリティ対策は両輪の関係にあると捉えています。
みずほフィナンシャルグループではDX戦略として、「オープン&コネクト」を掲げています。これはさまざまな強みを有する〈みずほ〉と、私たちとは異なる強みを有するビジネスパートナーとが連携することで、新しいビジネスを開発したり、既存ビジネスを活性化する戦略です。
〈みずほ〉は、高度なデータ分析力やAI(人工知能)技術、IT実装力を擁しています。デジタルの世界でさまざまなビジネスパートナーと連携してバリューチェーンが広がれば、新たな価値を創出し、付加価値の高いサービスをお客さまにスピーディーに提供できます。そのことでサイバー空間でのお客さまとの接点も飛躍的に増加することからも、DXを推し進めると同時に、それを安心・安全に使っていただくためのサイバーセキュリティは両輪の関係にあると考えております。
林:
「ビジネスとセキュリティの両面から、組織の整備対策を推進していく」というアプローチは、PwCも注目しています。私たちは新たなサイバーセキュリティ上の役割として、「BISO(Business Information Security Officer)」が重要になると考えています。
これまでセキュリティはビジネス上の「ブレーキ」であり、「ゲートキーパー」のような役割が中心でした。しかし、DXを推進してビジネスを加速させていくためには、セキュリティを「ビジネスの成長を支援し伴走するコンサルタント」のような位置づけとすることが大切です。
では、最後に今後の展望を聞かせてください。
阿部:
前述したとおり、セキュリティ対策は〈みずほ〉だけが頑張っても限界があります。今後は、金融業界はもちろん、他の業種・業界や官公庁等の組織とも、より一層横断的に連携し、一丸となって脅威に対峙する姿勢が肝要だと考えています。
セキュリティ対策は、「判断を誤れば、組織だけでなくお客さまも危険にさらしてしまう」というリスクに常に向き合う業務であり、ともするとネガティブに考えてしまうことも多々あるのですが、私自身は「サイバーセキュリティの仕事も本気で取り組むと面白いし、大抵のことは実現できる」を信条に、日々の任務に取り組んでいます。
金融ISACのような“横のつながり”で「公助」「共助」の関係もより一層強化していきたいと考えています。〈みずほ〉がサイバーセキュリティに対して本気で全力をあげて取り組むことで、誰かの役にも立てる。一方で、私たち〈みずほ〉も様々なステークホルダーの支援も受けながら安全・安心をお客さまに提供していくことが出来る。そうした信条でサイバーセキュリティに取り組んでいます。
林:
「サイバーセキュリティの仕事も本気で取り組むと面白いし、大抵のことができる」という言葉は、阿部さんのお人柄を表していると感じました。1人でも多くの方に届いてほしい言葉です。本日はありがとうございました。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
