...

中京銀行におけるセキュリティ対応

by user

on
Category: Documents
18

views

Report

Comments

Transcript

中京銀行におけるセキュリティ対応
中京銀行におけるセキュリティ対応
~銀行のシステムリスクへの対応とお客様にお願いす
るセキュリティ対応~
執行役員事務統括部長
堀田 晃
当行の沿革・プロフィール
沿
革
プロフィール (14年3月末)
<05年3月末の状況>
1943: 三重県津市に八紘無尽設立
1945: 本店を三重県名張市に移転
1951: 太道無尽を経て太道相互銀行へ
商号変更
1964: 本店を名古屋市に移転
1969: 名古屋信用金庫と合併、中京相互銀行
へ商号変更。現所在地に本店を移転
1970: 名証1部上場
1989: 普銀転換、中京銀行へ商号変更
東証1部上場
2002: 不良債権、有価証券減損の抜本処理を
実施
UFJ銀行(現三菱東京UFJ銀行)による
資本増強、UFJ銀行の持分法適用関連
会社に
2011: 新基幹システム稼動
2012: 第15次中期経営計画
for the 「NEXT STAGE」スタート
2013: 創立70周年
(単位:ヶ店)
□地区別店舗数
<14年3月末の状況>
愛知県
地区
□地区別店舗数
地区
一般店舗
出張所
計
名古屋市内
62
7
69
一般店舗
出張所
計
34
6
40
愛知県
名古屋市内
□従業員
66
3
69
従業員数
男性
38
257
2
40
1,023
計
1,280
(従業員数…嘱託および臨時雇用含まず)
78.8%
□大株主の構成(単位:千株、%)
氏名
株式会社UFJ銀行
日本トラスティー・サービス信託銀行
株式会社新生銀行
株式会社あおぞら銀行
大同生命保険株式会社
37
21
(人)
16,594
貸出金
12,244
16
0
16
合計
5
0
5
(箇所)
9,645
84.0% その他
三重県
所有株式数
85,343
9,535
5,806
5,806
4,700
12
39.24%
比率
87
3
90
合計
2
51
4.38%
2.66%
2.66%
2.16%
1,261
□預貸ボリューム
預金
その他
うち中小企業等貸出
比率
合計
(比率・・・発行済株式総数に対する所有株式数の割合)
従業員数
(店)
87
8
95
15.3%
名古屋市内
□従業員
三重県
合計
8
0
8
(単位:人)
□預貸ボリューム(末残ベース、単位:億円、%)
地区構成
預金
愛知県
三重県
14,391
その他
17
1
18
女性
□店舗外ATM設置状況 地区構成
貸出金
愛知県
三重県
愛知県
11,484
72.3%
17.7%
地区
店舗外ATM
三重県
(億円)
地区構成
愛知県
三重県
82.8%
13.6%
その他
3.6%
地区構成
三重県
12.3%
その他
12.4%
愛知県
75.3%
□大株主の構成 (千株、%)
所有株式数
氏名または名称
比率
株式会社三菱東京UFJ銀行
85,343
39.24%
日本トラスティ・サービス信託銀行 信託口
11,034
5.07%
日本トラスティ・サービス信託銀行 信託口4
9,698
4.45%
ミソノサービス株式会社
6,338
2.91%
中京銀行従業員持株会
5,153
2.36%
(比率・・・発行済株式総数に対する所有株式数の割合)
1
◇ 第15次中期経営計画の概要
□ 当行の5年後、10年後の将来を見据えた経営基盤を構築
□ 収益基盤の足場固めのために、体制整備、基盤作りを徹底して行う
課題認識
◆ トップライン、コア業純の低迷
・近隣他行との競争激化による
貸出レートの低迷
・新システムのコスト負担増加
課題解決に向けたポイント
◆
◆
◆
◆
預貸ボリューム拡大、非金利収益増強による収益積上げ
店舗見直しによる経営効率の改善
人件費、与信費用圧縮によるコスト吸収
非価格競争力の強化(提案力、CS向上)
基本コンセプト : お客さまが “ いちばんに相談したい銀行 ” を目指して
称 : 第15次中期経営計画 for the 「NEXT STAGE」
~お客さまから信頼される経営基盤を構築する3年間~
推進期間 : 2012年4月~2015年3月 ( 3年間 )
名
① お客さま満足度の向上
お客さまに選ばれ、金融機関同士の競争に勝ち抜くため、お客さま満足度の向上に努めてまいります。
② 営業力の強化
融資事業先数の増加、事業性融資、住宅ローン等の貸出基盤の増強に注力してまいります。
また、コンサルティング等情報開発機能の向上による提案型営業への転換を図ってまいります。
③ 業務効率の改善
経営資源の効率性の観点から店舗政策を見直します。
併せて、営業店業務の効率化による営業体力の捻出や、内部人員の効率化も進めてまいります。
2
◇ 主要施策① お客さま満足度の向上
□ お客さま満足度(CS)向上を目指し、各種施策を展開。
1. 目指す姿
・ 「魅力的品質(説明力・提案力の向上)」から「感動的品質(お客さまの期待を
上回るサービスの提供)」にシフトアップさせQC活動として展開
2. 体制および活動実績
・「CS向上委員会」(委員長:頭取、隔月開催)の設置
・「CS向上地区別会議」 の開催
各部店のCS向上活動を地区別会議で発表
優良な部店を表彰し、CS向上活動を全行的な取り組みに
・「CSアワード」(CSに関する各営業店の活動状況を表彰)の導入
お客さまアンケートや外部覆面調査による評価
・「CS推進責任者」の設置
拠点のマネジメント層をCS推進責任者に任命し、CSへの関与を強化
2014年5月19日
CS向上地区別会議(本選)
エコ宣言(私たちは、環境に配慮した活動を通じ、地域社会に貢献します)
【エコ定期預金の募集】 : 緑化団体への寄付
【植樹活動】 : 「知多市植樹」、および「みどりの森づくり植樹祭」への参加
CSR活動
【福祉応援定期】 : 車椅子を愛知県および三重県の社会福祉協議会に寄贈
2014年3月14日
愛知県社会福祉協議会
3
◇ 東海地区の景気(1)
□ 13年度の東海地区経済は、緩やかながらも着実に回復
□ 足許、消費税率引上げに伴う反動もみられるが、回復基調を継続
【東海3県の金融経済動向】(日本銀行名古屋支店)
【鉱工業生産指数(2005年=100)】
(中部経済産業局) 東海:愛知、三重、岐阜
景気全体
13
4
5
6
7
8
9
10
11
12
14 1
2
3
4
5
→
↑
→
↑
→
↑
→
→
↑
→
↑
→
↓
→
緩やかに持ち直している
持ち直している
緩やかに回復しつつある
緩やかに回復している
回復している
回復を続けており、このところ消費税率引上げ前
の駆け込み需要と一部にその反動もみられている
足もと消費税率引上げに伴う駆け込み需要の反動
もみられているが、基調としては回復を続けている
【名古屋税関輸出額推移(前年比増減率)】
(%)
13
4
5
6
7
8
9
10
11
12
14 1
2
3
4
全国
総額
4
10
7
12
15
12
19
18
15
10
10
2
5
名古屋
総額
11
11
11
14
16
21
24
22
20
13
7
3
4
(名古屋税関管内貿易統計)
鉄鋼
自動車
部品
5
15
自動車
26
5
工作
機械
▲ 21
電気
機器
18
2
17
▲ 14
7
▲5
13
4
1
9
9
15
15
▲ 10
14
7
19
14
▲5
20
3
26
12
19
19
28
29
24
0
34
22
22
19
11
19
25
17
23
33
20
6
14
5
21
12
1
6
2
18
5
▲5
4
▲5
▲1
▲5
2
8
1
19
▲2
【トヨタ自動車(単体)/日当たり国内生産台数・前年比増減率推移】
(台)
(見通し)
(車両販売実績:日本自動車工業会「自動車統計月報」、計画数値・稼働日:中部経済新聞社)
4
◇ 東海地区の景気(2)
□ 消費税率引上げの反動は想定内の水準であり、一時的との認識
□ 今後は賃上げ率の高まりや夏季賞与の増加などによる、消費の持ち直しを見込む
【景気動向指数(CI 先行指数)】 〈2010年=100〉
【百貨店売上高の推移】
全国
東京
97 1
0.5
▲ 1.7
2
▲ 0.4
▲ 2.1
3
22.9
21.7
4
▲ 13.9
▲ 14.4
14 1
2.9
5.4
2
3.0
3.9
3
25.4
25.5
4
▲ 12.0
▲ 10.8
(前年比、%)
名古屋
大阪
1.5
1.5
2.9
▲ 2.1
29.0
24.0
▲ 17.2
▲ 16.4
7.8
4.6
11.8
6.5
37.3
32.1
▲ 12.8
▲ 9.0
(ストアーズ社「百貨店調査年鑑」、日本百貨店協会)
(内閣府、各県庁)
【有効求人倍率】 (愛知労働局)
【賃金動向に対する意識調査(14年度、愛知県企業)】
ベースアップ
賞与の増額
実施
30.9%
(+10.1%)
実施
28.6%
(▲3.3%)
実施せず
71.4%
実施せず
69.1%
(帝国データバンク名古屋支店) ()は前年比、“実施”には実施予定を含む
5
三菱UFJリサーチ&コンサルティング調査レポート
2014年9月25日「グラフで見る東海経済(2014年9月)」より
(注)1.3ヶ月前~、~3ヶ月後は「現況」の変化の方向感(改善、横ばい、悪化)を表し、「現況」は現在の水準を天気マークで表す。
2.シャドー部分は、前月から矢印および天気マークを変更した項目を表す。
(注)3ヶ月前~、~3ヶ月後は「現況」の変化の方向感(改善、横ばい、悪化)を表し、「現況」は現在の水準を天気マー
クで表す。シャドー部分は、前月から矢印およびお天気マークを変更した項目を表す。
6
◇銀行におけるリスク対応
(当行のリスクの定義)
1.市場リスク
2.信用リスク
3.流動性リスク
4.オペレーショナルリスク
「オペレーショナルリスクとは、不適切な内部手続き、人的
要因、システムあるいは外部要因から、直接的または間接
的に損失が生じるリスクを指す。」
7
◇オペレーショナルリスク
オペレーショナルリスクの顕在事例(日本銀行資料より)
●現金事故
●現金、預金等の横領
●重要用紙の不正流用
●不正融資
●金融商品販売のコンプライアンス違反
●インサイダー取引
●システム障害
●情報漏洩・流出
●自然災害による被害・・・
8
◇システムリスク管理の観点
観点
内容
具体的なリスクの例
対策事例(当行事例)
安定性 ・災害、障害等から ・システム・ダウンによる ・災害バック
のシステムの保護 業務停止
アップセンター
安全性 ・犯罪、不正行為
等からのシステム
の保護
・内部不正による顧客情 ・各種セキュリ
報の漏洩
ティ対策の実
・ハッカーによる不正ア 施
クセス
信頼性 ・システムが提供
・システムの提供する情
する情報や機能の 報の誤りによる業務トラ
正確性確保
ブルの発生
遵守性 ・法令・規制・規程
の遵守
・システム開発
管理、テストと
検証
・レピュテーションの低下 ・制度・規制対
応実施
日本銀行システムリスク管理資料より
9
観点
内容
具体的なリスクの例
対策事例(当行事
例)
有効性 ・経営や戦略の策
・不十分な情報に基づく
定・実現に必要な情 経営戦略の策定
報機能の提供
・システム開
発管理、品質
管理の実施
効率性 ・高い生産性での情 ・システム開発・運用コス ・システム開
報・機能の提供
ト増加
発管理、品質
管理の実施
・システムの拡張性・柔
軟性の低下
日本銀行システムリスク管理資料より
これらの観点から、システムリスクへの取組を進めている
10
◇システムリスク対策
• 銀行におけるシステムリスク対策
◇金融庁監督指針
(中小・地域金融機関向けの総合的な監督指針)
「システムリスク」とは、コンピュータシステムの
ダウン又は誤作動等、システムの不備等に伴
い金融機関が損失を被るリスク、さらにコンピ
ュータが不正に利用されることにより金融機関
が損失を被るリスク」
11
〇主な着眼点
(1)システムリスクに対する認識等
(2)システムリスク管理態勢
(3)システムリスク評価
(4)安全対策
(5)システム企画・開発・運用管理
(6)システム監査
(7)外部委託管理
(8)データ管理態勢
(9)コンティンジェンシープラン
(10)障害発生時の対応
12
〇インターネットバンキング
インターネットを通じた取引は、非対面で行われるため、異常な取引態
様を確認できないことなどの特有のリスクを抱えている。
銀行が顧客にサービスを提供するに当たっては、顧客の財産を安全に
管理することが求められる。従って、銀行においては、利用者利便を確
保しつつ、利用者保護の徹底を図る観点から、インターネットバンキング
に係るセキュリティ対策を十分に講じるとともに、顧客に対する情報提供
、啓発及び知識の普及を図ることが重要である。
(1)内部管理態勢の整備
(2)セキュリティの確保
(3)顧客対応
(4)その他
13
◇インターネットバンキングのセキュリティ対応
当行の対応状況
対策
主な内容
認証方法(個人)
ID/パスワード及び「乱数表」方式による認証と
「合言葉認証」
認証方式(法人)
「電子証明書認証」
キーロガー防止
ソフトウェアキーボード方式
インターネット経路暗号化 SSL128bit
フィッシング防止
(株)NTTコムウェア「フィッシュカット」を無償提供
お客様へのセキュリティ
対策ソフトの配布
ネットムーブ(株)「サート・ネチズン」を無償提供
リスクベース(合言葉)認
証強化
利用時に過去の利用情報等をもとに不正利用リ
スクに対し追加認証の要求を行う
*画面改ざん検知機能、ワンタイムパスワードの導入などセキュリティ強化を検討中
14
法人IBのセキュリティ対応
対策
主な内容
都度指定の当日指 当行では8月18日から都度指定 事前登録方式(事前に銀
定振込停止
の当日振込を停止させていた
行にお届けの送金先)へ
だきました
の当日振込をご利用いた
だけます
都度指定振込の
都度指定振込の「予約扱」の受
「予約扱」の受付時 付時限を8月17日から18時まで
限を制限
とさせていただきました
銀行のホームペー
ジなどでの注意喚
起
お客さまのご利用時間以
降のリスクを軽減させま
す
不正な払戻しの被害防止のた
め、お客さまに注意喚起・諸対
策の依頼周知を行うもの
15
◇インターネットバンキングの不正送金
(1)発生状況
期間
2014年9月4日警察庁広報資料より
件数
被害額
1件当たり
H26上
1,254
約18億5,200万円
約148万円
H25下
1,098
約11億9,300万円
約109万円
H25上
217
約2億1,300万円
98万円
(2)口座種別:被害額(百万円)
2,000
1,400
法人572
法人75
1,200
1,000
法人
800
個人
600
1,118
◆平成26年上半期 1,254件,約18億円もの被害
が発生
◆被害が多くの地方銀行や信用金庫・信用組合
に拡大するとともに、法人名義口座に係る被害が
拡大(被害金融機関73金融機関)
1,800
1,600
「平成26年上半期のインターネットバンキングに係
る不正送金事犯の発生状況等について」
◆コンピュータ・ウイルスの悪質・巧妙化
1280
400
200
0
H25年下半期
H26年上半期
16
◇インターネットバンキングの不正送金
2014年8月1日独立行政法人情報
処理推進機構資料より
◆法人向けインターネットバンキン
グでの不正送金事犯が急増してい
る
◆被害額急増の理由のひとつに電
子証明書を窃取するウイルスによ
る新しい手口の出現があります
17
◇インターネット・サイバー犯罪
2014年9月10日愛知県警察本部サイ
バー犯罪対策課資料より
愛知県でも不正送金事犯が発生して
います。
18
◇不正送金事犯のパターン
パターン
不正利用の手口
発生状況
一般的な
マルウエア
①利用者端末上のマルウエアが認証情報
を窃取し、不正利用者に送信する。
②不正利用者は別端末から不正取引を行
う。
不正取引の大半の手
口
端末
乗っ取り型
サイレント
バンカー型
①利用者端末上のマルウエアが認証情報
を窃取するとともに、利用者端末をリモート
コントロール可能とする。
②不正利用者は利用者端末をリモートコン
トロールして不正取引を行う。
偽の画面を表示させ乱数
表や合言葉などのパス
ワードを盗取、フィッシング
メールを送り偽サイトへ誘
導
最近、日本国内でも増
加傾向
(特に電子証明書認証に
頼っていた法人IBで多発)
①利用者端末に取引情報を改ざんするマ
ルウエアを感染させる。
②正当な利用者の取引を不正に改ざんし
て利用者に気付かれることなく、不正送金
を行う。
19
A銀行
B銀行
C銀行
H26年7月
H26年7月
H26年7月
1件/2,960千円
1件/36,550千円(資金移
動回数6回)
1件/8,937千円
手口:スパイウェア(利用
者のパソコンから「トロイ
の木馬」が発見されたこ
とから、ログインID,パス
ワードが盗み取られたと
考えられる。ログイン時
認証:固定PW方式
手口不明:ID/パスワード
が不正に盗取されたもの
と見込まれる。都度指定
の予約扱いによる不正送
金。通常と異なるIPアドレ
スから操作が行われてい
る。ログイン時認証:
ID/PW方式
手口不明:身に覚えのな
い振込履歴がある等の
お客さまの申し出等によ
り発覚。ログイン時認証:
電子証明書方式
20
D銀行
E銀行
F銀行
H26年8月
H26年8月
H26年7月
1件/3,957千円
1件/51,313千円(22件)
ー件/-千円
手口不明:ログイン時認
証:電子証明書方式。ウ
イルスチェックプログラム
削除、セキュリティソフト
の配布未導入
IPアドレスは正規のもの
(乗っ取り)
手口不明:パソコンの遠
隔操作により、都度振込
方式による送金操作。マ
ルウェア感染によりログ
インID,パスワード等が事
前に盗取されていた可能
性がある。
ログイン認証:電子証明
書方式
手口不明:ID・パスワード
が不正に盗取されたもの
と考えられる。契約先の
認証方式が電子証明書
方式であったため、犯人
は不正ログインに失敗し
たものと推測される
21
☆法人のお客さまに講じていただくセキュリティ対策事例
a.
b.
c.
d.
e.
f.
銀行が導入しているセキュリティ対策を着実に実施していただく
インターネット・バンキングで使用するパソコンに関し、基本ソフト(O
S)やブラウザ等、インストールされている各種ソフトウェアを最新の
状態に更新していただく
パソコンにインストールされている各種ソフトウェアで、メーカーのサ
ポート期限が経過した基本ソフト(OS)やウェブブラウザー等(例:
Windows XP)の使用を止めていただく
パソコンにセキュリティ対策ソフトを導入するとともに、最新の状態に
更新したうえで、稼働していただく
インターネット・バンキングに係るパスワードを定期的に変更してい
ただく
銀行が指定した正規の手順以外での電子証明書の利用は止めて
いただく
22
☆法人のお客さまに推奨するセキュリティ対策
a.
b.
c.
d.
e.
パソコンの利用目的として、インターネット接続時の利用はインター
ネット・バンキングに限定していただく
パソコンや無線LANのルータ等について、未利用時は可能な限り電
源を切断していただく
取引の申請者と承認者とで異なるパソコンを利用していただく
振込・払戻し等の限度額を必要な範囲内でできるだけ低く設定して
いただく
不審なログイン履歴や身に覚えのない取引履歴、取引通知メール
がないかを定期的に確認していただく
23
当行ホームペー
ジトップ画面より
24
◇おわりに
各金融機関では、全国銀行協会の申合せ(2014年
7月17日最新)への対応を進めています。
銀行とお客様と双方がセキュリティへの取組を進め
ることで不正送金事犯への対応を強化していくこと
が必要です。
以上
25
• 関連URL
• 独立行政法人 情報処理推進機構(IPA)
http://www.ipa.go.jp/index.html
• 警察庁 サイバー犯罪対策http://www.npa.go.jp/cyber/index.html
• 全国銀行協会 http://www.zenginkyo.or.jp/
• 愛知県警 サイバー犯罪対策
http://www.pref.aichi.jp/police/anzen/cyber/index.html
• 中京銀行 http://www.chukyo-bank.co.jp/
• 三菱UFJリサーチ&コンサルティング株式会社 http://www.murc.jp/
26
Fly UP