JPCERT コーディネーションセンター

早期警戒情報フィールドレポート 三菱東京UFJ銀行

【第2回】三菱東京UFJ銀行 ~ 自社収集情報を補完し、対応策の根拠を補強できる情報が欲しい 

本インタビューは、2012年2月7日に取材したものです。

MFUG1.jpg

話し手:
株式会社三菱東京UFJ銀行
システム部 システム企画室 ITリスク管理グループ
 次長 森滋男氏(左上)
 上席調査役 MUFG-CERT 髙木繁氏(右上)
 調査役 MUFG-CERT 鈴木智之氏(左下)
 調査役 MUFG-CERT 北尾辰也氏(右下)
コンプライアンス統括部 情報セキュリティ管理室
 上席調査役 谷口浩氏


金融機関の情報セキュリティは、お客さまが利用するオンライン系システムと、バックオフィス業務を支えるオフィス業務系システムの2つの系統に対して考える必要があります。三菱東京UFJ銀行では、開発や運用の部署が異なるこれら2系統のシステムの情報セキュリティを横断的に管理するため、システム部 ITリスク管理グループが、グループ企業内のシステム全体のリスクコントロールを担っています。その他に、実際にインシデントが発生したとき、直接インシデント対応を担当するMUFG-CERTという組織内CSIRTを備えています。

三菱東京UFJ銀行では、どのようにJPCERT/CCの早期警戒情報を活用しているのか、お話しをうかがいました。

●自社で入手した情報の補強と裏付けに活用
―まず、三菱東京UFJ銀行での早期警戒情報の利用状況について教えていただけますか。

鈴木氏:早期警戒情報に含まれる脆弱性情報は、我々が日々行っているリスク管理活動においてアクションを起こすための重要なインプットとして利用しています。脆弱性情報は、さまざまなところから入手できますが、JPCERT/CCの早期警戒情報は、その中から信憑性の高いもの、影響範囲が広いもの、想定される被害が大きいもの、といったことが吟味された上で送られて来るので、対応優先度の高い情報として信頼を寄せています。

北尾氏: JPCERT/CCから提供される早期警戒情報において、海外からのDDoS攻撃、オンラインバンキングをめぐるフィッシング関連の動向といった、Webサイトが関連する情報の割合が近年増えていると感じています。Webサイトを利用して様々なサービスを提供している三菱東京UFJ銀行にとって、これらの情報は、アクションを起こすための重要な判断材料として扱われています。

他方、我々自身も外部のWebサイトの利用者であり、この観点では、短縮URLの危険性(*1)は、実は我々も危険性を事前に察知していて、短縮URLのアクセスを制限する措置を講じていました。そこに、JPCERT/CCからも同内容の早期警戒情報が届いたので、それによって、「裏付けがとれた」「対応は間違ってなかった」と確信することができました。

MFUG2.jpg


森氏:DDoS攻撃に対しては、社内にトラフィックを24時間で監視する部署があり、態勢も整っています。我々は、その部署から攻撃を感知したとの連絡を受けたり、あるいはJPCERT/CCからサイバー攻撃に関する早期警戒情報を受け取ったりした場合に、監視する部署やサーバを管理する部署などと情報を共有しながら、グループ内企業のしかるべき部署に早期警戒情報を提供したり、攻撃パケットの遮断を指示したりしています。

髙木氏:2010年の中国漁船問題に関連するサイバー攻撃の時は、自社収集の情報とJPCERT/CCからの情報を参考に、トラフィックを監視する部署とも連絡を取り合いながら警戒にあたりました。JPCERT/CCからの情報には、攻撃予想時刻まで含まれていたので、具体的な警戒態勢を敷くためにも役立ちました。さらに、「JPCERT/CCという組織からもこのような注意喚起がでています」といった形で、対応態勢について経営陣へ説明する際にも利用しました。

森氏: 脆弱性情報に関しては、第三者情報として内容に信頼は寄せていますが、そのまま、書かれた対策やパッチ適用を実施するかはまた別問題です。実際にどのような対応を実施するかは、内部のルールや規定に従って決定しています。JPCERT/CCからの情報は、重要カテゴリに分類してはいますが、最終的なアクションはITリスク管理グループが判断します。内容が厳選されている点、どのバージョンに影響があるのか、ないのか、さらに対策方法まで書かれていて、実用性が高く利用しやすい情報であることは確かです。

●利用のきっかけはフィッシング詐欺への対応から

―三菱東京UFJ銀行でJPCERT/CCのサービスを利用するようになった時期ときっかけはいかがですか。

森氏:旧UFJ銀行では、2005年3月から利用させていただいており、また三菱東京UFJ銀行となってからは、設立当初から利用させていただいております。

鈴木氏:旧UFJ銀行を対象としたフィッシングサイトが海外に立ち上がったことがあり、そのインシデント対応をJPCERT/CCに協力してもらったときですね。そのインシデント対応が一段落したときに、早期警戒情報やWAISE(*2)ポータルサイトを紹介してもらい利用するようになりました。WAISEに掲載されているAnalyst Note(*3)は毎日見ています。

森氏:フィッシングサイトのインシデント対応には、JPCERT/CCのような組織との連携は欠かせないと思います。というのは、フィッシングサイトは海外にサーバが立ち上がることが多いのですが、フィッシングサイトを停止させるための調整を依頼するにも、支店等もない国のサーバなど誰に連絡すればよいのかまったく手がかりがないこともあります。

フィッシングに関してはフィッシング対策協議会(*4)があり、問い合わせや相談、あるいは自社ブランドのフィッシングサイトが立ち上がったという第一報などは協議会の窓口に連絡していますが、サイト管理者への停止依頼などの具体的な対処となると、JPCERT/CCに対応を依頼しています。

●業務の特徴は店舗に広く遍在する個人情報と求められる古い商品のサポート
―金融機関ということで、情報セキュリティ対策に特に注意が必要な点や他の企業と違う点などはありますか。

MFUG3.jpg


髙木氏:たとえば、重要情報の保護といった場合、製造業ならば新製品の情報や研究開発情報になると思います。銀行の場合は、誰もがお客さま情報だと答えるでしょう。しかし、そのお客さま情報は営業や窓口で的確なサービスを提供できるよう活用できる必要があり、守ることと利用することを両立させる管理をしなければならないという難しさがあります。また、その情報量は店舗ごとでも膨大です。

どんな情報でも漏れたとなればお客さまに不安を与えることになってしまいますので、漏えいした情報はどんなものか、どんな被害が予想されるのか、実際に被害は起きているのか、対策方法はあるのか、といった情報を適切にお伝えして、いち早くお客さまにご安心頂くことも、我々が気を遣うところですね。

その一方で、一般的にいえば、セキュリティを考慮すると最新のブラウザの使用が望ましいのですが、お客さまの環境を考慮しますと、銀行としては、ある程度古いブラウザへの対応を継続する必要がある、といった事情もあります。

MFUG4.jpg


鈴木氏:逆に、お客さまからは、オンラインバンキングもスマートフォンで使いたいなど、新しいご要望も頂いており、現場は利用者のニーズに応えようと、さまざまな取り組みを行い、提供サービスを充実させたいと考えます。しかし、お客さまからのリクエストが多いから、便利にしたいからという理由だけでは、新しいサービスを開始しにくい難しさが銀行にはあります。安全性の担保と利便性を高いレベルでバランスさせなければならないからです。

―難しいバランス判断だと思いますが、その中でJPCERT/CCの活動は役に立っていますか。

MFUG5.jpg


北尾氏:髙木や鈴木が申し上げたように、新しいサービスの提供は慎重に検討致しますが、一度始めたサービスや商品は、古くなったシステムだから、といって簡単に終了できません。システムの管理や維持が複雑になっても、新旧混在したシステムを動かさなければならないので、さまざまな攻撃やリスク情報にくまなく目を配る必要があります。そのようなリスク管理を適切に行うためには、自社で得られる情報を補完するような情報がとても重要になります。アンテナを高く伸ばすとともに、そこから必要な情報を選別し、社内やお客さまに適切に伝えなければなりません。JPCERT/CCの早期警戒情報は、重要な情報をいち早く入手し、正しく社内外に情報を伝えるために活用しています。

森氏:金融機関としては、フィッシングサイトの停止などのインシデント対応活動も非常に役に立っています。最終的にフィッシングサイトを止めるとなると、そのサーバを管理しているプロバイダーなどに連絡して止めてもらいたいわけですが、海外のサイトや接点のない国のサイトの場合には、JPCERT/CCのような海外のNational CERTにチャネルを持っている組織の協力が不可欠です。仮に、こちらから直接サイト管理者に連絡がとれても、サーバ停止をお願いするとなると、JPCERT/CCやその国のNational CERTなどがいっしょに動かないと対応してくれないこともあります。

―本日はお忙しいところお時間いただきありがとうございました。今後もJPCERT/CCの活動を通じて、社会全体の情報セキュリティの向上に貢献できるように努力したいと思います。


*1 短縮URLの危険性:早期警戒情報 2010年12月8日発行  「Twitter上でのURL短縮サービスを使った攻撃について 」

*2 WAISE:Watch and Warning Analysis Information for Security Experts:JPCERT/CCが提供する早期警戒情報、脆弱性情報(未公開を含む)、インターネット定点観測情報、攻撃情報、国内の重要インフラ事業者等に重大な影響を及ぼす可能性がある情報を提供するための専用ポータルサイト。

*3 Analyst Note:JPCERT/CCの早期警戒情報受信者に対して、WAISEシステムおよび電子メールなどで提供される情報コンテンツのひとつ。内容は、同センターの情報セキュリティアナリストが日々収集している脆弱性情報や脅威情報などのうち情報セキュリティの観点から有益な情報を抽出してまとめたものとなる。

*4 フィッシング対策協議会:https://www.antiphishing.jp/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter