パンデミック以降、サイバー攻撃の件数が倍以上に増えている。歴史的に、サイバー攻撃によって企業が被ってきた直接的な損害は比較的小さいものであったが、中にはかなり大きい被害に遭った企業もある。例えば、米国の信用情報機関エクイファクス社は、2017年に約1億5,000万人の消費者に影響を与えた大規模なデータ侵害が発生した後、10億ドル以上の罰金を支払った。
2024年4月「国際金融安定性報告書(GFSR)」の関連章で示しているとおり、サイバーインシデントによって極度の損害が生じるリスクが高まっている。そのような損害によって、企業が資金調達上の問題に直面する可能性もあり、さらには企業の支払い能力を危うくする恐れがある。こうした極度の損害の規模は2017年以降4倍以上に拡大し、25億ドルに達している。そして、イメージの悪化やセキュリティシステムの更新に伴うコストといった間接的な損害も大幅に増加している。
金融セクターは他に類を見ないほどサイバーリスクにさらされている。金融機関は、大量の機密データや取引を取り扱っているため、お金を盗んだり経済活動を混乱させたりしようとする犯罪者らの標的になることが多い。金融機関に対する攻撃は全体の5分の1近くを占めており、中でも銀行が最も攻撃にさらされている。
金融セクターでインシデントが発生して、金融システムに対する信頼が損なわれたり、重要なサービスに混乱をきたしたり、他の機関に影響が及んだりすれば、金融と経済の安定が脅かされかねない。
例えば、ある金融機関における重大なインシデントは、信頼を損ない、極端な場合には市場での売り注文の殺到や銀行の取り付けにつながる恐れがある。サイバーインシデントを契機とした深刻な取り付けはこれまでのところ起こっていないが、われわれの分析では、米国の小銀行においては、サイバー攻撃を受けた後、小規模ながらある程度長期にわたり預金の流出が起きていたことが示唆されている。
決済ネットワークなどの重要なサービスに混乱を生じさせるサイバーインシデントは、経済活動にも深刻な影響を与えかねない。例えば、12月に起きたレソト中央銀行に対する攻撃によって同国の決済システムが混乱し、国内の銀行による取引が不可能になった。
外部のITサービスプロバイダーに対する金融機関の依存度が高まりつつあることも考慮すべき点のひとつであり、人工知能が果たす役割の高まりに伴ってますます依存するようになる可能性がある。そのような外部プロバイダーは業務継続性を向上させうる一方、金融業界をシステム全体のショックにさらすことにもなりうる。例えば、2023年に起こったランサムウェア攻撃では、あるクラウドITサービスプロバイダーが標的となり、米国の60の信用組合が同時に業務を停止した。
GFSRで示すとおり、国際金融システムがデジタル化の進行と地政学的緊張の高まりに伴い重大かつ増大しつつあるサイバーリスクに直面する中、政策と各企業のガバナンス枠組みはそれに遅れをとらないようにしなければならない。
企業は例えばインシデントがシステム全体に与える影響を十分に考慮することはできないかもしれず、民間のインセンティブではサイバーリスクに対処するのに十分でない可能性があるため、公的な介入が必要になりうる。
しかし、IMFが中央銀行と監督当局を対象に行った調査によれば、サイバーセキュリティ政策の枠組みは特に新興市場国と発展途上国において依然として不十分なケースが多く見られる。例えば、調査対象国のうち、金融セクターに焦点を当てたサイバーセキュリティ戦略や金融に特化したサイバーセキュリティ規制を有していたのは約半数にすぎなかった。
金融セクターのレジリエンスを強化するために、当局は適切な国家サイバーセキュリティ戦略を策定し、合わせて以下の点を網羅する実効的な規制・監督能力を備えるべきである。
· 定期的にサイバーセキュリティ情勢の評価を行い、外部のサービスプロバイダーを含め相互連関性と集中に由来する潜在的なシステミックリスクを特定する。
· GFSR関連章の分析ではサイバー関連ガバナンスの改善によりサイバーリスクを軽減しうることが示唆されており、そこで支持されているように、金融セクター企業におけるサイバー成熟度を向上させる。それには、企業役員がサイバーセキュリティの専門知識にアクセスできるようにすることも含まれる。
· 企業のサイバー衛生、つまり、マルウェア対策や多要素認証といったオンラインセキュリティとシステムの健全性を高め、トレーニングと意識向上を図る。
· サイバーインシデントのデータ収集・報告を優先し、集団的な備えを強化するために金融セクターの参加者間で情報を共有する。
攻撃は金融機関の母国以外から行われることが多く、犯罪収益は国境を越えて移動する可能性があるため、サイバーリスクに首尾よく対処するには国際協調が不可欠である。
サイバーインシデントが発生する際には、金融セクターはそうした混乱の中でも重要なビジネスサービスを提供できる能力が必要になる。そのためには、金融機関は対応・復旧手続きの整備とテストを行い、また、各国当局は実効的な対応プロトコルと危機管理枠組みを導入しなければならない。
IMFは、金融セクター評価プログラムの一環としてなど政策助言を通じて、あるいは能力開発活動を通じて、加盟国のサイバーセキュリティ枠組みの強化を積極的に支援している。
***
本ブログ記事は、2024年4月「国際金融安定性報告書(GFSR)」の第3章「サイバーリスク:マクロ金融安定性に対し高まる懸念」に基づく。