(5)サイバーセキュリティへの対応

サイバーセキュリティ管理については、サイバーインシデント(注20)発生時の被害・影響の大きさに鑑み、システム障害等とは別に特化した対策を講じている。

規程化という点では、2016年6月に当社の「システムリスク管理規則」を改定し、サイバー攻撃に関わる態勢を明確化するとともに、三井住友銀行においても「情報管理規程」の改定、「サイバー攻撃対策規則」の新規制定を行った。

実務的には、さらに早い段階から対応を進めていた。2013年9月に、セキュリティに関する専門性強化・最新技術活用を目的に、日本総合研究所にJRIセキュリティ専任チームを設置。2013年10月には、当社IT企画部を事務局として日本シーサート協議会(注21)に参加し、SMFG-CSIRT(注22)を中心にグループ会社間での情報共有を行うなどセキュリティ強化を図った。

また2016年に、セキュリティ監視・分析とその対処を行う専門組織であるSOC(Security Operation Center)を立ち上げ、三井住友銀行におけるサイバー攻撃等の平日日中監視を開始した。その後、欧米SOCの立ち上げ(2018年5月)、24時間365日監視の開始(2019年1月)、グループ会社向けセキュリティ監視の開始(2020年4月)など、監視の対象時間・範囲を拡大していった。

こうしたSOCによる監視のほか、ネットワーク通信解析による不正検知システムの導入、ペネトレーションテスト(注23)の実施など様々な対策を講じたほか、2017年度および2019年度には、FFIEC(米連邦金融機関検査協議会)のCAT(Cybersecurity Assessment Tool)による第三者評価を実施した。CAT評価は、金融機関のサイバーセキュリティに関わるリスクと対策の成熟度のレベルを評価する仕組みで、主要グループ会社に対してCAT評価を実施したほか、それ以外のグループ会社約160社に対してもCAT評価を参考にした簡易評価を行い、評価結果に基づくフォローアップを通じて対策を強化していった。

サイバー攻撃については、従業員の不用意な行動がサイバーインシデントにつながる可能性があることから、従業員教育も重要である。三井住友銀行では2011年度に標的型メール攻撃に関するDVDを作成して啓発に努めてきたが、2015年度頃からは標的型メール対応や広報対応等の訓練を定期的に実施。順次、グループ各社や海外にも拡大することで、対応力を強化している。また、2016年9月に『サイバーセキュリティ対策ハンドブック』を作成してグループ各社に配布したほか、各種勉強会の実施、事例集の作成・周知、教育コンテンツ『マンガでわかるサイバーセキュリティ』の掲示など、継続的に教育・啓発を行っている。

(画像)サイバーセキュリティ対策として作成した「マンガでわかるサイバーセキュリティ
『マンガでわかるサイバーセキュリティ』