現代の銀行は、中核となるバンキングプラットフォームだけによって運営されているわけではありません。その運営を支えているのは、目立たない場所で連携して機能する機器群――金庫室を見守るカメラ、すべてのセキュリティドアに設置されたリーダー、侵入・火災警報パネル、環境センサー、そしてデータセンターの稼働を維持する電源・冷却システム――です。金融サービス業界は過去20年にわたり、アプリケーションやエンドポイントのセキュリティ強化に注力してきました。しかし、その基盤となる接続デバイスや、それらを設置・運用する外部企業に対しては、これほど厳格な監視が行われてきたことはほとんどありません。
その格差は年々拡大している。銀行業務を迅速化した自動化と効率化への取り組みこそが、この業界の施設をサイバーフィジカルシステム――デジタル世界と物理世界を橋渡しするオペレーショナルテクノロジー(OT)やモノのインターネット(IoT)デバイス――へと変貌させた。これらはコスト、安全性、制御の面で実質的なメリットをもたらす一方で、攻撃対象領域を2つの方向、すなわちデバイス自体と、その管理権限を握る第三者双方へと同時に拡大させている。
不安を抱え、さらけ出され、つながったミドルウェアが、あなたの建物をひっそりと支えている
まずはデバイスから見ていきましょう。IPカメラ、IDカードや入退室管理用のリーダー、侵入・火災警報パネル、環境センサー、無停電電源装置(UPS)、ビル管理システム(BMS)は、もはや壁に設置された孤立した装置ではありません。これらはネットワークに接続されたエンドポイントであり、その多くは、数十年前、セキュリティではなく信頼性を重視して設計されたModbusやBACnetといったプロトコルを採用しており、多くの場合、暗号化や認証機能が備わっていません。
EUのNIS2指令や他の市場における同様の動きによって後押しされているこの方向性は一貫しており、取締役会は、ベンダーが代行して運用している機能を含め、重要な機能を維持し続ける責任を負う。
これらのシステムは、建物全体の背後で目立たず稼働している共有ミドルウェアにも依存しています。 Tridium Niagara Frameworkは、HVAC、照明、エネルギー管理、セキュリティシステムを単一のデータモデルに統合するハネウェルのプラットフォームであり、銀行支店やオフィスを含む数え切れないほどの商業ビルで稼働しています。2025年7月、Nozomi Networks 、Niagaraに13件の脆弱性(10件のCVEに統合)を公表しました。これらは、隣接する攻撃者が連鎖的に悪用することで、Niagaraデバイスのルートレベルの制御権を獲得し、ネットワークのより深い部分へと侵入できるものでした。 この攻撃チェーンは、ネットワークデバイスで暗号化が無効のままになっているという特定の設定ミスに依存しており、この問題についてはセキュリティダッシュボード上で警告が表示されるため、Tridiumはすでにパッチをリリースしている。ここから得られる教訓は、特定の製品そのものというよりも、あるパターンに関するものだ。すなわち、建物がコネクテッドプラットフォームに統合されるほど、見落とされた単一のデバイスが攻撃の足掛かりとなる可能性が高まるということである。
サイバーセキュリティコミュニティは、こうした技術の多くを「設計上不安全」と評しています。つまり、エクスプロイトを必要とせず、正当な機能を通じて悪用される可能性があり、BMSは当社の調査において最も脆弱な資産の一つに数えられています。デフォルトまたはハードコードされた認証情報、フラットでセグメント化されていないネットワーク、メンテナンスのために開放されたままのリモートアクセスなどが、さらなる攻撃の隙を広げています。場合によっては、これらのシステムがインターネットから直接アクセス可能な状態にあることさえあります。 2022年1月、Cybleの研究者らは、冷却ダッシュボード、UPSコントローラー、ラックモニターなど、インターネットに公開されているデータセンターインフラ管理システムを約2万件発見しましたが、その多くは依然として工場出荷時のデフォルトパスワードで保護されたままでした。
接続されたデバイス1台が、単なる1つのリスクに留まることはめったにありません。Nozomi Networks が指摘しているように、1台の侵害されたIoT 、同時に4つの役割を果たす可能性があります:
- ネットワークへの入り口
- それ自体が目標である
- 偵察のためのプラットフォーム
- 次の動きへとつなげる足がかり
インテグレーター、MSP、保守請負業者の入れ替わりが激しい
ここで、ほとんどのレジリエンス計画が見落としている点があります。警報システム、カメラ、空調設備、そして多くの場合、ITインフラの大部分は、当該機関によって運営されているわけではありません。これらは専門のインテグレーターやマネージドサービスプロバイダーによって設置・保守されており、その多くは、パッチ適用、監視、トラブルシューティングを行うために、常時リモートアクセス権を保持しています。 こうした接続の1つ1つが、組織の外部の誰かによって制御される、貴社の環境への「入り口」となります。低価格を売り物にする請負業者によってネットワークに接続された火災報知器や侵入検知パネルが、サーバーと同等のセキュリティ強化措置を講じられていることはめったにないと言っても過言ではありません。
これがどのような結果を招くかは、すでに目の当たりにしている。2013年に発生した米小売大手ターゲットへの情報漏洩事件は、同社の決済システムからではなく、冷暖房設備の請負業者であるファジオ・メカニカル社から始まった。同社から盗まれたリモートアクセス用の認証情報により、ベンダーのシステムと決済端末の間の分離がほとんど図られていなかったネットワークへの侵入経路が開かれてしまったのだ。 この教訓は、同様のインテグレーターが支店の警報パネルやデータセンターの制御システムを配線している金融サービス業界にもそのまま当てはまります。つまり、施設のセキュリティの強度は、そこにログイン権限を持つ第三者の中で最も脆弱な存在のレベルに左右されるのです。
このリスクはビルディング層にとどまりません。2023年1月、清算済みデリバティブ向けソフトウェアのプロバイダーであるION GroupがLockBitランサムウェアの攻撃を受け、数十の銀行や証券会社が依存しているプラットフォームが機能停止に陥りました。 欧州と米国にわたる約40社が、取引処理を手作業に戻さざるを得なくなり、中には数日間その状態が続いたところもあった。これらの金融機関はいずれも、直接攻撃を受けたわけではない。単に、自らが管理できないサプライヤーに依存していただけであり、そのサプライヤーが機能停止に陥ると、彼らも同様に機能停止を余儀なくされたのである。
格差の解消:DORAの世界的な展開
規制当局も同様の結論に達しており、サードパーティ・リスクを最重要課題として位置づけている。欧州連合(EU)では、「デジタル・オペレーショナル・レジリエンス法(DORA)」(正式名称:規則(EU)2022/2554)が、2025年1月17日より、21のカテゴリーに属する金融機関に対して適用されている。EUの金融機関にサービスを提供するICTプロバイダーは、その拠点がどこにあろうと適用対象となるため、同法の適用範囲は事実上世界規模となっている。
DORAは5つの柱に基づいており、中でも最も注目を集めているのが、情報通信技術(ICT)に関連するサードパーティ・リスクである。ION攻撃は、その必要性を最も明確に裏付ける事例の一つとなった。企業は現在、外部プロバイダーへの依存関係を把握し、重要な機能において単一のサプライヤーに依存することによる集中リスクを管理し、サプライヤーが機能不全に陥った場合に備えて、文書化された代替計画を策定しておく必要がある。契約書には、インシデント通知の期限、セキュリティ基準、および監査権限を明記しなければならない。 重大なインシデントには厳格な報告期限が設けられており、分類から4時間以内の初期通知、1ヶ月以内の最終報告が求められ、システム上重要な企業は脅威を想定した侵入テストを実施しなければならない。EUのNIS2指令や他市場における同様の動きによって強化されたこの方向性は一貫しており、ベンダーが代行して運用する機能を含め、重要な機能を維持し続ける責任は取締役会にある。
自社が保有する接続型IoT 把握し、何を優先して修正すべきかを明確にする
サイバーセキュリティへの投資のほぼすべてをITに充てている場合、自らが考えているほどの運用レジリエンスは確保できていない可能性があります。ネットワークに接続されたデバイスや、それらへのサードパーティからの接続こそが、可視性が失われがちな部分であり、資産の棚卸しを行っていない限り、その資産に対する防御、セグメンテーション、パッチ適用、あるいはリモートログインの管理を行うことはできません。
これこそが、Nozomi Networks 解決するためにNetworks 。当社は金融機関に対し、IoT 完全かつ正確なインベントリ、それらの資産が依存するネットワークやリモート接続の継続的な監視、そして膨大なデバイス資産を「優先的に修正すべき項目」の短いリストに絞り込むリスクベースの脆弱性管理を提供します。その結果は明白です。誰が導入したかに関わらず、ビジネスの基盤となるサイバーフィジカルシステム全体にわたる可視性、コンテキスト、および制御を実現します。
自社のコネクテッドリスクやサードパーティリスクが実際にどこにあるのかを確認するには、今すぐお問い合わせください。





