金融ＩＳＡＣで講演

金融ISACって何？

金融ISACは、国内の金融機関によるセキュリティに関する情報連携を目的とした団体です。銀行、証券や保険といった、機関や企業が加盟しています。ラックは2015年よりアフィリエイト会員として、設立当初からお力添えさせていただいています。金融ISACでは、年に1回、全国の会員が顔を合わせて情報連携を図るカンファレンスがあります。それが、金融ISACアニュアルカンファレンスです。

ステージ講演

昼食時間帯に、アフィリエイト会員の講演が行われました。私は一番手でラックのスマートフォンアプリケーション診断から得られたセキュリティに関する知見を共有するべく講演しました。

なぜ、スマートフォンアプリケーション（以下、スマートフォンアプリ）についての講演！？と思う方もいらっしゃるかもしれません。キーワードは、「FinTech」 です。5/26（金）に銀行法が改正され、各金融機関に対し、オープンAPI導入の努力義務が課され、「FinTech」への期待が高まっています。FinTech企業は金融機関の重要な処理を担う API を取りまとめ、金融機関を横断するサービスを提供することができます。スマートフォンアプリでのサービス提供も十分想定されます。
新しいことができるようになると聞くと、我々は職業的にいろいろ考え込んでしまいます。たとえば、セキュリティ対策が不十分だとAPIやスマートフォンアプリを起点に不正送金やなりすましといった被害につながる可能性が考えられます。そのため、今回は我々が懸念していることを発表し、発表内容の詳細を解説したホワイトペーパーもブースで配布しました。
近日、修正を加えてレポートとして公開予定です。

ブース出展について

アフィリエイト会員であるラックは会場にてブース出展もしました。
ラックは、銀行法改正による金融機関のオープンAPIや標的型攻撃対策に注目し、いくつかの診断サービスを紹介しました。
主に紹介したサービスは以下の2つです。

ペネトレーションテストサービス

サイバー攻撃によってどのような被害が発生するかを疑似的な攻撃を行うことで明らかにするのが、今回ご紹介した「ペネトレーションテストサービス」です。
従来のプラットフォーム診断やWebアプリケーション診断では、その対象の脆弱性を洗い出すことが目的ですが、本サービスは実際の攻撃者が狙ってくることを想定して、どのような被害が発生する可能性があるのかを確認することを目的としています。 攻撃者がまず攻撃をしかけてくる公開サーバへの侵入や、最近流行のAPT攻撃のように従業員のパソコンをマルウェア感染させて内部への感染を拡大させるなど、攻撃者が狙ってくる箇所に対して疑似的な攻撃を行います。（APT攻撃に特化したサービスとしてはAPT攻撃耐性診断サービス「APT先制攻撃」があります。）

ITセキュリティ予防接種 セルフサービス

今回の展示では、ラックで多数実績のある標的型攻撃メール訓練サービス「ITセキュリティ予防接種」のシステムを、SaaSの形態でお客様にご提供する「ITセキュリティ予防接種　セルフサービス」をしました。
従来のITセキュリティ予防接種サービスでは、ラックの技術者から訓練対象者となるお客様の社員の方に疑似的な標的型攻撃メール（訓練メール）の配信を行いますが、セルフサービスでは、お客様自身でシステムを操作し、社員の方に訓練メールを配信いただくことが可能です。そのため、お客様内部の状況に合わせた柔軟な訓練の計画や運営が可能になります。また、訓練メールの配信および開封状況の集計に特化したサービスのため、コストパフォーマンスが高いことも特長です。

セキュリティが直近の課題となっているのか、各ブースそしてステージ講演で多くの方が情報収集に務めていらっしゃいました。

毎年、金融ISACで紹介するサービスや製品はある程度のテーマを決めております。今年は、診断サービスに特化して取り組んでまいりました。特に、スマートフォンアプリに関するセキュリティ対策については、今後の世の中のために是非とも紹介したいと強く訴え、関係者の皆様にさまざまな協力をいただきまして実現することができました。
ありがとうございました。
今後も多くの方々にセキュリティ対策の情報をわかりやすくお伝えできたらと考えます。