証券口座を狙った不正アクセス被害が、6月時点の累計で17社にまで被害が拡大し、標的が中堅・中小証券会社に移っていると見られています
4月のピークだった2932件から6月には783件に減少したものの、依然として件数が多い状況です
不正対策が銀行やカード会社に比べて遅れているとされる証券業界にとっては、まさに「待ったなし」の状況であり、金融庁の強い危機感がその原動力となっています
今回は、金融庁と日本証券業協会が15日に発表した指針案について考察していきたいと思います
新たな「サイバーセキュリティ管理態勢」と「認証」
改正案では、詳細な着眼点が追加されています
今回の証券口座乗っ取り事件を受けて、特に注目すべきは以下の点です
(1) フィッシングに耐性のある多要素認証と必須化
パスキーやPKIの導入推進
ログイン時や証券口座からの出金時など、重要な操作において、フィッシングに耐性のある多要素認証の実装及び必須化が求められています
具体例としては、パスキーによる認証やPKIベースの認証がデフォルトで求められるようになります
これは、これまでのメールや携帯電話番号を使った一時的なパスワードよりも、はるかに安全性が高いとされています
実質的なルール化
著しく逸脱した証券会社は業務改善命令などの対象となるため、これは実質的なルールに近い位置づけとなります
金融庁の「これをやらないと業務改善命令を出すぞ」という強い意志の表れと見て取れます
なぜ重要?
フィッシング詐欺の主な手口は偽サイトに誘導して個人情報を盗み取ることですが、生体認証やPKIはこのような手法に強い耐性を持つため、乗っ取り防止に非常に有効だと評価されています
(2) インターネット取引における「最優先の経営課題」化
サイバー攻撃対策が、単なるIT部門の課題ではなく、取締役会等において「最優先の経営課題」として位置付けられ、経営レベルでの検討とセキュリティレベルの向上が求められます
これは、経営層がサイバーセキュリティを自らの責任として捉え、積極的に関与することを、金融庁が強く求めていることを意味します
PDCAサイクル(リスク分析、対策策定・実施、効果検証、評価・見直し)の機能も明記されており、継続的な改善が必須となります
(3) 不正検知・通知機能の強化と顧客対応の徹底
不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備が求められます
顧客が身に覚えのない不正な操作を早期に検知できるよう、電子メール等による通知機能の提供が必須となります
認証連続失敗時のアカウントロック機能の実装 、ログイン時の挙動分析(振る舞い検知)による不正アクセス検知 、そしてログ保存の実施も明記されています
顧客からの届出を速やかに受け付ける体制 、そして被害にあった顧客への情報提供や被害補償を含めた「真摯な顧客対応」も重視されています
この改正案がもたらす影響と課題
この監督指針改正案は、金融機関、特に証券業界に大きな影響を与えると考えられます
(1) 中堅・中小証券会社の投資負担増という「重い課題」
生体認証の採用には数億円、運用にも年間で億円単位の費用が発生するとの見方があり、規模の小さい証券会社にとっては、この多額の投資が利益に見合わないという懸念が生じています。
「自社での対応だけではネット取引の継続は困難だ」
「費用を考えると参入を検討する理由がなくなった」
といった声も上がっており、中堅・中小証券会社の再編やネット取引からの撤退につながる可能性も示唆されます
これは、金融庁が安全性を追求するあまり、業界の構造変化を招く可能性もはらんでいます。
(2) サイバーセキュリティ対策の「終わらない戦い」
「犯罪の手段はさらに高度になるため、対策とのいたちごっこは続く」のが現実です
「証券会社側で疑わしいアクセスを主体的にはじく監視強化」と認証強化の両輪での整備が求められます
(3) 口座乗っ取り被害の補償対応の「温度差」
不正アクセスによる口座乗っ取り被害への補償対応が、証券会社間で割れる公算が大きいとされています
対面大手証券
不正売却された株式を元に戻す「原状回復」を原則とする方針が多く、きめ細やかな顧客対応が可能な対面証券ならではの対応と言えます
ネット証券
営業社員が少ないため、自社内で一定の水準を設けて金銭による補償が軸となる見通しで、被害者全員への全額補償は難しい可能性も指摘されています
補償の充実と、顧客の警戒心維持のバランスが課題となります
【まとめ】厳格化する規制、投資家保護の「決断」へ
今回の「金融商品取引業者等向けの総合的な監督指針」の改正案と証券業界の動向は、サイバー攻撃の高度化に対応し、利用者保護を徹底するための金融庁の強い決意と危機感を示すものです
金融機関は経営課題としてサイバーセキュリティに取り組み、より強固な認証方式や不正検知システムを導入し、顧客対応を強化することが求められます
これは、金融とITが高度に融合する現代において、デジタル資産を守る上で不可欠な変化です
中堅・中小証券会社には大きな投資負担となりますが、安全性の確保は消費者にとって証券サービスを選ぶ大きな要素となるため、この流れは止まらないでしょう
私たち利用者も、金融機関が導入する新しい認証方法への対応を進め、自身のセキュリティ意識を高めていくことが重要です
今後も、金融庁の動きや、各金融機関の具体的な取り組みについて、見ていきたいと思います
