金融機関における脅威ベースのペネトレーションテストの動向

本連載は、週刊金融財政事情（2024年4月～5月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

金融機関に広がるTLPT

「脅威ベースのペネトレーションテスト（以下、TLPT）」は、サイバーレジリエンスを強化するためのサイバー演習の一種です。「レッドチーム演習」や「パープルチーム演習」とも呼ばれます。TLPTでは、攻撃側と防御側に分かれ、攻撃側が対象となるシステム・ネットワークに対して疑似的な攻撃を加え目標の遂行を試みる一方、防御側はその攻撃を検知し対処することで、実践的にインシデント対応態勢の実効性を検証します。

一般的な脆弱性診断やペネトレーションテストとの違いは、現実のサイバー攻撃を模擬した攻撃シナリオの下、システムの脆弱性や設定不備といった「モノ」の観点のみならず、「ヒト・プロセス」の観点に焦点を当ててサイバーレジリエンスを評価することにあります。具体的には、検知策の有効性やセキュリティインシデントが発生した際に対応するチーム（CSIRT）の対応能力といった内容です。

金融庁は2018年10月、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の改訂において、大手金融機関に対して実践的な侵入テストとしてTLPTの実施を求めました。これがTLPTの注目される契機となりました。近年では、金融庁と日本銀行によって大手金融機関におけるTLPTの取組み状況の調査が行われるなど、金融機関にとってTLPTによるサイバーレジリエンス強化は「事実上の責務」となりつつあります。

TLPTの導入は、官公庁や石油・天然ガス会社、メーカー、商社等にも広がっていますが、当社がこれまでTLPTを企画・実施した組織の8割以上は金融機関でした。そのうち大手銀行・大手証券会社においては、毎年の施策として実施され、サイバーセキュリティ態勢の改善手段として定着しつつあります。

他方で、地域金融機関ではTLPTを実施していないか、1度実施したものの2回目以降の実施には至っていない傾向があります。その多くにおいて、TLPTの意義は理解されているものの、コスト負担増やシステムへの影響を懸念して予算化のメドが立たないことが課題となっています。

設定すべき攻撃シナリオ

TLPTでは、実際に起こり得るサイバー攻撃を想定した攻撃シナリオを設定する必要があります。その時々のサイバーセキュリティの重要トピックや、対象組織におけるシステム・ネットワーク上の弱点に応じたシナリオを採用します。

TLPTを初めて実施するケースでは、OA環境に対する標的型攻撃やランサムウエア攻撃が多く採用されます。足元ではクラウドサービスを攻撃目標として設定したり、支社・支店のほか外部委託先からのサプライチェーン攻撃を再現したりするなど、さまざまな攻撃シナリオが採用されています。

また、従前から強力な境界防御で守られている金融機関では、外部の第三者による攻撃よりも内部不正やオペレーションミスを主要な脅威として捉え、不正行為の成功までの前提条件と影響範囲を特定することを見据えたシナリオを設定する場合もあります。

ガバナンス領域の課題も

当社の支援先での共通した課題について、NIST（米国立標準技術研究所）のサイバーセキュリティフレームワークに沿って分類し、図表に示しました（下図参照）。

【TLPTにおける共通課題と主な対策】

分類	課題	主な対策
Govern	セキュリティガバナンスが未熟／浸透していないセキュリティ部門の立場が弱く、施策の実施が停滞製品導入が拙速に優先され、実効性評価や運用設計が疎か	セキュリティ戦略の検討・実装・振り返りが適切な優先度およびサイクルで行われる組織文化の醸成
Identify	セキュリティ部門による全容把握の不足 CSIRTがネットワークとシステムの全体像を把握していないインシデント対応における意思決定や分析作業がシステム所管部や外部ベンダーに依存	インシデント対応を見据え、全容把握に向けた情報整理を施策化
Protect	セキュリティ観点での要件定義・実装の不足クラウド利用やゼロトラスト化を進めた結果、外部への抜け道ができているサービス開発・構築時に攻撃余地を作り込んでしまっている	セキュリティ観点での設計見直し要件定義段階からセキュリティ知見者を関与させ攻撃耐性を強化
Detect	検知策が想定どおり機能しない／存在しない疑似攻撃に対してアラートが期待どおりには上がらない障害防止を優先した結果、重要サーバーへ検知策が未導入	TLPT等の効果測定の推進システム監視・サーバー側検知策を含めた多層的な検知態勢の構築
Respond	インシデントに対する危機感・習熟の不足正常性バイアスによりアラートを看過し初動が遅れるインシデント対応メンバーがジョブローテーション対象のためスキルが蓄積しない	TLPT等の実践的訓練を通した危機感の醸成重要スキル者に対する人事制度上の措置
Recover	対応不完全なままでのインシデントクローズ一般的に必要な復旧手順が網羅されていないクローズ条件、あるいは正常性確認の基準・手順が定義されていないか曖昧	公開資料や専門家のアドバイス等を基に適切なインシデント対応手順・条件を定義

出典：KPMG作成

防御・検知策（Protect/Detect）では、デスクトップ環境や自社開発アプリケーションの要件定義・設計段階において、セキュリティ要件・設計の考慮不足によって脆弱な実装がなされ、攻撃余地が生み出されていたケースが見られました。自社内で検知策の性能を評価する術がないため、設計や運用の作り込みが不十分で、攻撃に対して検知策が機能しないか、またはアラートを看過してしまったケースも確認されています。

インシデント対応態勢（Respond/Recover/Identify）については、実インシデントにおける対応失敗につながり得る課題が見られます。具体的には、事前に定めた対応手順の精緻化が不十分で場当たり的・属人的に対応する、対応メンバーの正常性バイアスによってサイバー侵害の兆候を見逃すといったケースがありました。また、対応者のスキルやオーナーシップの欠如、ベンダーへの過度な依存によって、自社のビジネス環境・事情とサイバーセキュリティの観点の双方を踏まえた適時適切な意思決定をできないといった課題も確認されています。

これらの背景には、現場部門だけでは解決できないガバナンス・マネジメントの領域（Govern）の課題もあります。セキュリティ戦略・投資、組織文化、組織運営姿勢等です。こうした課題も発掘できるのがTLPTの真価の1つと言えます。

デジタル化の進展に伴い、金融機関同士または異業種間でのネットワーク接続が増え、サプライチェーンにおけるシステミックリスクの増大が懸念されています。そうしたなか、サプライチェーンの最も弱い箇所を攻撃されることが脅威となっています。大手金融機関の取組みを高度化しつつ、地域金融機関の底上げに取り組んでいくことが、個別金融機関や業界全体のサイバーレジリエンス強化において急務となるでしょう。