この記事は 2 回のシリーズに分けて掲載されます。パート 2 では、欧州の銀行業界が直面している 2 つの課題と、デジタル化に取り組む組織が直面するリスクを紹介します。接客業務の変革時と同様、銀行業界がバックオフィスをデジタル化してよりアジャイルになると楽観視されている真の理由についても説明します。

サイバー脅威との闘いと不正リスクの管理

あるサイバーセキュリティに関する記事によると、サイバー犯罪による世界の被害額は 2025 年には 10 兆 5,000 億ドルに達すると予測されています。一方で、悪意を持った国家からの高度なソーシャル エンジニアリング攻撃および脅威によって、境界外から銀行に高レベルのリスクがもたらされています。しかし、この 2 年間で猛威を振るっているのは内部からの脅威です。

20 年近く前に、IBM Resilient のセキュリティ エキスパート兼最高技術責任者 (CTO) である Bruce Schneier 氏は、「機械を攻撃するのは素人だけ。プロは人間をターゲットにする」と語っていました。 今からすると、その発言は現状を予見していたようです。サイバー脅威が全世界で増大し続ける中、テクノロジー インフラよりむしろ人間が主なターゲットになっています。

「銀行や金融機関のテクノロジーに対するアプローチには拡張性が必要です。また、ビジネス ロードマップにどのように取り入れるかを明確に示す必要があります」

Viren Patel 金融サービス担当インダストリー アドバイザー Workday

新型コロナウイルス感染症 (COVID-19) のパンデミックの影響で在宅勤務の社員が急増した結果、銀行はフィッシングやその他のサイバー詐欺の影響をますます受けやすくなっています。たとえば、自宅の共有デバイスがマルウェアにさらされた際に、プロセスと制御が効果的に管理されていない場合、銀行が危険な状態に置かれます。

Centre for the Study of Financial Innovation のレポート「Banking Banana Skins 2021」によると、銀行は新型コロナウイルスによって業務の分散や技術的な適応などの業務上の変更を強いられ、セキュリティ侵害やサイバー犯罪による新たなリスクが発生しています。深刻な事態が起きれば大惨事を招きかねません。最悪の場合 (可能性は極めて低いものの)、世界中の決済システムの停止に陥るかもしれません。

ある程度の在宅勤務をサポートするインフラは、すでに多くの銀行で導入済みです。しかし、これほどまでに需要が高まることを予想できた銀行はほとんどなかったでしょう。こうした機関には、ユーザーが本人であること、そしてユーザーがプロフィールに合致した行動をとっていることを判断する能力が必要です。ユーザーは自分のデバイスを使っているでしょうか。電話、タブレット、その他のデバイスに関するポリシーはどうなっているでしょうか。

他の問題と同様に、解決策には人、プロセス、テクノロジーがすべて関係します。Workday の金融サービス担当ストラテジック インダストリー アドバイザーである Viren Patel は、予防、検出、対応/分析という 3 方面からのアプローチによって、銀行がこのような内部脅威に対処する方法を説明しています。

「予防が常に出発点となります。これは『入り口での認証』を意味し、パスワード マネージャを利用した安全なパスワードの生成と、効果的な失敗回数ポリシーの適用が含まれます。また、多要素認証 (MFA) も組み込まれます」と Patel は語ります。  

「組織は、ユーザーが誰であるか、そのロールは何か、ロールによって認証要件がどう変わるのかということを把握する必要があります。経時的なポリシーのレビューと更新が不可欠であることを理解しておくことが重要です」

「適応性や柔軟な人財管理は現在極めて重要です。永続的変化に対応するため、銀行はスキルの類似性を利用してタレント プールを拡大し、社員が新しいスキルを迅速に習得できるよう積極的に支援する必要があります」

Aurelie L’Hostis 氏 シニア アナリスト Forrester 社

予防できなかった場合、銀行での次の防衛手段は検出です。ここではログインのパターンを特定できるようにする必要があります。これにより、組織は IP アドレス、ユーザー名、ログインの成功/失敗 (およびその原因) などのログインの詳細を報告できます。

「ユーザー アクティビティを把握することも重要だと思います。銀行の IT 管理者と監査担当者は、ユーザーが各システムにどのように関与しているかを理解する必要があります。状況を把握し、ログイン試行の背後にあるサインオン固有の情報にドリルダウンできるようにすることが重要です」と Patel は述べています。

組織は、あらかじめ設定されたルールに基づいて不審なアクティビティを検出する必要があります。アラートを使用してユーザー権限に関するアクションを起こすことで、不審なアクティビティを阻止するまでの時間を最小限に抑えられます。

最後に、対応と分析はいかなる銀行の IT リスク戦略においても重要です。この取り組みの一環としてセキュリティ文化を構築し、社員がサイバーセキュリティに関する教育やトレーニングを継続的に受けられるようにします。たとえば、フィッシングに関する教育があります。社員にテスト E メールを送信することで、疑わしい URLがクリックされた数を把握できます。

銀行業界の中核を成す環境、社会、ガバナンス (ESG)

アフターコロナという新たな現実世界において、環境、社会、ガバナンス (ESG) は欧州の銀行業界の中核となりつつあります。銀行は、具体的なアクションを求める投資家と顧客という 2 つの主要なステークホルダーをはじめとして、多方面から圧力を受けています。投資家は、気候変動がもたらす重大な影響と、それが投資にもたらすリスクを検討しています。顧客においては、取引先を決定する際、銀行の倫理的信用を重視する傾向が高まっています。

これにはすべて、銀行の最高経営責任者 (CEO) のアクションが求められます。KPMG 社によるグローバル調査によると、銀行の CEO のおよそ 4 分の 3 が、低炭素のクリーン テクノロジーを中心とした経済への移行を予測して対処する能力によって、将来の成長が左右されると考えています。しかしほとんどの CEO は、これが自社の未来にもたらす真の意味を把握できずにいます。

銀行とそのリーダーはデジタル トランスフォーメーションの必要性を十分に認識し、デジタル化を全面的に推進しています。業界では毎年、デジタル トランスフォーメーションの取り組みに数十億ユーロを投入していますが、この取り組みをビジネス目標にどのように取り入れるかといった問題が残っています。

銀行業界における環境、社会、ガバナンス (ESG) の取り組みの中心となるのは、データの取得と行動につながるインサイトの提供です。銀行は、より持続可能な投資への方向転換は避けられないことを認識しています。とはいえ、短期的な採算性の必要性を考えると、単に「持続不可能な金融」資産から手を引けば済むわけではありません。明らかなのは、考えうるすべての影響と対応付けるための経験、インサイト、データを備えるのは難しいということです。

ポジティブな側面もあります。人工知能と機械学習 (AI/ML) という新たなテクノロジー セットが、ビジネス データの分析と ESG の実行に必要なプロセスの両方に役立っているということです。さらに好都合なことに、AI/ML は本質的に多くのクラウドベース ソリューションの一部としてデプロイされるものです。

クラウド、データ分析、AI/ML という 3 つのテクノロジーを組み合わせて活用することが、銀行業界の変革や ESG への新たな取り組みの鍵となります。これこそが重要なポイントなのです。

その他のリソース
投稿:  セキュリティおよび信頼性, テクノロジー イノベーション
Environmental Social and Governance 金融サービス リスク管理とコンプライアンス イノベーションとテクノロジー

さらに読む