エム・フィールドグループのbalconia株式会社が、FinTech・金融業界のセキュリティ知識の普及とセキュリティ投資の適正化を目指す「Security LAB」を設立しました。
LABを立ち上げた執行役員の堀浩史と、堀の想いに賛同し、技術顧問に就任した松本亮介氏に現在の金融業界のセキュリティに関する課題と、LABが将来的に果たしたい役割について話を聞きました。
ーーまず最初に、技術顧問に就任した松本さんのご紹介をお願いします。
堀:松本さんは変わった経歴をお持ちです。現場の技術を経験するために、大学卒業後にホスティング系の企業に就職した後に、異例の修士飛ばしで京都大学大学院の博士課程で情報学を収めます。卒業後にGMOペパボ株式会社でチーフエンジニア兼ペパボ研究所の主席研究員として活躍された後、現在はさくらインターネット研究所で上級研究員を務めながら、balconiaを含めた複数の企業で技術顧問に就任されています。
専門は、クラウドコンピューティング・ホスティングサービス・インターネット基盤技術で、OS・Middlewareのセキュリティ・リソース管理・運用技術改善・パフォーマンスや、次世代インフラ・プロトコル技術、ネットワークセキュリティ、高集積マルチテナント環境における高性能かつ柔軟に権限分離可能なWebサーバのアーキテクチャに関する研究を研究されています。
「第9回日本OSS奨励賞」や「2014年度情報処理学会山下記念研究賞」をはじめ、多数の賞を受賞されていて、論文や学会誌への寄稿、エンジニアを集めた数々のイベントで積極的に研究内容を発表されています。
私は、ここ数年特に金融機関やFinTech企業の案件に携わっています。セキュリティの重要性と同時に、セキュリティに対する理解度が社会的に低いことに課題を感じており、この状況を変えるためにSecurity LABの構想を練っている時に、松本さんのような方に技術顧問として参画していただけないかと考え、私からTwitterでダイレクトメッセージをお送りしてアプローチしました。その後何度かお話しを重ねて、balconiaの技術顧問として参画いただけることになりました。
松本氏:今回balconiaの技術顧問に就任させていただいたのは、直感です笑。
TwitterなどのSNSからダイレクトメッセージでお話しをいただくこともあるのですが、
多くの場合、依頼内容が私の得意としていることと異なっていたり、提案内容に魅力を感じなかったりするのですが、堀さんがお話しくださったSecurity LABの構想は、私の得意とする分野であり、取り組みの内容にもとても共感できました。その後、共通の知人がいることがわかったりするうちに、堀さんはまともだなと笑。
直感が正しかったようです笑。
Security LABはFinTechや金融業界のセキュリティの研究に取り組みますが、長い目では、金融業界に限らず、セキュリティに悩んでいる人たちの役に立ちたいと思っています。
堀:長期的には金融機関に限らずにセキュリティに関する知識を普及させたいという点は、私も同意見です。
松本氏:セキュリティと一言で言っても多種多様で、難しいイメージがありますよね。
全体的に見るとセキュリティに積極的に取り組んでいる企業と、そうでない企業の差が大きいんです。そして大多数の企業は中間で、セキュリティに取り組みたくない訳ではないけれど、「何から始めたらよいかわからない」で悩んでいる。具体的に何から着手したら良いかわからない方たちに、研究で得た成果を実務に沿った情報にして提供していきたいです。
堀:松本さんのおっしゃる通りで、セキュリティの理解を難しくしている要因の一つは、事業ごと、システムごとに注力すべきポイントが変わる点だと思います。
例えば、無記名のアンケート情報を持っているシステムと、名前や年齢などが記載された個人情報の入ったアンケート情報を持っているシステムではデータの機密性が異なるので、リスクの度合いが異なります。
松本氏:自社のシステムがどのようなシステムで、どのように管理されていて、どういう状態なのかをまず最初に明らかにしていくことが、リスクアセスメントの第一歩ですね。まず状態を知る、そして適切な施策を考え実行する。
しかしシステムへの対応ができても、実はセキュリティ対策はそれで終わりではありません。セキュリティは時に、チーム、組織、経営に直結する問題になることもあるので、段階を経ながら、セキュリティポリシーを明確にしていく必要があります。
堀:当社へのお問い合わせで多いのが、セキュリティの考え方を教えてほしいというご依頼や、セキュリティポリシーの策定に関するご依頼です。システムを改修するという現場だけの課題ではなく、より経営に近い課題として捉えられるようになってきたという感覚があります。
松本氏:本当にその通りですね。情報漏洩やシステムの不具合が起こった場合に、企業や提供しているサービスによって、発生した事象がどの程度の重要度と緊急度なのかが異なります。
例えば、飛行機の飛行システムに何らかの不具合が発生したとして、全ての飛行システムを一斉に停止したら大問題になります。しかしシステムによっては、停止することで被害の拡大を防げる場合もあります。システムの停止は売上と利益に直結する問題なので、自社の事業は、どのような場合にどの部分のシステムを停止するか、または稼働するかという判断は、現場の一存ではできないことが多くなっています。だからあらかじめセキュリティポリシーを策定している企業が増えています。
堀:金融業界においては、金融庁が策定したガイドラインがセキュリティポリシーの核となっています。しかし現行の金融庁のガイドラインは、多くの金融機関に適用できる内容にするために、非常に曖昧な部分が多く、現場で判断に困る場面が頻発しています。
私たちはこの曖昧さをシステムに落とし込んだ場合の「落とし所」を見極める必要があるのですが、私たちの提案した内容が適切かどうかを、お客様に判断してもらうためには、お客様側の知識と理解が必須です。そしてお客様の理解を促進するためには、金融庁のガイドラインの「翻訳」が必要だと思っています。
松本氏:翻訳は大事ですね。さらにセキュリティが多くの方にとって難しいと思われる理由の一つとして、ITの技術が日々変わっているために、セキュリティに関連した問題も日々変化していることがあげられます。
どんなに完璧なセキュリティポリシーを策定しても、数年、早ければ1年経過したら、その時点の技術に合致しない内容になってしまうこともあります。そのように変化し続ける技術に対して、金融庁が全ての金融機関に適切なガイドラインを作り続けていくことは難しいでしょう。だからこそSecurity LABがその役割を担いたいと思っています。
堀:その時、その企業にあったセキュリティを見極め、役に立つ情報を提供していきたいですね。2019年のセブンペイ不正アクセスや、2020年のドコモ口座不正送金、みずほ銀行のシステム障害など、FinTechや金融業界のセキュリティ問題は、自社の事業だけでなく、社会に対しても大きなインパクトがあります。だからこそしっかりとしたセキュリティ対策を講じる必要がありますが、過剰なセキュリティのために過剰な投資をしたり、サービスを低下させてしまっては本末転倒です。問題が起こる前に問題意識を持てるように警鐘を鳴らしていくのも我々Security LABの役割だと思います。
■Security LAB情報提供ホワイトペーパー第1弾
「システムのフェーズ別リスク項目と効果的な対策案」
以下のURLから無償でダウンロードしていただけます。
URL:https://balconia.co.jp/service/securitylab/download/
■Security LABに関するお問い合わせ
Security LAB問い合わせメールアドレス:securitylab@balconia.co.jp
