資産運用業界におけるサイバーセキュリティ|マーサージャパン

資産運用業界におけるサイバーセキュリティ

ライブラリ / 資産運用コンサルティング / レポートダウンロード

資産運用業界におけるサイバーセキュリティ
Calendar2019/09/02

ブライアン・カーニハン氏1をご存知だろうか。エンジニアの方であれば、勿論知っている、という方も多いだろう。カナダ出身のコンピューター・サイエンティストで、今はプリンストン大学で教鞭を執っているが、同氏がベル研究所2に在籍時代、米国出身の同じくコンピューター・サイエンティストであるデニス・リッチー氏3と共に共著として出版した『プログラミング言語C』4は、C言語を取り扱うエンジニアに限らず、多くのエンジニアにとってバイブルとして取り扱われる良書であり、同書の”hello, world”の例題はあまりにも有名である。

1Brian Kernighan's Home Page - Princeton CS - Princeton University (https://www.cs.princeton.edu/~bwk/
2NOKIA Bell Labs (https://www.bell-labs.com/
3Dennis Ritchie HP (https://www.bell-labs.com/usr/dmr/www/
4原題は『The C Programming Language』(1978年)



そのカーニハン氏の言葉に次のようなものがある。原文では『“Everyone knows that debugging is twice as hard as writing a program in the first place. So if you're as clever as you can be when you write it, how will you ever debug it?”』で、日本語訳すると『”プログラムを書くよりもデバッグ5が2倍難しいことは誰もが知っている。では、あなたが可能な限り賢いプログラムを書いた場合、あなたはどうやってプログラムをデバッグするのか?”』となる。

5プラグラムの欠陥や不具合を発見・修正して、仕様書等で設計された動作となるように直していく作業



言葉の趣旨は「複雑化したプログラムのデバッグは大変な労力を要する」、つまり、「プラグラムは簡潔に書きなさい」ということだと言われている。同氏のバイブルが発行されてから40年以上が経過して、ITの世界は大きく様変わりして今もなお変化し続けており、現在のデジタル環境は膨大なプログラムから成り立っている。そして重要な点は、カーニハン氏の示唆になぞらえれば、現在のデジタル環境はその複雑さ故にデバッグが困難となっている、言い換えれば、不具合や脆弱性が潜んでいる可能性が高い、という点である。個人も企業も、デジタル環境によるメリットは享受しつつ、不具合や脆弱性を狙ってくる脅威からデジタル環境を守らなければいけない昨今、資産運用会社にはどのような対策が求められるのか考えたい。


2017年5月12日金曜日、「WannaCry」という名称のランサムウェア6と呼ばれる種類の不正プログラム(身代金要求型不正プログラム)が世界中で猛威を振るい、英国では、公営の医療サービス機関である「国民保健サービス」の医療行為が滞るといった人命に関わる影響が出た。更に、その年の5か月後、米国の消費者信用情報会社であるEquifax社が、使用するプログラムの脆弱性により不正アクセスを受けて1億4,700万人分の個人情報を漏えいさせた。この事件は同社が防止措置を講じなかったとの調査結果から、2019年に同社は関係団体や州当局に対して最大7億米ドルの補償を行うことで合意することとなった。上述のようなサイバーアタックの脅威は年々増していることに加えて、FBIの元サイバー部門責任者であるShawn Henry氏は、最大の問題は企業がサイバーセキュリティに対して積極的ではなく事後対応に終始している点である、と指摘7している。資産運用会社も顧客のデータ保護やレピュテーションリスク、そして実質的な経済的損失への懸念から、サイバーアタックへの対策は取り組んでいるものの、この手の脅威は常に変化し続ける動的な特性があることや複雑性も高いことから、その対策も万端とまではいかず道半ば、というのが実態である。



図表1:数字で見るサイバーセキュリティ8



8Lloyd’s. “Counting the Cost,” July 10, 2017 (https://www.lloyds.com/news-and-insight/risk-insight/library/technology/), Hiscox. Cyber Readiness Report 2017 (https://www.hiscox.com/documents/brokers/cyber-readiness-report.pdf), Stempel J, Finkle J. “Yahoo Says All Three Billion Accounts Hacked in 2013 Data Theft,” 2017年10月3日 (https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1), National Cyber Security Strategy 2016 to 2021 (https://www.gov.uk/government/publications/national-cyber-security-strategy-2016-to-2021), The Global Risks Report 2019 (https://www.weforum.org/reports/the-global-risks-report-2019)より



上述のような実態があるため、当然、当局も対策を講じており、米国証券取引委員会(SEC:The US Securities and Exchange Commission)は資産運用会社に対してサイバーセキュリティと情報セキュリティへの備えを最優先事項の1つとして課している。また、投資アドバイザーやブローカー等の取引先間におけるセキュリティポリシーのオペレーション評価を対象とした「The Cybersecurity 2 Initiative」という取り組みに加えて、市場インフラに対するサイバーアタックの取り締まりを目的としたサイバーユニットの設立や、個人投資家に対するサイバーアタックの取り締まりを目的としたタスクフォースの設立、といった取り組みも行っている。

英国では金融行動監視機構(FCA:Financial Conduct Authority)が米国証券取引委員会のイニシアチブ程ではないものの、2018年5月よりEU域内で適用されている「EU一般データ保護規則(GDPR:General Data Protection Regulation)」に加えて、EU加盟国で法制化が求められる「ネットワークと情報システムのセキュリティに関する指令(NIS指令:Network and Information Security Directive)」が存在している。(英国のEU離脱時には不確実性が伴う点に留意)

既に規制当局による規則に抵触してしまい、ペナルティとして罰金を科せられている事例もある(図表2)。将来的に、罰金額はより増加することが見込まれており、英国の新たなデータ保護法の草案ではサイバーセキュリティを怠った企業に対して17百万英ポンド(1英ポンド=140円換算で約24億円)9を科すことが検討されているのである。

9BBC. “Firms Face £17m Fine if They Fail to Protect Against Hackers,” 2017年8月8日 (https://www.bbc.com/news/business-40857219



図表2:過去の罰則事例



デジタル環境の不具合や脆弱性を狙う脅威には常に変化し続ける動的な特性があると述べたが、機関投資家は投資運用会社や資産管理会社がデータ保護やサイバーセキュリティに常に適切な対策を講じているか否かをどのように確認すれば良いのだろうか。事例の1つとしてマーサーでの取り組みを簡単にご紹介したい。マーサーでは「センチネル」という名称で、資産運用におけるオペレーションや執行に関する非財務リスクの評価サービス10を、専門のチームが提供している。センチネルではサイバーセキュリティのフレームワークを開発しており図表3がその概要である。



図表3:サイバーセキュリティのフレームワーク概要



他の業界と同様に、資産運用業界においてもサイバーアタックの脅威は今後も存在し続けると考えられる。従って、資産運用会社は常に不正なアクセスを認識し、識別し、防止するために必要なガバナンスとプロセスが確立されていることが必須となる。機関投資家としては、資産運用会社の投資に関わるファクターだけではなく、オンサイトでの評価にはじまり、オペレーショナルリスク評価、アンケート調査、ギャップ分析、外部機関を用いた調査等、アルファの創出に向けたプラットフォームが整備されているか否かも重要な指標として認識しておくことが望まれる。


辰己 有

執筆者: 辰己 有 (たつみ ゆたか)
資産運用コンサルティング
コンサルタント


 

  ダウンロードフォーム
2019年9月2日 当ページのコンテンツをPDFでダウンロードできます。
*必須項目