財務システムは、企業にとって極めて重要な「資金」を管理している。このシステムが脅かされれば、企業のあらゆる活動に悪影響が及ぶ。そのためCFO(最高財務責任者)はCISO(最高情報セキュリティ責任者)と協力し、自社の経理部門をサイバーセキュリティの脅威から確実に守る必要がある。
しかし、その業務を支える財務システムやERP(統合基幹業務システム)は、IT部門にとって悩みの種になりやすい。現場の多忙や複雑な業務プロセスを言い訳に、高度な権限が付与されたアカウントの使い回し、退職者のアカウント放置といった「ガバナンスの死角」が放置されがちだからだ。
ひとたびランサムウェア(身代金要求型マルウェア)攻撃やビジネスメール詐欺(BEC)による資金流出といったインシデントが発生すれば、「経理のミス」や「現場のリテラシー不足」では済まされない。CFOは問題が表面化する前に行動を起こさなければならない。本稿は、経理部門が直面する代表的なサイバーセキュリティの脅威を5つ挙げ、その被害を軽減するための方法を紹介する。
メールを通じた攻撃手口は巧妙化の一途をたどっている。攻撃者はAIツールを悪用して企業の決算発表の内容を分析し、経営陣特有の言い回しや文体を模倣する。このようにして作成した偽メールを、従業員が多忙を極め、承認作業に追われる四半期末などの決算期を狙って送り付ける。
CISOは、多要素認証(MFA)やアクセス制御ポリシーの導入、ドメイン監視、メール認証などの対策をすでに講じている。CFOはそれだけに頼らず、業務プロセス自体を厳格に管理すべきだ。具体的には、支払い先変更時の二重承認、取引先の銀行口座情報の新規登録あるいは変更時における口頭確認の義務付けなど、人を介在させるルールの徹底が、最後のとりでになる。
攻撃者が企業の財務システムを暗号化すれば、給与の支払いや決算報告業務が滞る。特に自社運用型のERPの場合、1つのエンドポイントがランサムウェアに感染しただけで、ERP全体が停止する事態に発展しかねない。データのバックアップを取得していても、復旧テストを実施していないケースも散見される。
CISOとCFOは連携して、財務システムを狙うランサムウェア攻撃に備える必要がある。自社の財務システムを社内ネットワークから分離した上で、オフラインバックアップを維持しなければならない。実際の攻撃を想定した実践的な復旧テストを実施することも重要だ。
CFOは、システムが完全に停止した場合、全ての経理業務を再開するまでにどの程度の時間を要するのかを確認すべきだ。もしどのくらいかかるのかが曖昧であれば、ランサムウェアの被害に遭う前に、その懸念を解消するための対策を講じる必要がある。
現代の財務システムは、外部サービスと連携するためのAPIやWebインタフェースを備えた大規模なERPの一部として構成されている。MFAを必須とするリモートアクセスや、ユーザー情報に応じたアクセス制御が設定されている場合もある。こうした技術的な対策はシステムの利便性を高める一方で、新たなセキュリティ上の課題を引き起こす要因にもなり得る。
このようなシステム構成でよくある問題として、パッチ(修正プログラム)の未適用、不適切な権限設定、管理が甘いセッション制御が挙げられる。導入後一度もテストしていない連携機能や、ベンダーの保証期間が切れた古いシステムを使い続けることも危険な行為だ。
「コンプライアンス監査に合格したからうちのERPは安全だ」という過信は禁物だ。形式的な書類審査や年に一度の権限確認に通っただけでは、最新の攻撃を防げる保証はない。企業は、財務システムに対して脆弱性診断やペネトレーションテスト(侵入テスト)を実施し、実際のサイバー攻撃を受けた際にERPがどのような挙動を示すかをシミュレーションする必要がある。こうした検証を「ベンダー任せ」にせず、CFOが意思決定者として関与するセキュリティ委員会で、実効性を厳しく評価すべきだ。
経理担当者は、取引先の追加や支払い情報の変更、レポートの出力、仕訳の調整などを遂行するために、財務システムの高度なアクセス権限を必要とする。それ故に、ひとたびミスや不正が発生した際の影響は甚大だ。過酷な業務による疲労や教育不足は、こうした強力な権限を持つ担当者の判断を鈍らせ、意図しないミスや不正の引き金となる。作業プロセスの設計不良や操作トレーニングの不足、PCの利用に関する一般的な知識の欠如なども、リスクの要因になり得る。
特に、異動または退職した従業員のアクセス権限が取り消されずに放置される「権限の肥大化」のリスクは大きい。CFOは定期的なアクセス権限の見直しを主導し、役割ベースのアクセス制御ポリシーを徹底させる必要がある。システムの操作ログは、リスクの高い特定の財務アクションやエンドユーザーとひも付けて記録し、人間による監視体制を組み込まなければならない。
財務システムをクラウドサービスで運用している企業のCFOやCISOは、「ベンダーがセキュリティ対策を処理してくれている」と思い込んではいけない。設定ミスでMFAが無効になったり、システム連携用のAPIトークン(認証情報)が外部に漏えいしたりといった事故は後を絶たない。
クラウドサービスの利用においては、インフラの保護はベンダーが担うが、サービスの設定やデータ管理は利用者が責任を負う「責任共有モデル」という原則がある。企業の経営層は、外部監査人による評価報告書(SOCレポート)を受け取っただけで満足してはならない。報告書はデータセンターの管理体制を示すものであり、自社固有の設定に潜む弱点までを保証するものではないからだ。
ID管理ツールベンダーやERPベンダーなどの外部パートナーがセキュリティ侵害を受けた場合、そのセキュリティ問題は即座に自社のリスクになる。CFOとCISOは、「相手を信頼しても、証拠は必ず検証する」というセキュリティの基本姿勢を貫くべきだ。契約書の確認はあくまで入り口に過ぎない。ベンダーでインシデントが発生した際に、自社の業務が致命的なダメージを受けずに持ちこたえられるかどうか、その適応力を評価すべきだ。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
