2017年10月23日号
【もくじ】―――――――――――――――――――
日本銀行「FinTech時代の銀行のリスク管理」
今後のリスク管理のあり方を考える上で極めて示唆に富む論考だ。「より本質的な問題は、リスク管理の枠組みそのもののあり方ではなく、金融サプライチェーンの延伸によるリスク管理の責任の所在を巡る問題と、リスク管理の分掌が細分化され過ぎて全体像が見えにくくなる『サイロ化』の弊害が同時並行で深刻化すること」であり、「これまで組織内に閉じて蓄積・共有されてきた知見や経験が分断・消失し、ひいてはリスク管理の実効性が阻害されるといった事態の発生は、想像に難くない。金融サービスの専門性の高まりと背合わせに忍び寄る『サイロ化』の弊害は、近年、特に深刻化している問題」だと指摘する。それはまた、組織の巨大化と専門性の細分化が、現場に全体最適より部分最適を優先する空気を醸成したという点で、最近の不祥事の本質にも通じる。(芳賀)
総務省が「IoTセキュリティ総合対策」を公表
10年以上前から「組み込み機器のセキュリティ」として警鐘が鳴らされてきたが、今やIoTに対する脅威は決して机上の空論ではなく、現実のものになりつつある。先日総務省が公表した「IoTセキュリティ総合対策」では、IoT機器への認証制度導入や脆弱性調査の徹底、情報開示と共有の推進などの項目が盛り込まれた。IoT機器には、構成するソフトウエアの脆弱性や認証の欠如、通信経路のセキュリティ不備といったリスクが存在する。また、IoT機器単体でセキュリティ対策を講じていても、連携するサービスやアプリに脆弱性があれば、そこが糸口となって侵害を受け、情報漏えいや誤作動などにつながる恐れがある。IoT機器が犯罪の踏み台になる可能性を想定し、開発者側はもちろん、サービスやアプリの提供側にも、これまで以上にセキュリティへの考慮が求められる。(佐藤)
商工中金、根深い不正の拡がり
最新の調査では、危機対応融資に関する不正は4千件近くにおよぶ見込みだという。問題はそれだけにととまらず、それ以外の8つの分野で問題がないか調査している。あらたに調査対象とした8分野のうち、「ものづくり補助金」「産業投資貸付」「経営力向上計画」「経営支援型利子補給」は危機対応融資と同じ公的支援策だ。他方、政府は経済産業省などが実施する補助金(相対競争により採択される)から一定要件を満たせば必ず支給される厚生労働省などが実施するキャリアアップ助成金などの助成金へ軸足を移しつつある。また、不正が発覚しているプロパー融資では、本部が設備投資の融資を促していた。政策の予算消化の都合が、目標必達としての「ノルマ主義」につながっていなかったか。不健全な目標が不正へと走らせた多くの事例を他山の石としたい。(伊藤)
クラウド利用で相次ぐ情報漏洩、「手軽さ」「堅牢さ」がミス誘引か
米国大手コンサル会社において、サーバ4台分に及ぶ大量の機密データが漏洩していることが発覚し、当該企業とその顧客が脅威に晒されている。原因は「当該企業が委託先クラウド基盤に施した設定ミス」とされるが、同様のミスによる大規模な情報漏洩は各国で頻発しており、警戒が必要だ。事例を見ると、テスト環境を誤って公開した、通信回路を誤って開放した…など運用管理上のミスが目を引く。各社クラウド基盤自体のセキュリティはきわめて堅牢だが、利用者が設定ミスしたかどうかの正確な判断は難しく、抑止は困難だ。クラウド基盤は、高い演算性能や大規模な記憶野を手軽に利用できる反面、軽微なミスが即時、深刻な結果を引き起こしかねない。従前のシステム運用に輪をかけて厳重な管理と、クラウド利用に特化したインテリジェンスが求められよう。(山岡)