新型コロナウイルス（COVID-19）流行中の支払セキュリティと効率性の改善：経理財務部門のベストプラクティス

サイバー犯罪者や詐欺集団が、COVID-19の流行を利用して、高度なフィッシング攻撃、不正支払、詐欺を仕掛けています。ITセキュリティ企業のバラクーダネットワークスは、3月末に、1カ月足らずの間にフィッシングメールが667%増加したと報告しました。

残念ながら、犯罪者は恐怖と疑念が広がった環境につけこんで、マルウェアを配布し、認証情報を盗み、個人や企業からお金をだまし取っています。多くの人が在宅勤務の今、特に仕事の合間に家で子どもの勉強をみるなどする場合、気が散りやすくなっています。またテレワークに切り替わったことによる、ワークフローやプロセスの混乱に乗じる機会も生まれています。

こうしたサイバー攻撃の急増は、COVID-19がもたらす他の経営への圧力と相まって、企業の支払セキュリティの決定的な重要性を明確に示すものです。先日のオンラインセミナー（英語） で、キリバは、主な課題を検討し、パンデミック中もそれ以後も支払の安全性と効率性を確保するためのベストプラクティスを探りました。

不正の種類はどのようなものがあるのか？

不正には、様々な形があります。なかでも広く見られるのは、フィッシングです。信頼できる個人や企業をかたったメールやテキストメッセージを送りつけ、ユーザー名、パスワード、財務データなどの重要な情報を盗もうとします。例えば、企業のCEOやCFOを装ったメールで、送金を促すこともあります。 「犯罪者は一般に、緊急だと主張したり、不安を煽るメッセージを使います」と、財務業務の効率化を専門に手掛ける経営コンサルタント会社、 クリアサルティング でリスクアドバイザリー担当役員を務める、Sarah Vidmar は語ります。

自分のパソコンや携帯を使って仕事をしたり、テレワーク中にパーソナルネットワークや、安全ではないネットワークにアクセスする社員も、サイバー犯罪のターゲットです。ネットワークやデバイスが企業の管轄外である場合、IT部門が、基本的なセキュリティ基準を満たしているか確認することはできません。

不正支払は、以前から犯罪者の暗躍の場でした。 2020年 AFP 不正支払・支払管理調査 によると、2019年には81％の企業が、既遂または未遂の不正支払の標的となりました。例えば、あるグローバル金融サービス企業は昨年、フィッシング詐欺の被害に遇い、1週間足らずのうちに不正支払により1800万ドルを失いました。 別のIT企業は、.ディープフェイク（人工知能にもとづく人物画像合成の技術）でCFOを真似た動画に騙され、120万ドルを電信送金しました。COVID-19により、不正支払は間違いなくさらに増えるでしょう。だからこそ企業は警戒し、情報やベストプラクティスを積極的に共有する必要があります。

エクスポージャやリスクはどこにあるか、把握するのです。その意識がなければ、あっという間に不意を突かれるおそれがあります。

不正リスクを軽減する方法

不正支払から会社を守るため、経理財務部門は次の3つの戦略を追求すべきです。

1. 支払テクノロジー – 侵入された後に対応するのでは遅すぎます。セキュリティに対する責任を、他の部門に押しつけてもいけません。代わりに、不正支払と積極的に闘う武器として、効果的なテクノロジーを活用するのです。
2. 社員教育 – 研修と啓発は、不正の発生リスクを軽減する鍵です。IT部門と連携して、不正支払リスクを社員に教育できます。フィッシングメールなどのCOVID-19に伴うサイバー脅威を認識し、これを防ぎ対応する方法を、社員が学ぶ必要があります。自社のCEO、CFO、IT部門なら普通はメールでどのような依頼をしてくるか、そしてどのような依頼であれば詐欺の可能性が高いかも、知っておくようにします。
3. 連携、責任 – 支払機能全般と支払テクノロジーに対し、経理部門がサイバーセキュリティに責任を負うべきです。そのために、IT部門と協力してクラス最高のソリューションとリスク軽減計画を策定します。さらに、支払セキュリティを、会社全体の情報セキュリティポリシーに沿うものにします。ポリシーや法的責任への姿勢は銀行によって違うため、銀行パートナーが不正から守ってくれると当てにしてはいけません。また、企業自身の技術的リスクを軽減するため、銀行にできることは限られています。

情報セキュリティのベストプラクティス

経理財務部門は、不正支払に対処する際、次の3つの基本的な情報セキュリティに関わるベストプラクティスを利用できます。

1. クラウドの採用 – 社内より外部にデータを保管した方が、支払データと接続の安全性を高められます。IT部門も、これを承知しています。だからこそ、会社のリソースプラニングシステムを既にクラウドに移行し、クラウドを活用してデータをサポートしているのです。とはいえ、情報セキュリティ面ではどんな「クラウド」も同じではありません。そのため経理部門は、支払システムのクラウド移行をめぐる議論に、IT部門を巻き込む必要があります。
2. アプリケーション・セキュリティ – ユーザーIDとパスワードのみで、支払システムへのアクセスを許可してはいけません。2017年のベライゾンの調査 によると、ハッキングに関連する侵入の81%が、盗んだパスワードや脆弱なパスワードを利用したものでした。現在は、在宅勤務している経理財務スタッフが多いことを考えると、非作業時もデータ送信中も、強力なパスワードポリシー管理、多要素認証（ハードまたはソフトトークンを使用）、IPフィルタリング、シングルサインオン、データ暗号化など、パスワード管理と暗号化の併用がとりわけ重要です。
3. ベンダー・セキュリティ – これは、経理財務部門が過去にじっくり検討してきた領域ではありませんが、今こそ、もっと注意を払うべきでしょう。ベンダーに詳細なセキュリティアンケート（例えばクラウドセキュリティアライアンスが提供するフォーマットなど）を行うことで、彼らのシステムのセキュリティへの知識を深められます。ベンダーに対し、ガバナンスとリスクプログラムに関する情報提供を求めることもできます（例えば、ISO 27001など既存の規格に準拠しているかなど）。それ以外に、ベンダーが、サードパーティベンダーのリスクをどのような方法で評価しているか、どのようなセキュリティインシデント事象管理ツールを使用しているかを探ることもできます。

ワークフロー管理

情報セキュリティのベストプラクティスと並び、支払セキュリティを強化するには、次の3つのワークフロー管理が欠かせません。
1. 例外の廃止 – 詐欺集団は、標準支払プロセスに設けられた例外を悪用します――例えば、緊急支払の場合は一定の管理を省略できるなど。.
2. 標準化 – 全ての支払システム内の、全地域のあらゆる人による全ての支払について、管理を標準化すべきです。たとえCEOでも、例外を認めてはいけません。
3. 集中的な支払 – 集中的なペイメントハブを通じて、管理の一貫性を確保できます。ペイメントハブが、データのシングルソースになるからです。支払確認の自動化、暗号化通信、リアルタイム可視化も可能になります。

支払スクリーニング

強力なワークフロー管理を実施している場合も、不正に対する最後の防衛線として、支払スクリーニングが重要な役割を果たします。支払スクリーニングは、社内ポリシーを確実に遵守する上でも役立ちます。支払スクリーニングの活用は、次の3つの分野で有用です。

1. 制裁リスト –米国外国資産管理局、EU、国連の制裁リストに照らして、支払のスクリーニングを行えます。これにより、企業が支払を行う際、うっかり制裁違反を犯すのを防げます。
2. 支払ポリシーの実行 – スクリーニング・ルールを適用して、社内の支払ポリシーが適切に守られているか確認できます。例えばスクリーニングにより、複数の人間がデータをチェックしているか検証できます。
3. 異常な支払の発見 – スクリーニングで、一定の異常を発見できます。例えば、新規の銀行口座や、最近変更された口座への支払などです。

現在、多くの企業は、COVID-19によりでキャッシュフローと流動性が大きくひっ迫しています。同時に企業の資金が、不正支払を目論むサイバー犯罪者の格好のターゲットになっています。COVID-19が犯罪者に、「数百万ドル単位の儲け」をもたらしている可能性もあります。

このタイミングで、多額の資金を失うのは避けたいものです。そのため、支払セキュリティ強化への投資が、これまで以上に重要です。そうすることが、目下のパンデミックをしのぐ上で役立つだけでなく、企業の強靭性も高まり、今後の更なる危機を巧みに乗り切れます。

支払をめぐる環境の変化、支払・明細ハブが価値を付加する理由、実現できる各種のメリットについて、詳しくはキリバが先日開催したウェビナー “Driving Payments Security and Efficiency during COVID-19（COVID-19流行中の支払セキュリティと効率性の改善）”の動画をご覧ください。