「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第3回)議事要旨
1.日時:令和6年10月18日(金曜日)15時00分~16時30分
2.会場:中央合同庁舎第7号館 13階 共用第1特別会議室
3.出席メンバー:寺井座長(株式会社みずほフィナンシャルグループ)、岩崎メンバー(株式会社静岡銀行)、宇根メンバー(日本銀行)、大城メンバー(株式会社しんきん情報システムセンター)、菅野メンバー(労働金庫連合会)、白井メンバー(株式会社三井住友フィナンシャルグループ)、高瀬メンバー(農林中央金庫)、松本メンバー(特定非営利活動法人日本ネットワークセキュリティ協会)、峰メンバー(株式会社三菱UFJフィナンシャル・グループ)、村山メンバー(信組情報サービス株式会社)
(注)上記のほか、オブザーバーとして、一般社団法人金融 ISAC、CRYPTREC 事務局、公益財団法人金融情報システムセンター、日本銀行 金融機構局、内閣サイバーセキュリティセンターが参加。
4.議事:
(1)開会
(2)作業部会からの説明
(3)意見交換・質疑応答
(4)閉会
5.議事内容:
議事(1)開会
- 寺井座長より挨拶。
議事(2)作業部会からの説明、(3)意見交換・質疑応答
- 作業部会より資料1について説明。
- PQC対応における「旗振り役」の点について、政府内で所管が分かれているという現実を踏まえると、はっきりと示すのは難しい事情も理解できるので、米国等での動きを我が国としても参考にしながら、という記載ぶりにしてはどうか。
- (NISC)第2回検討会でも申し上げたが、重要インフラ分野の取組みを進める際、全体を見ているNISCの役割を認識している。一方で、いつ量子コンピュータが登場し既存暗号が危殆化するかわからないという中で、暗号の評価などの面で、CRYPTRECやデジタル庁などの主体もいるので、政府全体で議論していく必要がある。
- CRQC(事務局注:cryptographically relevant quantum computerの略。暗号解読に利用可能な水準の量子コンピュータ)による脆弱性があるというのは明らかな事実。例えば、米国国土安全保障省のレポート(事務局注:”Preparing for Post-Quantum Critical Infrastructure: Assessments of Quantum Computing Vulnerabilities of National Critical Functions”)においても、CRQCにより影響が出る分野が挙げられており、対応の優先順位付けも記載されている。このような情報や、本検討会の成果物は、重要インフラの各分野の関係者に共有していくべきである。重要インフラに対する情報共有はNISCの役割でもあるので、例えばセプターカウンシルや重要インフラ専門調査会の場を通じて共有いただくのが適切と考える。
- (NISC)先般の重要インフラ専門調査会において、金融庁が本検討会について報告を行ったところ。
- 先ほどのメンバーからの情報共有に関する意見は、金融庁からの情報提供ではなく、NISCが主体的に情報を共有するよう対応するのが適切という意味ではないか。
- 本検討会の成果物の中では、少なくとも、PQC対応について旗振り役が必要だということは指摘しておく必要がある。
- 欧州委員会は、2年以内にロードマップを完成させることを加盟国に要請する勧告(事務局注:”Recommendation on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography”)を出している。いろいろなセクターから人を集めて議論してロードマップを作るというのが欧州の方針。金融機関に限らず、重要インフラの情報システム、制御システムのライフサイクルが長いというのが一つのキーポイントであり、各分野で連携して同期しないといけないというのが欧州の意図と思われる。連携にはリーダーシップが必要になる。これは各省庁単独ではできない。現時点ではリスクがはっきりしないという主張も理解できるが、情報システムのライフサイクルが長いことを考えると、現実的にはそれほど先のことではない。
- 現時点での成果物の案では、NISCや重要インフラ所管省庁についてすでに触れられている。一方で、各省庁間で連携するということの意味には幅があり、PQC移行の対応は、セクターをまたがって国全体で取り組んでいく必要があることを踏まえると、旗振り役の必要性については、欧米の状況にも触れつつ、本検討会の成果物において記載しておきたい。
- (NISC)政府全体としての方針が定まっていない現状においては、政府全体での議論が必要であり、それに基づいて、関係省庁間でよく連携しながら、重要インフラ各分野との議論を丁寧に行っていくということが重要ではないか。
- (事務局)欧米の状況にも触れつつ、政府において、旗振り役、すなわち総合調整の機能を発揮する組織を明確化する必要性を本検討会が発信して、それを政府全体で受け止めるということになるのではないか。
- 旗振り役の必要性の前提として、政府としてPQCへの取り組み姿勢を明確化することの必要性を記載することを含めることとしたい。本論点については、大体合意できたと思うので、本日の議論を踏まえて、作業部会において文面を検討いただいて、調整することとしたい。
- Harvest Now Decrypt Later(HNDL)攻撃の点について、現段階におけるデータ保護が重要であり、その具体的な例の記載要否について指摘したところ、資料1の右列に記載されている作業部会の提案に異存ない。一方で、不確実性がある中で、時間が経てば守るべきデータの量が増えてくると思われるので、成果物の5章の「移行に向けた推奨事項」の項などに、データの保存期間や、データの重要性の考え方を記載できればいいのではないか。
- 米国国土安全保障省のレポート(事務局注:前出)によれば、金融サービス分野の対応の優先順位は中から低とされているが、その背景として、金融サービスにおけるデータが規制によってすでに厳格な保護対策のもとにあるとともに、PQC実装に向けた検討が先行している旨が記載されている。また、HNDL攻撃を受けるような長期間の保護が必要なデータが限られているからではないか。作業部会による成果物の案文では、HNDL攻撃の対象となりうるデータとして、例えば、防衛産業企業との取引情報やM&Aに関する情報などを挙げている。こうしたものを含め、長期間の保護が必要なデータをきちんと確認しておくことが重要。そのため、各金融機関において保有する重要データを棚卸ししてリスク評価を行うことの必要性について記載している。
- 入口としては、HNDL攻撃の観点から保護すべき重要なデータを特定し、それを扱っているシステム・サービスの優先順位が高い。そうした優先順位が高いものに対して、インベントリを作成しリスク評価を行うことが推奨されるということか。そのうえで、成果物の案では、保護すべきデータを排他的に列挙することはできないので、考え方を示す形にしているということか。
- そのとおり。各金融機関でどのようなデータが保護すべき対象になるかということを整理し、攻撃者の視点で、10年、20年後も、悪用のためにそのデータをとっておこうというインセンティブが働くものなのかという観点で分析して絞り込んでいく必要がある。例えば、インターネットバンキングでやりとりされている情報で、10年、20年と秘密にしておく情報がどれほどあるのか、実はわからない。精査すれば、対応の範囲を絞り込むことができる。
- 私の理解では、「暗号アルゴリズムの2010年問題」の際には、このような話はなく、現在のほうが重要な情報が扱われている可能性はある。一番簡単な攻撃は、TLSやIPsecで使われている鍵交換技術に対するものであり、インターネット上に流れているデータが対象になるが、本当に重要なデータはインターネット上に流してはいけないので、個人的には対象となるか疑問がある。また、鍵交換は比較的早くPQC移行することが技術的に可能である。インベントリの作成により、このあたりの実態が明らかになることを期待している。
- 暗号の危殆化の話になると、インターネットバンキングの話がよく出てくるが、よく整理すると、インターネットバンキングで流れる情報は、そこまで長期間保全しないといけない情報はほとんどない可能性がある。本検討会の成果物のなかで、明確にする必要があるのは、金融機関の経営層が、インターネットバンキングについて対応すればいいという固定的な発想にならないようにすること。エグゼクティブサマリーに明示的に入れた方がいいかもしれない。
- 金融機関の経営層が読んでわかるように工夫したい。
- HNDLはキーワードとして出てくるが、インパクトが正しく伝わるようにしないといけない。それをもとにしてリスク評価しプライオリティを付けていくことが大事である。
- 成果物については、金融庁において英語化していただきたい。PQC対応に関してわが国の金融分野における取組みを諸外国に説明する際に有用となるはずである。
- 成果物(案)の6章「戦略・態勢面」の「関係者の役割・責任の明確化」の項に、「この後、当局や業界団体を含め、業界として協力して取り組む課題を抽出し、対応方針を検討する枠組みの策定等が課題」という記載について、今後、金融業界としてのロードマップを作っていく必要がある。ロードマップ作りの結果、課題として挙げられたものについては、他の重要インフラ分野、ステークホルダーにも共有していく必要がある。そのことを、成果物の6章において明確に書いてはどうか。
- 今般の成果物(案)については、金融ISACの「FinTechセキュリティWG」(ワーキンググループ)でも議論し、同WGのインプットも入っている。今後については、同WGで議論していくということが考えられる。並行して、預取だけでなく、証券、保険、他の業界にも議論の内容を共有することが必要。重要インフラ専門調査会やセプターカウンシルを通じて、継続的に共有することが考えられる。金融業界のなかでも、温度差があり、アウェアネスを高めることが第一歩なので、金融庁にもセミナーなどを通じて、発信の支援をいただきたい。
- 金融ISACフォールカンファレンスでも、PQC対応についてパネルディスカッションを行った。アンケートを実施したところ、PQC対応を社内で頭出ししている金融機関は少数だった。
- PQC対応は、個社だけの問題ではなく、社会全体の対応に合わせて進めていくべき話である。脅威の発現がまだ先の中で、誰かが議論しないと進まない。金融ISACのFinTechセキュリティWGを中心に議論していくことと並行して、具体的な対応については、金融庁などの公的な機関によって、経営層への後押しを図っていくことも必要であり、相互に補完できると思うので、検討いただきたい。
- 今後の検討を進めるに当たって、金融ISACのFinTechセキュリティWGを中心にするにしても、本検討会のように、CRYPTRECなどの有識者やITベンダーにも議論に参加いただく必要がある。また、その成果物の浸透については、金融庁や業界団体にも協力いただいて進めるという工夫が必要。
議事(4)閉会
- 本日の議論を踏まえ、作業部会において成果物(案)の修正版を作成いただき、事務局から10月28日までに検討会メンバーに回付し、コメントを踏まえて、必要に応じてオンラインで意見交換等を行った上で最終化し、11月半ばを目途に公表することとしたい。
- (事務局)7月の検討会開始以降、限られた期間だったが、寺井座長のとりまとめの下、メンバー及びオブザーバーの皆様におかれては、非常に中身の濃いご議論をいただき、感謝申し上げたい。また、作業部会の皆様には、短期間で充実した成果物をドラフトしていただき、感謝申し上げたい。このような形で、業界・当局が一丸となって、新しい課題に機敏に対応していくことは、重要かつ貴重なことと考えている。今後、サイバーセキュリティや技術の分野で課題が出てきたときの対応の先例となった。ご議論いただいたように、本取組みはこれで終わりではなく、具体的なロードマップの作成、発信について、当庁としても、業界の皆様、金融ISACと協力しながら進めていきたい。引き続き、対話を継続させていただきたい。
- 個社による対応が難しい中で、こういう場は有用。検討だけでなく、PQCの対応そのものも、業界として、できるだけ共通化してやっていくことが必要なので、引き続き、関係者と連携して議論を継続したい。
―― 了 ――
(参考)開催実績
- お問い合わせ先
-
金融庁 Tel 03-3506-6000(代表)
総合政策局リスク分析総括課ITサイバー・経済安全保障監理官室(内線2217、3850)