インターネットバンキングの不正送金の被害が深刻化している。2014年の被害額は29億円を超え、13年比で約２倍に膨らんだ。地方の金融機関で被害が集中し、企業のネット銀行口座が狙われた。相次ぐ被害を受け、金融庁は２月に新たに監督指針を公表し、金融機関のセキュリティー対策の強化を義務付けた。ただ専門家は「現状と離れすぎていて実行するのは難しい」と疑問視する。

■寝る間も惜しみ、“四六時中”ネット上の会話を監視

　「私は昨晩、６時間寝てしまったから、すでに専門家でなくなってしまった」。名和利男氏はこう戒める。日本のサイバーセキュリティー対策の第一人者で、国内外で最も名前を知られる専門家の一人だ。現在は米大手のファイア・アイ日本法人（東京・千代田）のＣＴＯ（最高技術責任者）と、サイバーディフェンス研究所の上級研究員を務める。過去には、航空自衛隊でシステムの運用監視にあたってきた。

名和氏は「攻撃者はデータを破壊し、システムを機能停止に追い込むのが最終目的だ」と警鐘を鳴らす（５月８日、東京都内）

　そんな彼でも睡眠中は攻撃者の動向を把握できない。その間にサイバー攻撃のリスクを広げたと考え、自己反省する。

　専門家は四六時中、攻撃者のネット上の会話を監視し、次の攻撃を予測している。それでも、現在の攻撃は防げないのが現状だ。にもかかわらず、金融庁の監督指針は「銀行員に技術的に高いレベルの対策を求めている。どう考えても実行は難しい」。

　金融庁は２月、監督指針の一部を改正し、ネット銀行や金融システムなど４項目にわたって、必要なセキュリティー対策を記した。金融機関は対応で不足があれば、行政手続法に基づき行政処分の対象になる。最悪の場合、営業停止の処罰も科されかねない。監督指針は「第２の法律」のような存在だ。

　問題は第２項の「サイバーセキュリティ管理にかかる監督指針等の改正」だ。サイバーセキュリティ基本法や「高度化・巧妙化」する世界のサイバー攻撃状況を踏まえ、最新の安全対策を施すことを求めている。

金融庁は２月、一部改正した監督指針でサイバー攻撃の高度な対策を求めた

　そもそも近年の「高度化・巧妙化」したサイバー攻撃は、現在普及する対策製品ですら検知できていない。ところが指針は、最新の安全対策を施せば攻撃を防げることが「前提」になっている。

　言い換えれば、金融庁は金融機関で被害を確認したとき、指針を盾にして「最新の安全対策を施していない」として、厳しい処罰を下す可能性がある。

　金融庁は既存の対策製品が、すべての攻撃を防げるという考え方を持っているようだ。しかし、その発想自体が現実に沿っていない。名和氏は記者にこう問う。「自分のパソコンに、未知のウイルスが混入していないと確信が持てますか」