私たちの多くは、自分の銀行口座からお金を引き出し、それを別の国にいる家族に送金し、オンライン上で請求書の支払いができることを当然だと思っている。世界的なパンデミックの最中にあって、私たちはデジタル接続が日常生活においていかに重要であるかを目の当たりにしている。だが、もしサイバー攻撃によって銀行がダウンし、送金が届かなくなったらどうなるだろうか。
私たちがデジタル金融サービスにますます依存するようになる中で、サイバー攻撃の件数は過去10年で3倍に増え、依然として金融サービスが最も標的にされている。サイバーセキュリティは、明らかに金融安定性にとって脅威となっている。
金融面および技術面での相互接続性が高いことを踏まえると、主要金融機関や多くの人が利用する中核システムまたはサービスへの攻撃が成功した場合には、金融システム全体に影響が素早く伝播し、広範囲にわたる混乱と信頼喪失が引き起こされかねない。流動性が閉じ込められると取引が成立しない可能性があり、家計や企業は預金や支払いへのアクセスを失うかもしれない。極端なシナリオの下では、投資家や預金者が資金を引き上げるか、あるいは通常利用している口座などのサービス・商品を解約しようとする可能性もある。
ハッキングツールは現在、より安価かつ簡易で強力なものとなっており、スキルの高くないハッカーでも以前と比べるとほんのわずかな費用でより大きなダメージを与えることが可能になっている。モバイルサービスは多くの人にとって利用可能な唯一の技術プラットフォームであるが、その拡大に伴ってハッカーにとっての機会が増えている。攻撃者は機関の大小や国の貧富を問わず攻撃を仕掛け、国境に関係なく活動する。そのため、サイバー犯罪に対処しリスクを減らすには、国内外で共同の取り組みが求められる。
ネットワークの保守やソフトウェアの更新、強力なサイバーハイジーン(サイバー衛生)の実施といった日常の基礎的なリスク管理業務は今後も各金融機関が担うが、共通の課題に対処し、金融システム全体にわたる波及効果や相互接続性を認識することも必要となる。保護への投資を促すべく個別企業にインセンティブを付すだけでは十分ではない。投資不足を防ぎ、より広範な金融システムを攻撃の影響から保護するためには、規制と公共政策による介入が求められる。
私たちの見るところ、多くの国々の金融システムはまだ攻撃に対処する準備ができておらず、他方で国際的な協調も不十分なままだ。IMF職員による新しい研究では、サイバーセキュリティを大幅に強化し、世界全体の金融安定性の向上につながりうる6つの主要戦略を提案している。
サイバーマッピングとリスク定量化
国際金融システムの相互依存性についての理解は、業務面や技術面での主要な相互接続性と重要インフラをマッピングすることによって深められる。サイバーリスクの金融安定性分析への統合を改善することは、システム全体に関わるリスクを理解・軽減する能力を高めることになるだろう。潜在的な影響を定量化することは、対応の焦点を絞り、この問題に対するより強力な取り組みを推進する上で役に立つだろう。サイバー事象の影響に関するデータの不足やモデル化上の課題などを理由として、この分野の作業は初期段階にあるが、その重要性が高まりつつあることに鑑みて加速させる必要がある。
規制の収斂
より国際的に一貫した規制や監督があれば、法令順守コストが下がり、より強力な国際協調のためのプラットフォームを構築できるだろう。金融安定理事会や決済・市場インフラ委員会、バーゼル委員会といった国際制度は、調整の強化と収斂の促進に着手している。各国当局は実施に関して協力する必要がある。
対応能力
サイバー攻撃がますます増える中で、金融システムは攻撃が成功した場合でも速やかに業務を再開し、安定性を維持できるようにしなければならない。いわゆる対応・復旧戦略は低所得国を中心に未だ萌芽状態にあり、低所得国はその策定に支援を必要としている。国境をまたぐ制度やサービスの対応や復旧を支援するには、国際的な仕組みが必要である。
積極的な共有
脅威や攻撃、官民による対応に関する情報共有を進めることによって、効果的に抑止・対応する能力が高まるだろう。しかし、依然として深刻な障壁があり、多くの場合それは国家安全保障上の懸念やデータ保護法制に由来している。監督当局と中央銀行は、そうした制約の下で効果的に機能する情報共有の手順と実践を策定する必要がある。世界的に合意された情報共有のテンプレートや、共通情報プラットフォームの利用増加、信頼できるネットワークの拡大によって、障壁を下げることが可能になるだろう。
抑止の強化
犯罪収益を没収し犯罪者を起訴する上で有効な措置を通じて、サイバー攻撃がより高くつき、よりリスクを伴うものとなるようにしなければならない。攻撃者を阻止・撹乱・抑止するための国際的な取り組みを強化すれば、脅威をその源泉において減らすことになるだろう。そのためには、法執行機関と重要インフラや安全保障に責任を負う各国当局との間で、国や機関を超えた力強い協力が必要となる。ハッカーに国境はないため、グローバルな犯罪にはグローバルな執行が求められる。
能力開発
発展途上国によるサイバーセキュリティ能力の構築を助けることは、金融安定性の強化と金融包摂の支援につながるだろう。低所得国はサイバーリスクに対して特に脆弱である。新型コロナ危機は、発展途上国でインターネット接続が果たす決定的な役割を浮き彫りにしている。技術を安全かつ安心して利用できることは、引き続き発展にとって重要であり、それと合わせてサイバーリスクに確実に対処することも必要となる。あらゆるウイルスと同様に、ひとつの国でサイバー脅威が拡散すれば世界全体の安全性が低下することになる。
こうしたギャップに対処するには、基準設定機関や各国の規制当局、監督当局、業界団体、民間部門、法執行機関、国際機関、その他の能力開発実施機関、ドナーによる共同の取り組みが求められる。IMFでは、主に低所得国を対象に取り組みを行っており、金融監督当局に対する能力開発を実施するとともに、低所得国が十分に代表されていない国際機関や政策議論において、こうした国々の論点や視点を提示している。
*****
ナイジェル・ジェンキンソンはIMF金融資本市場局金融規制監督課長。IMFによる金融監督分野での政策・能力開発業務を主導している。サイバーセキュリティ、システミックなリスクの分析、銀行の流動性、危機管理枠組み、金融規制の国際枠組み、データギャップ、データ品質など金融安定性と金融政策の全側面において広範囲にわたる経験を有する。イングランド銀行に30年わたり勤務したが、その期間、金融安定性と通貨の諸問題に焦点をあててきた。また、2003年から2008年にかけては金融安定性担当の理事を務めた。その後、金融安定理事会のアドバイザーとして、世界金融危機後の改革に深く関与した。IMFやバーゼル委員会など国際的な場面でイングランド銀行を代表した。ロンドンスクール・オブ・エコノミクスで数理経済学と計量経済学の修士号を取得。
ジェニファー・エリオットはIMF金融資本市場局技術支援戦略課長で、金融セクターに関するIMFの能力開発管理を担当している。IMFでの勤務開始前にはカナダ資本市場の規制当局に務めた。IMFにおいては、サイバーセキュリティのリスクや技術支援の実施、FSAPの主導など金融監督の一連の諸問題に焦点をあてている。 カナダのトロント大学で学士号、ビクトリア大学で法学士を取得。
