平成18年7月13日
金融庁
情報セキュリティに関する検討会の概要について
近年、ATMをめぐる犯罪が多発するとともに、インターネットバンキングを対象とした犯罪も発生していることを踏まえ、最新の手口等の情報に基づき各種対策の有効性を検証し、金融業界及び行政当局において認識の共通化を図るべく、以下のとおり、「情報セキュリティに関する検討会」(主催:監督局銀行第一課)を開催した。
I . 参加団体及び開催実績
〔参加団体〕
- 警察庁
- 財団法人金融情報システムセンター
- 全国銀行協会
- 社団法人全国地方銀行協会
- 社団法人第二地方銀行協会
- 社団法人全国信用金庫協会
- 社団法人全国信用組合中央協会
- 社団法人全国労働金庫協会
- 農林中央金庫
- 統合ATMスイッチングサービス利用者組織
〔開催実績(テーマ)〕
- 3月9日(第1回)
- 「ATMシステム:利用時の対策」
- 4月10日(第2回)
- 「ATMシステム:情報管理態勢・被害発生時の対応」
- 6月1日(第3回)
- 「ATMシステム:他金融機関取引・ネットワーク利用時の対策」
- 「インターネットバンキング:利用時の対策、基本設計その他」
II . 検討にあたっての基本的な考え方
○本検討会においては、金融業界における現状認識の共有化を図ることを目的とし、検討内容に基づき、各金融機関が自らの業務や顧客の特性に応じ、適切な対策を講じることを期待しており、機械的・画一的な対応を求めるものではない。
○ATMシステム、インターネットバンキングのそれぞれにおいて、体制の構築時、利用時、被害発生時などの各段階におけるリスクについて、国内外の犯罪事例や現時点において想定し得る犯罪手口に関する詳細情報を網羅的に収集し、その上で各種対策の有効性について検証した。
III . 検討会において共有した認識事項
上記の II .基本的な考え方に基づいて検討を行ったところ、以下の事項について共通の認識を得るに至った。
1. 金融機関における検討のあり方
○金融機関は、セキュリティ対策を講じるにあたっては、まずは各金融機関がその経営責任において、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた必要な検討を行った上で態勢の整備に努めるべきである。その際、以下の点に留意することが必要である。
- 個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指す
- リスクの存在を十分に認識・評価した上で、対策の要否・種類を決定する
○その際、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなる、いわゆるPDCAサイクルが機能していることが重要である。ATMシステムを例にとれば、以下の検討手順が考えられる。
(1)金融機関側に起因するリスクの把握(内部管理態勢の整備状況、システム開発の体制、システムの特性、システムの外部委託の状況等)
(2)ATM利用に関するリスクの把握(取引限度額、利用可能時間、ATMの設置環境、周辺地域における犯罪発生状況等)
(3)上記リスク特性を踏まえ、どのような犯罪手口・リスクに対処すべきかの優先順位付け
(4)対策の実施
(5)対策の効果の検証、改善
○インターネットバンキングにおいても同様に、PDCAサイクルにより検討を行うことが期待されるが、ATMシステム以上に本人認証に関する方式は多様で、その技術も日々進歩しているため、情報収集・事後検証の重要性はより高いと考えられる。
○また、新たなリスク・犯罪手口に対応するため、自らの情報収集体制の構築に加え、財団法人金融情報システムセンター・金融関係団体などとの連携強化などの将来を見据えた対応が求められる。
2. 具体的なリスク
○国内外で発生している犯罪手口及び技術的に想定されるリスク(別表)の洗い出しを行った。
○以下の項目などは、実際に主要行のみならず地域金融機関においてもリスクが顕在化しているため、適切な対応が求められる。
〔ATMシステム〕
- ATMコーナーに隠しカメラが設置され、暗証番号とキャッシュカードの券面情報を盗撮される
- ATMにスキミング装置が設置される
- 被害にあう可能性のある顧客を特定できない
- 被害にあう可能性のある顧客に対し、速やかに連絡・周知することができない
- 防犯ビデオが十分に機能しない
〔インターネットバンキング〕
- スパイウェアによりIDと認証情報が漏洩する
- フィッシングサイトにおいてIDと認証情報が詐取される
○また、金融業界は、ICキャッシュカードや生体認証などの新たな認証方式について、他金融機関取引の基となる各種標準の最新の状況を踏まえた見直し・改定が速やかになされない場合、それら標準を踏まえた新たな認証方式の導入状況が金融機関毎に異なる場合などには、セキュリティレベルが低いシステムを残存させざるを得ないことを認識して、適切な対応をとるべきである。
※ 現在、主な標準としては、「全銀協ICキャッシュカード標準仕様」などが存在。
3. 対策のあり方
○財団法人金融情報システムセンターの調査も踏まえ、各種対策の有効性について広範囲に亘る検証を行った。
○主な例として、以下のものがある。
〔ATMシステム〕
- ICカードに関しては、全銀協ICキャッシュカード標準仕様を順守することにより、現時点においては安全性が確保されていると考えられる。
- 生体認証に関しては、現時点においては不正利用対策として、本人認証の有効な手段であるが、成長過程の技術でもあり、有効性や利用にあたっての留意事項等について、今後も継続的に評価していくことが必要である。
〔インターネットバンキング〕
- インターネットバンキングにおける認証方式については、個々の認証方式が、各種犯罪手口に対してどの程度の強度を有するかを検証した上で、選択する。さらに複数の認証方式や不正取引を早期に発見できる機能を適切に組み合わせることにより、取引の安全性を高めることが可能である。
(注)インターネットバンキングにおける認証方式の選択にあたっては、認証方式を「記憶認証」、「所持認証」、「生体認証」に分類した上で、複数の分野に属した認証方式を採用すべきとの考え方がある。しかし、その場合であっても、例えばスパイウェアにより認証に必要な情報が全て詐取される場合も考えられる。そのため、本検討会においては、個々の認証方式が各種犯罪手口に対してどの程度の強度を有するかを検証した上で、適切な認証方式を採用すべきとした(リスク分析に基づく認証方式の選択)。
○特定のリスクへの対策は複数存在することから、各金融機関は自らに適した対策を選択すべきである。
(例)口座情報・暗証番号が漏洩するリスクに対しては、暗号化など技術的に対応する方法のほかに、アクセス権限の厳格化などの管理運用態勢の強化による方法もある。
IV . 今後の対応
○本検討会の検討結果については、参加各団体がそれぞれの基準・標準の改訂に活用する。金融庁としては、主要行等及び中小・地域金融機関向けの総合的な監督指針に盛り込むこととする。
(以上)
サイトマップ
