証券会社15社に緊急調査 乗っ取り対策に苦慮する生の声、利便性と安全性の板挟み | 日経クロステック(xTECH) (07/16)
「デイトレード等、即時取引の重要な場面で、都度 認証を求められるのは不都合」とつながりそう (有料部分が読めていない)。その場合は、MFAやFIDOで解決・軽減可能とも思われるが、日米の違いが気になってAIにも聞いてみた ↓
Q.証券会社のセキュリティ対策、日本と米国の違い」について
A.以下の通りご説明します。
日本の証券会社のセキュリティ対策
日本では、
- 二要素認証(MFA)やデバイス認証の導入:楽天証券やSBI証
券などでは、ログイン時にメールやSMSで送信される画像認証や ワンタイムパスワードを活用 [1] [2] [3] [4]。 - FIDO(Fast Identity Online)による生体認証:
顔認証や指紋認証などを用いたログイン方式が一部で導入されてお り、パスワード不要の利便性と安全性を両立 [1]。 - ユーザー自身によるセキュリティ設定の有効化が必要:
多くの機能がデフォルトでは無効になっており、 利用者が自ら設定を有効化しない限り保護されないケースが多い [1]。 - 複数口座の使い分けによるリスク分散:
資産の分散管理や用途別口座の活用が推奨されている [2]。
米国の証券会社のセキュリティ対策
米国では、法制度や技術基盤の違いから、
- SEC(米国証券取引委員会)による報告義務:
サイバー攻撃の被害報告が義務化されており、 企業はインシデントの詳細を開示する必要があります [5]。 - ゼロトラストモデルの導入:アクセス制御や認証を細かく設定し、
社内外問わずすべてのアクセスを検証する仕組みが普及。 - クラウドベースのセキュリティプラットフォーム:AIによる異常
検知や自動遮断機能など、先進的な技術が導入されている。 - ユーザー教育と啓発活動の充実:
フィッシング対策やセキュリティ意識向上のためのトレーニングが 定期的に実施されている。
比較ポイント
項目 | 日本 | 米国 |
認証方式 | MFA、FIDO、生体認証(一部) | MFA、ゼロトラスト、生体認証(広範) |
法制度 | 自主的な対応が中心 | 被害報告の義務化(SEC) |
ユーザー設定 | 利用者が自ら有効化する必要あり | 初期設定で有効化されていることが多い |
技術基盤 | 一部クラウド対応 | クラウドベースが主流、AI活用が進む |
教育・啓発 | 一部企業で実施 | 業界全体で体系的に実施 |
References
[1] 第14回 スマートフォン・サイバー攻撃対策ガイド「
[2] 【最新版】証券口座のセキュリティ対策|不正アクセス・
[3] sbi証券のセキュリティは甘い?
[4] 【要対策】楽天証券とSBI証券の「セキュリティ設定」…不正ア
[5] 米国証券取引委員会、セキュリティ被害報告を義務化~
再度同様質問したところ、下記の回答を得た
日本の証券会社のセキュリティ対策
1. 多要素認証(MFA)の義務化へ
金融庁は2025年7月に監督指針の改正案を公表し、
2. 業界団体による緊急対応
日本証券業協会(日証協)は、
3. 課題と弱点
- 口座乗っ取り被害が急増しており、2025年上半期だけで700
件以上の不正取引が報告されています [3]。 - 顧客のログイン情報がフィッシング詐欺などで盗まれ、
低位株の不正売買に悪用されるケースが多発。 - 一部の証券会社ではセキュリティ対策のコスト負担が重く、
対応が遅れる懸念もあります [1]。
米国の証券会社のセキュリティ対策
1. SECによる開示義務化
米国証券取引委員会(SEC)は2023年末に新たな規則を施行
2. 包括的なサイバーセキュリティ体制
SECは、
- データ損失防止(DLP)
- アクセス制御とアカウント管理
- ランサムウェア対策
- 代替取引システムの保護
- 定期的な監査と教育
3. 政府機関との連携
米国ではCISA(Cybersecurity and Infrastructure Security Agency)やFBIなど複数の政府機関が連携し、
比較表:日本 vs 米国
項目 | 日本 | 米国 |
認証方式 | MFA義務化へ(2025年) | MFA・DLP・アクセス制御など包括的 |
法制度 | 金融庁・日証協による指針 | SECによる開示義務(4営業日以内) |
被害状況 | 口座乗っ取り急増(700件以上) | ランサムウェア・内部不正など多様 |
政府連携 | 金融庁・日証協中心 | SEC・CISA・FBIなど複数機関 |
顧客保護 | 補償対応は各社判断 | 開示義務と教育強化が制度化 |
米国は制度・技術・体制の面で日本よりも数年先行しており、
References
[1] ネット取引で多要素認証の設定必須化、証券監督指針の改正案-
[2] 日証協、一部証券での不正取引事案受け会員各社に緊急の注意喚起 - Bloomberg
[3] オンライン証券口座乗っ取り急増-日本の弱点露呈、
[4] SEC新規則:
Q.米国は日本に比べて何年ほどセキュリティ対策が進んでいるか
A.最新の調査と制度の違いをもとにご説明します。
結論:技術・制度面で「約5〜10年」の差があると推定されます
この差は単なる技術導入の早さだけでなく、法制度・経営意識・
主な根拠と比較ポイント
1. 制度面の差:SECによる開示義務化(米国)
- 米国では2023年7月にSEC(米国証券取引委員会)が「
サイバーセキュリティのリスク管理・戦略・ガバナンス・ インシデント開示」を義務化 [1]。 - 企業は重大インシデント発生後、原則4営業日以内に報告が必要。
- 日本では明示的な開示義務はなく、
東京証券取引所の規程に基づく「適時開示」があるものの、 期限や実効性に課題が残る [1]。
制度面では米国が約5〜10年先行していると評価される。
2. 技術導入と投資規模の差
- 米国企業のICT投資に占めるセキュリティ投資比率は6%以上、
日本企業は約5%未満 [2]。 - 特に大企業(従業員5,000人以上)では、
米国企業のセキュリティ投資比率が8.4%、日本企業は6.4% と差が拡大 [2]。 - URLフィルタリングやWebアプリケーションファイアウォール
などの導入率も米国が20〜30ポイント高い [2]。
技術導入・投資面では米国が3〜5年先行していると推定。
3. 経営者の意識差
- 米国企業では「セキュリティを極めて重要」と考える経営者が45
.4%、日本では17.8% [2]。 - 意識の差が施策のスピードや予算配分に直結。
経営層の意識面でも米国が5年以上先行している可能性が高い。
まとめ
項目 | 米国 | 日本 | 差の目安 |
制度 | SECによる開示義務化 | 明示的な義務なし | 約5〜10年 |
技術導入 | 高い導入率と多様な対策 | 導入率が低く偏りあり | 約3〜5年 |
投資規模 | ICT予算の6%以上 | ICT予算の5%未満 | 約5年 |
経営意識 | 8割以上が重要視 | 約7割が関心あり | 約5年 |
References
[1] 米国企業に対するサイバーセキュリティ関連の開示義務づけと日本
[2] 日米企業の情報セキュリティ投資に大きな差!
No comments:
Post a Comment