金融の記事

ARTICLE

金融

金融庁のセキュリティ注意喚起にSPIRALver.1は対応してるの？セキュリティ部門に聞いてみた【やまざき調べvol.37】

掲載日：2022年4月26日更新日：2024年2月21日

＃やまざき調べ＃レポート

こんにちは！金融カスタマーサクセス部やまざきです。

最近、毎日値上げのニュースを目にします。

国際情勢が理由で原油価格が高騰しているせいらしいけど、ガソリンから食品までこんなにたくさんのものが一気に値上がりするとびっくりするなあ～

不安定な国際情勢を受け、金融庁は金融機関に対してサイバーセキュリティ対策の強化について注意喚起を行いました。それを受けて、金融機関から弊社宛ての問い合わせも増加しています。

金融庁の通達
「金融機関におけるサイバーセキュリティ対策の強化について」（2022年3月1日、金融庁）

せっかくなので、弊社のセキュリティ部門にSPIRALver.1のセキュリティ対策について聞いてみました。

セキュリティ部門のT野さん、お疲れ様です。いつも金融業界のお客様からいただくセキュリティや脆弱性のご質問の相談に乗ってくださってありがとうございます！

いえいえ。今日はよろしくお願いいたします。

よろしくお願いいたします。金融庁が先日通達した「金融機関におけるサイバーセキュリティ対策の強化について」ですが、SPIRALver.1を利用されているお客様やサービス選定されている方にもわかりやすく、なおかつセキュリティ担当の方にもご納得いただけるようにうまいこと解説したいんです。教えてください！

わかりやすく書くのはやまざきさんに任せます（笑）対策内容については説明しますよ。

がっ…頑張ります…！T野さんにはセキュリティの質問ばかりしていますが、普段は何をやっている部門なんですか？

当社のセキュリティ部門では、お客様に安心してサービスを利用いただけるよう、スパイラル株式会社社員の意識改革や体制整備を行ったり、SPIRALver.1などのサービスの安全性を保つための活動を行ったりしています。具体的には、技術顧問の方々とのやりとりや、サービスに対する継続的な脆弱性診断の実施などです。

そのような活動があるからセキュリティ要件の高い金融機関さまにも安全にご利用いただける品質を保てているんですね。

今回は解説が長文になってしまったので、次の項目で回答早見表を作っています。解説している章までのリンクを設置していますので、詳しくご覧になりたい方はそちらをクリックしてご覧ください！

SPIRALver.1の対策について回答早見表
1. 「リスク低減のための措置」の解説
2. 「インシデントの早期検知」の解説
3. 「インシデント発生時の適切な対処・回復」の解説
「100-1=0」の心構えでセキュリティ対策を行っています！
参考文献

SPIRALver.1の対策について回答早見表

まずは、金融庁がアナウンスしている内容について、弊社SPIRALver.1の対応状況を一覧でご紹介します！

自社のセキュリティ部門から質問を受けた方は、ぜひこちらの一覧表をご連携ください。

1. リスク低減のための措置 ※解説はこちら！
1-a. パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。	〇	解説はこちら！
1-b. IoT 機器を含む情報資産の保有状況を把握する。特にVPN装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ（最新のファームウェアや更新プログラム等）を迅速に適用する。	〇	解説はこちら！
1-c. メールの添付ファイルを不用意に開かない、URLを不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。	〇	解説はこちら！
2. インシデントの早期検知 ※解説はこちら！
2-a. サーバー等における各種ログを確認する。	〇	解説はこちら！
2-b. 通信の監視・分析やアクセスコントロールを再点検する。	〇	解説はこちら！
3. インシデント発生時の適切な対処・回復 ※解説はこちら！
3-a. データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。	〇	解説はこちら！
3-b. インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。	〇	解説はこちら！

ここから下は、一つ一つの回答の詳細をご紹介します。

長文なので、気になるところがあったら上記リンクをクリックしてご覧いただくことをおすすめします！

1. 「リスク低減のための措置」の解説

1-a. 「パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。」について

「パスワードが単純でないかの確認」について、対応状況を教えてください！

回答の前に、なんでパスワードが単純だと危険なのか、やまざきさんはしっかり答えられますか？

単純なパスワードだと、簡単にバレて犯罪者に不正利用されてしまうから…でしょうか？

そうですね。最近は犯罪者向けのサービスを使うと簡単に不正ログインなどのサイバー攻撃ができてしまうので、簡単に突破されかねない単純なパスワードを使用するのは危険なんです。過去にこちらの記事でも紹介しています。

サイバー攻撃のためのサービスまであるんですか。怖いですね…SPIRALは、不正アクセスされないようにどんな対策ができるのでしょうか？

SPIRALver.1の管理画面にログインする際と、SPIRALver.1で作った会員サイトのログイン時に実施する本人認証について回答しますね。

SPIRALver.1管理画面ログイン時のパスワードは、半角英字、数字、記号の3種を組み合わせてご設定いただく必要があります。その他、ID情報と同じ値の登録ができないなどの制御をかけることで、予測しやすいパスワードの登録を防いでいます。

SPIRALver.1のマイエリア機能を使って会員サイトを作る場合、設定できるパスワードの複雑さを4段階で設定できます。組み合わせが複雑な値だけが登録できるようにしたり、長い値のみパスワードに登録できるように制御をかけることが可能です。

SPIRALver.1で設定可能なパスワード強度について、詳しくはサポートサイトをご覧ください。

補足ですが、お客様から、「パスワードが平文で保存されていないか？」といった質問を受けることがあります。SHA256など、ハッシュ化（不規則な値に変換）して値を保存するフィールドをパスワードフィールドとして使えるため、安全に会員情報を管理いただけます。

「アクセス権限の確認」について教えてください！

SPIRALver.1の管理画面へのアクセス権限は、担当者IDの管理画面でご確認いただけます。

SPIRALver.1には、管理画面にログインできるIDが3種類あります。

担当者ID：全ての機能が利用可能
個人情報閲覧不可ID：登録データの閲覧以外の機能が利用可能（有料オプション）
マルチアカウント：担当者IDで指定した機能のみが利用可能（有料オプション）

それぞれのIDの発行状況や、マルチアカウントに付与している権限は、管理画面上でいつでも閲覧・変更が可能です。

SPIRALver.1で構築した会員サイトなどの仕様はお客様ごとに仕様が異なりますので、サポートデスクへお問合わせください。

「多要素認証の利用」についても教えてください！

SPIRALver.1の管理画面やSPIRALver.1で作った会員サイト（マイエリア）にログインする際、多要素認証としてアプリ認証がご利用いただけます。

（そもそも多要素認証ってなんだったっけな…）

ぷちやまざき調べvol.37-1 多要素認証とは？

「オンライン本人認証方式の実態調査報告書」（2014年8月、独立行政法人情報処理推進機構（IPA）閲覧日：2022年4月12日）をもとに作成

本人認証を行う要素には「記憶（知識）要素」、「所持（所有）要素」、「バイオメトリクス情報（生体）要素」の3種類があります。

「記憶（知識）要素」は、パスワードなど本人だけが知っている情報。「所持（所有）要素」は、スマホなど本人だけが持っているもの。「バイオメトリクス情報（生体）要素」は、指紋や虹彩、顔など、本人の特性を識別できるものです。

3つの要素のうち、複数を組み合わせた認証方法のことを「多要素認証」と呼びます。

記憶（知識）要素の例：パスワード、パスフレーズ、PINなど
所持（所有）要素の例：ICカード、スマートカード、ワンタイムパスワードのトークンなど
バイオメトリクス情報（生体）要素の例：指紋、音声、虹彩、顔の形など

SPIRALver.1は、通常のログイン方法に加えて、アプリ認証を組み合わせることが可能です。

通常通りIDやパスワードで認証したあと、GoogleAuthenticatorやAuthyなどの認証アプリに表示される認証コードを管理画面上で入力するとログインいただけます。

多要素認証の補足ですが、SPIRALver.1で作成した会員サイト（マイエリア）での認証に、FIDO認証をご利用いただけます。

FIDO認証については、過去のコラムでご紹介しています。ぜひ御覧ください！
FIDO認証でパスワードレスの世界が実現できる?!【やまざき調べ vol.20】

ぷちやまざき調べvol.37-2 SPIRALver.1のFIDO認証ってどんなやつ？

SPIRALver.1では標準機能で使えるのに、なかなか認知度の低いFIDO認証。FIDO認証を使うとどんな流れで本人認証ができるようになるのか、ご紹介します。

まずは、FIDO認証でログインする際の端末やログイン方法を設定します。デバイス登録ページは、ログイン前・ログイン後、どちらにも設置いただけますが、詳細な手順はこちらでは割愛します。

デバイスとログイン方法を設定後、ログインページでIDを入力。FIDO認証に必要な画面が立ち上がります。

今回はパソコンのPINコードで設定したので、PINコードを入力する画面が立ち上がりました。コードを入力してボタンを押すと、ログインが成功します。

最後に「不要なアカウントの削除等」についても教えてください！

様々なサービスを利用していると「もう使っていないアカウント」が生まれがちですが、放置されたアカウントは不正利用されるリスクがあります。

過去の記事で、アカウントのライフサイクルを作る重要性についても紹介していましたね。

SPIRALver.1の管理画面へログイン可能なIDの削除は、担当者IDでログインすればいつでも操作いただけます。SPIRALver.1で作った会員サイト（マイエリア）へログイン可能なID情報の削除も、標準機能で構築したアプリの場合は管理画面上で即時に追加・変更・削除が可能です。ぜひ、定期的にアカウントの利用状況はご確認頂きたいです。

その他、ログイン可能な時期の制限なども設定可能ですので、ご興味のある方はサポートデスクへご相談ください！

1-b. 「IoT 機器を含む情報資産の保有状況を把握する。特に VPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。」について

最近は脆弱性に関するお問合わせをいただくことが増えましたね。

そうですね。私の部門でも、確認頻度を上げ、日々感度高く情報収集を行っています！

診断ツールを使って脆弱性を検知する取り組みを行っている他、ツールでは確認しきれない細かい脆弱性を発見するため、JPCERT/CC、OWASP、IPAなどの外部機関との積極的なコミュニケーションで脆弱性情報の早期共有と対応の迅速化に努めています。

ところでこの項目、VPNやらゲートウェイやら、難しい単語が多くて質問自体何を言ってるのかよくわからなかったので、解説します！

ぷちやまざき調べvol.37-3 「VPN」、「ゲートウェイ」とは？

コロナ禍で在宅勤務が広がり、「VPN」が身近になった方も多いでしょう。VPNは「Virtual Private Network」の略。2拠点を行き来するデータを盗み見・改ざんされにくいように仮想のトンネルを設けることで、安全にデータを行き来する仕組みです。在宅勤務など、社外から会社のシステムにアクセスする際などに利用されます。

ゲートウェイは、通信手段の異なるネットワークを経由する際に変換を行う機器です。LANケーブルやWi-Fiからインターネットに接続する際などに利用されます。

1-c. 「メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。」について

SPIRALver.1って、そもそもメールにファイルを添付できないですよね。

はい。ウイルスの感染・拡散防止のため、添付ファイル付きメールを配信する機能をつけていません。感染したファイルを添付し、多数のお客様にメールを配信すると、ユーザー様が二次感染源となってしまう可能性もあるためです。

自社で感染するのも感染源になって他人に迷惑をかけるのも嫌ですね。。

ほかにも、弊社内では、社内教育や標的型メール訓練を定期的に行っています

弊社では、メールや添付ファイルを不用意に開かないことなど、セキュリティ対策で知っておくべきことを半年に1回全社員向けにテストを実施しています。SPIRALver.1で作成した社内テストを、メールで社員全員に配信。回答を送信すると回答者情報とともに回答データが送信され、点数と解説が表示される仕組みです。

全問正解しないと合格できないんですよね。入社したての頃はなかなか大変でした。

社員教育などのeラーニングにご興味のある方がいらっしゃいましたらお気軽にご相談ください！

2. 「インシデントの早期検知」の解説

2-a. 「サーバー等における各種ログを確認する」について

ログイン・ログアウト履歴、DB操作履歴・配信ログなどを管理画面から確認いただけますよね。

管理画面上で提供していないログも、トレースできるように一定期間取得しているため、有事の際に調査協力が可能です。

2-b. 「通信の監視・分析やアクセスコントロールを再点検する。」について

利用規約を引用すると、こんな項目を24時間365日サーバーが監視を行っています。

pingによる生存確認
HTTP、HTTPS、SMTP、DNS、NTPの各ネットワークサービス
本件システムの負荷状況（CPU、メモリの使用状態）
ハードディスクの使用状況
プロセスの動作状況（本件システムを構成する各プロセス）
ログの情報
インターネット回線の帯域使用状況
外部からのWEB機能の正常稼働確認

とにかくいろいろな項目を監視していることはわかりました。

最近は、国際情勢を受けて“特定の国でSPIRALver.1を利用できないような対応”をしているのか聞かれることがあります。SPIRALver.1が使えない国ってありましたっけ？

国ごとにIPアドレスの遮断は行っていません。ただ、明らかに不自然なアクセスが見られるIPアドレスに関しては個別に処置しています。

3. 「インシデント発生時の適切な対処・回復」の解説

3-a. 「データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。」について

SPIRALver.1は2箇所でバックアップを保持しています。復旧手順の確認も定期的に行っていますよ。

SPIRALver.1は、インシデント発生時にシステムを無事に復旧できるようにするため、毎日最低1回、バックアップをサーバー内と遠隔地のサーバー内に取得し、14日間保管しています。

ただし、このバックアップはシステムの復旧を目的としたものなので、ユーザー様が削除したデータの復元は対応していません。そのため、特にデータを削除するときにはバックアップを取得してから削除してくださいね。

3-b. 「インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。」について

インシデント発生時の対応手順や応答・連絡体制は文書としてまとまっているので社員なら誰でも見られるんですが、社外秘情報なので詳しいご紹介はここではできないですね・・・

どんな体制なのかは説明できませんが、システムの安全性を維持するために社外のセキュリティ専門家を迎えてセキュリティ対策会議を毎月実施することで、適切な社内体制を維持しています。

「100-1=0」の心構えでセキュリティ対策を行っています！

金融庁の注意喚起について解説しましたが、セキュリティリスクは日常の小さな行いにも潜んでいます。弊社の従業員にはセキュリティ品質を保つため、「100-1=0」の心構えで、事前に問題を特定し対策できるよう、日々の業務に取り組んでいます。

このスローガンですよね。ポスターが貼ってあるのでよく目にします。

実際の現場でも、設定代行などでお客様のアカウントにログインする際も、画面共有・ログイン許可フォームから必要事項を送信いただいたり、弊社のログイン前後にパスワードを変更いただくことをお願いしています。

ご面倒かとは思いますが、作業者や期間などを双方が事前に認識することで安全に運用するために大切な確認ですので、しっかり確認お願いしますね。

今後もお客様に安心してSPIRALver.1をご利用いただけるように取り組んでまいります！

より細かくセキュリティ要件について確認が必要な場合は、セキュリティチェックシートの回答も承っています。回答の作成や確認には2週間程度かかりますので、お早めにご連絡をお願いします！

お問い合わせ

※本記事の内容の信頼性、正確性、真実性、妥当性、適法性及び第三者の権利を侵害してないこと等について、当社は一切保証いたしません。また、本記事の利用によって発生したいかなる損害その他トラブルにおいても、当社に一切の責任はないものとさせていただきます。

参考文献

「金融機関におけるサイバーセキュリティ対策の強化について」（2022年3月1日、金融庁）

「マルウェアEmotetの感染再拡大に関する注意喚起」（2022年3月14日、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）閲覧日：2022年4月14日）

「オンライン本人認証方式の実態調査報告書」（2014年8月、独立行政法人情報処理推進機構（IPA）閲覧日：2022年4月12日）

金融に戻る