経済安全保障に欠かせないサードパーティリスク対応

契機となったのは、数年前の米国における中国企業・ファーウェイ社を取り巻く騒動だ。当時米政府は、ファーウェイ社および関連法人40数社が米国製半導体などを事実上調達不可となる輸出管理規則を適用。そもそも、米国政府および政府機関との取引に関しては同社製品の情報システムへの組込・実装・利用は制限されていたのだが、この規制によりさらに強化された格好となった。

この背景には、サイバーセキュリティに関する米国政府の懸念がある。政府調達の大規模情報システムが、外部との接続チャネルなどにおける脆弱性を排除し、いかに高度化されたセキュリティを具備したとしても、そもそも情報システムに組み込まれている一部製品が「不自然な」動作をするようなことがあれば、システム全体のセキュリティが担保できなくなるためだ。もちろん、同社による明確な産業スパイ事案などは報告されておらず、米国政府の懸念の実態については我々も子細を知る術はない。

このように、米国では政府調達を中心に、情報システム開発や運用を直接に担うITベンダーに対して情報システムに組み込む機器やソフトウェア製品へのチェック機能の強化を求めており、「情報セキュリティ強化」を御旗に他の同盟国（英、豪、カナダ、ニュージーランドが対象とされる）にも同様の対応を呼びかけている。

すなわち、米国を含めた5カ国間における諜報（インテリジェンス）活動から得られた情報の共有基盤「FIVE EYES」である。日本はこの「FIVE EYES」への加盟を目指しているとされ、水面下では米国から同様の要請を受けていたようだ。そしてこれが我が国においても政府調達の情報システムにおける事前のセキュリティチェックが厳格に運用される契機となった。

すなわち、経済安全保障における喫緊の重要性を我が国政府が認識した契機がこの騒動であったと言っても過言ではない。

一大消費地であることに加え、オフショアでのシステム開発や企業のデリバリー拠点としても重視されてきた中国では、2010年7月に国防動員法が施行されている。中国国内で有事が発生した場合に発令され、企業が保有する財産や資源は必要に応じて中国政府に接収されることとされている。

また、交通インフラや金融機能についても政府もしくは軍の管理下に置かれるとされており、中国企業のみならず、外資系企業もその対象となっている。有事に際しては空港や港が閉鎖される見通しであり、邦人の中国国外への出国も困難になろう。そのため、中国国内における有事は、我が国企業の事業撤退リスクに直結する可能性が否定出来ないことに改めて留意が必要である。

さらに、中国では2017年より国家情報法が施行された。中国人はいかなる組織・個人においても、中国の情報活動に協力する義務があると定められており、中国国外に居住する中国人もこの規制を受けると解釈される。さきの米国におけるファーウェイ社を取り巻く懸念も、これが一つの契機ともなっている。

中国にとどまらず、国によっては通信保秘に関するルールが整備されていないなど、当該国政府組織はもとより第三者による通信傍受が物理的に可能となっている恐れがあるとされるケースも存在する。こうした国に我が国の国民情報などが格納されたサーバなどが設置されていた場合、第三者による通信傍受の懸念も出てくることだろう。国民に関する情報が国内のITベンダーによって厳格に管理されていたとしても、サプライチェーンを通じて第三者が当該情報を部分的にであっても取扱い、さらに第三国に設置されたサーバをクラウドサービスなどによって間接的に利用している、といったことがあれば、当該格納情報はもはや安全に保秘されているとはいえまい。

こうしたケースを考慮のうえ、我が国政府では情報取扱方針を徐々に厳格化してきており、その過程において、いわゆる「サードパーティリスク」という概念が浮上したものと理解される。

政府がカウンターパーティとの取引に配意しようとしているのであれば、これを金融機関側の立場に当てはめた場合、どのようなケースが想定されるのであろうか。

金融機関ではITベンダーとの取引に際し、従前より財務状況はもとより経営者の信頼性などについても十分に考慮されてきたことだろう。ただし、ITベンダーの開発体制が再委託、再々委託といった重畳的な体系へと移行する中で、金融機関としては再委託先などのチェックが十分に行き届かなくなる可能性も否定できない。

とかく大規模システム開発などの場面においては、テンポラリーなスタッフを短期で大量雇用し、当該スタッフが重要システムの開発の一部を担う、といったシーンも想定されることから、委託先企業そのもののチェックはもとより、従事するスタッフ一人一人の属性チェックも今後は欠かせない。

最近の中央省庁では、国の委託業務において実際に業務に従事する委託先企業の職員についてもフィルタリング機能などを用いた信用チェックを実施するのがデファクトとなっている様子がうかがえるが、これは企業そのもののチェックだけでは情報管理上の「抜け漏れ」が生じることを懸念しているためだ。

かたや金融機関をみると、昨今は新興企業との連携へと加速する風潮がみられる。「ほぼ完璧ではないか」とも思える、ベストプラクティスともいうべき対応が施されている金融機関も存在するものの、全ての金融機関で同様のチェック機能が働いているとは限らない。こういった点が金融庁の懸念材料となっているようだ。

こうした金融庁の懸念はサードパーティリスク対応そのものにまつわる課題といってもよい。ただし、従来の金融機関はITシステムの安全対策を忠実に履行してきたといっても差し支えない状況にあった。金融庁と歩調を合わせる格好でFISC（The Center for Financial Industry Infor-mation Systems : 金融情報システムセンター）が推進してきた金融機関の安全対策基準は厳格に定義されており、少なからずこれを踏まえた管理体系を施しているのであれば「凡そは安心」できたためだ。

従前の全社利用ITシステムをみると、IT部門が管理のうえ、システム台帳でサーバの設置場所やシステム停止時の代替手段、データのサプライチェーンについても網羅的に捕捉・管理されてきたことだろう。

この点において、我が国の金融機関の情報システムは他国に比して堅牢性や安全性が機能してきたものと考えられる。ところがフィンテック企業との連携という新たなシーンが生まれたことに加え、業務部門が単独で他社のITシステムを利用するケースが増加してきた。SaaS（Software as a Service）やクラウドサービスと言われるものの多くがこれに該当する。

これらの外部サービスの利用に際しては、IT部門が関与しないケースもあり、システム管理台帳上でも管理対象外となっていたりもする。IT部門が管理していないこのような外部サービスはセキュリティなどの対処が現業部門に委ねられてしまう可能性も否めず、当該サービスに入力された金融機関の情報が、外国に設置されたサーバ上でひっそりと管理されている可能性も否定できない。

メインサーバが国内に設置されていても、バックアップサーバの設置場所まで確認しきれていないかもしれない。

そもそもFISCでは「金融機関のためのコンティンジェンシープラン策定のための手引書」を公表しており、金融機関は当該手引書を用いたリスクアセスメント作業を要請されている。

FISCでは金融機関を取り巻くリスクを原因系に着目し、「内部起因のリスク」「外部起因のリスク」と峻別して定義。それぞれの発生確率やリスク発現時に金融機関が受ける影響の大きさを評価するよう促している。発生確率が高く、影響が甚大なリスクについては優先的に対応方針を整えることになるのだが、中には「10年前に実施したアセスメント結果をそのまま採用している」といった金融機関もみられるのが実態だ。

すなわち、リスクアセスメントが陳腐化した結果、リスクへの対応がおざなりになってしまっているのだ。

金融機関が利用するITシステムは多岐に亘り、多くはIT部門が直轄で管理下に置いている。これらはIT資産台帳にも掲載され、管理対象として厳格視されている。ところが昨今、業務部門や営業部門が外部のフィンテックベンチャーなどとダイレクトに契約を締結し、当該企業が提供するソリューションを利用する、といった形態が一般化している。

これらのソリューションは顧客と金融機関との間に位置付けられ、顧客情報が流通するにも拘わらず、IT部門が関与しないケースもあるようだ。結果として従前のITシステムのように「厳格な管理対象」として見做されず、セキュリティチェックも外形的なものにとどまっている可能性が否めない。

業歴の浅い企業においては、頻繁に経営者が替わったり、「ラウンド」と称した第三者割当増資を通じて資本関係、株主、その持ち分構成比も短期に変貌を遂げることだろう。

金融機関側の情報管理態勢がいかに厳格なものであったとしても、顧客情報を連携する提携先企業における情報システムにセキュリティ上の瑕疵が存在していたり、そもそも当局が要請するレベルのレギュレーション対応が施されていなかったとしたら、金融機関のリスク管理上の脅威となりうる。

とかくスタートアップでは、アイディアベースで事業規模拡大が志向される傾向にあり、ガバナンスやセキュリティが劣後されている可能性がある。

それを念頭に、経営者そのものや経営の意思決定メカニズムを含めた全体像を踏まえた、金融機関としてのリスクコントロールやチェックの機能が必要となるはずだ。

筆者はPCを外部で人目につく場所で利用することは極力避けており、会社貸与のスマホでさえ、外部で利用する際には接続先ネットワークの利用にも留意している。しかし、喫茶店、ホテルや空港のロビーなどでは、周りを気にせずにPC操作をしている方が多く、場合によっては業務上の会話なども耳にすることがある。

公衆の場でも、無料でWi-Fiが利用できることもこの傾向を助長している。フリーWi-Fiは通常のインターネット利用やホビー需要のためのツールとして無料開放されていると理解すべきであり、業務上の情報を格納した端末を接続するという発想を持つのは危険だ。

また、フリーWi-Fiの中には、「敵」があえて情報窃取を目的に設置したものも存在している。第三者が設置した、セキュリティの緩い、もしくは悪意を持って敵が設置したフリーWi-Fiに接続したターゲットの端末へ侵入を試み、端末内の情報を窃取せしめる事例も確認されている。

ターゲットの端末への直接への侵入にはちょっとしたスキルが必要だが、「どんなサイトを見ているか？（アクセスしているか）」「何を打ち込んでいるか」を知ることは簡単だ。

喫茶店などでの会話を聞いていると、取引先とのシステム開発の進捗に関するやりとりを複数名で実施している様子が伺えることも珍しくない。オフィスを持たずにデリバリーを実現するといったベンチャー企業もみられる中、セキュリティの視点が抜け落ちているこうした「危機感のない企業」の存在を、我々は十分に認識する必要がある。

もちろん、金融機関は新たに提携する企業の財務情報その他の信用調査は「入口段階」での所作として当然のように事務手続きに組み込んでいることだろう。重要なのは提携後の「継続審査・監査」の視点である。融資でいう「途上審査」に似た要件と考えれば良い。前述のとおり、頻繁にラウンドがこなされ資本関係が変わる可能性も踏まえ、最低限必要な相手先企業の情報収集を継続的に行わねばならない。

例えば、当該企業における外部提携関係に変化はないかといったことも確認項目としては重要だ。自社との業務提携の後、新たに第三国のカウンターパートとの間で自社のリスクとなりかねない新たな提携関係が生まれている可能性もある。その際、第三者割当増資を通じ、第三国の企業体が当該企業の株主として登場していたりはしないだろうか。

我々が知らない間に、当該企業における業務が実質的に第三者に一部にせよ再委託されたりしていないだろうか、サーバの設置場所に変化はないか、といった視点でもチェックを施す必要があるだろう。

また、最近のフィンテックベンチャーで多いのが「当局レギュレーションの認識不足」に起因するトラブルだ。中には、金融庁の問いかけに際し、「FISCって何ですか？」と問い返した企業があり検査官が唖然とした、という話も耳に入ってくる。

このようにレギュレーションも含めた法令意識や金融サービスに独自に要請されている事項への対応状況についても継続的に確認を求める必要があることは言うまでもない。そこで問われるのがリスクアセスメントを実施するための具体的なチェックリストの有無である。

例としてここでは金融機関が外部企業との提携に際して、また継続的にチェックすべき視点として重要なポイントを取り上げる。なお、理想的には内部監査部門とも連携し、組織横断的なチェック体制を構築のうえ、提携先企業の精緻なアセスメントを速やかに実現すべきだろう。

• 相手先企業の経営体制
  • 経営者の属性（国籍、履歴）
  • 実質的経営者の属性（国籍、履歴）
• 法的制約と当局の課すレギュレーションの理解
  • 金融関連業法の理解
  • FISCの安全対策基準の理解
  • 明文化されていないその他の金融業を取り巻く過去の通達や慣行の理解
• 相手先企業の内部管理態勢
  • 意思決定メカニズムの実態
  • 牽制機能の実装
  • 内部犯罪への対処の考え方とこれを避止するチェック態勢
  • 内部監査の機能実態と外部監査の結果
  • 当局が期待するレベルの各事務処理の手続き
• 相手先企業のシステム開発の基盤と態勢
  • 基盤となるハードやソフト（製造者）
  • サーバの設置場所（国、地域）
  • バックアップのカバー範囲（本番系のフルバックアップor一部機能に限定）
  • バックアップシステム（サーバ）の整備状況と設置場所、もしくはデータの隔地保管の実態（設置国、設置場所）
  • バックアップシステムへの切り替え/切り戻し手順の可視化
  • システム開発および運営の体制（委託、再委託の実態）

以上、あくまで一例として参考となるポイントを取り上げたが、今後厳しさを増すことが予想される経済安全保障を念頭に、こうした論点整理を先行して実施しておくことが有効となるだろう。