金融・決済業界の情報セキュリティ対策

近年 Fintech を合言葉に様々な金融サービスが登場しています。しかしながら情報セキュリティ対策に関しては千差万別な状況です。

高い国内金融機関の情報セキュリティ水準

もともと日本の金融・決済分野の情報セキュリティ水準は高いものでした。インターネット普及以前の 1973 年に、政府は国内の即時送金を可能した全国銀行資金決済ネットワークを稼働させ、1985 年には「金融機関等コンピュータシステムの安全対策基準・解説書」を策定し、参加する全ての金融機関に高い情報セキュリティ水準を求めました。

この流れは今も続き、現在は FISC（金融情報センター）の「安全対策基準」が、金融機関が守るべきガイドラインの役割を果たしています。

インターネットと金融情報セキュリティの変貌

一方、インターネットの普及に伴い、決済をはじめ金融サービスは大きく変貌していきます。インターネットの普及率が 3 割前後しかなかった 2000 年、日本銀行は既にインターネットが及ぼす金融リスクの高まりを懸念する調査を発表しています。
金融機関における情報セキュリティの重要性と対応策

この段階で、ID・パスワードの管理や、運用のアウトソーシングに対する注意、緊急時の対応計画（コンティンジェンシープラン）の重要性等に触れています。

「安全対策基準」に準拠しない金融サービスの登場

キャッシュレス決済が注目された昨年来、多くの事業者が決済サービスに参加しましたが、残念ながら多くの事件が発生しました。
例えば、クレジットカードの不正利用が多発したシステムでは、セキュリティコードを何回でも入力することが可能となるシステムになっていました。これにより、クレジットカードの番号さえわかれば、不正利用が可能になったのです。

ところが、「安全対策基準」には、『基準番号-実 16、不正アクセスの監視機能も設けること』の項目に、「連続した何回かのアクセス失敗に対しては、強制終了・取引禁止等を行う機能を設けること」と記されています。

このシステムは金融機関が守るべき「安全対策基準」から外れたシステムになっていました。

また、もう廃止された決済サービスでは、「パスワードを忘れた場合、登録メールアドレス"以外"のメールアドレスに、パスワード再設定の通知を送付することが可能」となっていました。
これは国際的な Web セキュリティ基準「OWASP (Open Web Application Security Project) ASVS」のレベル１（全ての Web アプリが備えるもの）である、「項目 2.18　ログイン機能、パスワード再設定機能、またはアカウントを忘れた場合の機能を使ってアカウント情報の取得はできない」に違反していました。
JPCERT/CC [OWASP アプリケーションセキュリティ標準]
※ちなみに OWASP は「OWASP ASVS」の無料の診断ツールが用意されています。

金融機関の主なセキュリティガイドライン・基準

FISC 安全対策基準

金融機関などコンピュータシステムの安全対策基準・解説書。公益財団法人金融情報システムセンター(FISC)が作成。
銀行、信用金庫、農業協同組合など、預金の業務を執り行う金融機関は全て、金融庁による規制の対象のため、業務の健全性・適切性の確保と、預金者の保護を目的として経営管理体制、リスク管理体制、システム管理体制などの確認（「金融検査」）が行われる。
金融機関等コンピュータシステムの安全対策基準・解説書（第 9 版）により FinTech やクラウドによるビジネス環境の変化に対応した。

PCI-DSS(Payment Card Industry Data Security Standard)

クレジットカード情報のセキュリティを強化するために、クレジット業界におけるグローバルセキュリティ基準。
カード会員データのセキュリティの強化、及びデータの保護に係る技術面・運用面の要件のベースラインとして 6 つの要件（詳細 12）を提供する。

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドライン。
金融システムのシステム監査、導入に係る要素を 13 項目に分類し、ガイドラインを提供する。

金融・決済には、一般の Web サービスと比較して非常に高い水準のセキュリティ対策が求められます。参入する企業・団体は、利便性追求だけでなく、検証テストや脆弱性診断など多くの専門的な知識を活用し、インターネットを使ったサービスを安全に提供していくことが重要となります。