はじめましての方、よろしくお願いします。
ご存知の方、お世話になっております。
GMOコネクトの菅野(かんの)でございます。
ちょっと前に次のような記事をまとめてみたのですが、その調査のシリーズとなります。
今回のターゲットは金融機関ってどうなってるんだろう?とつぶなら瞳で気になりました。
背景としては、次の記事にあるように 「金融庁は大手銀行や地方銀行に対し、サイバー攻撃対応で次世代暗号通信技術の導入を求める」 とあるので、きっと前のめりにPQC対応に対して着手しているんじゃないか?と感じたことにあります。
調査方針
官公庁編と同じノリで向き合うのですが、調査方針をまとめますと次のとおり。
調査自身は慣れたものです、はい笑
- PQCへの向き合っているかを知りたい
- PQC対応が進んでいるインターネットプロトコルはTLSなので、TLS通信させて状況を見る(※)
- 職人が真心こめてアクセスして状況を把握
- ターゲットの金融機関はどう抽出するの?というところは、金融庁が監督している組織を真心こめて抽出します
- 調査手段は?
- OpenSSLのs_clientを使ってPQ/Tな接続ができるのか確認するという地道なアプローチ
調査概要 & 結果
調査概要とその結果については次のとおりです!
調査概要
- 銀行、証券会社、生命保険、損害保険等をターゲットに金融機関ドメインとして188ドメインを抽出しました。
- この188ドメインに対して真心込めてTLSハンドシェイク!
- 通信結果と向き合う
調査結果
- 接続成功率 89.4%(168サイト)
- 失敗した20ドメインは接続できずなのでリスト作りに課題ありですね!
- TLS1.3での接続OK率 65.5%(110サイト)
- PQ/Tハイブリッド構成が有効率 19.0%(32サイト)
- 参考:TLS1.2での接続だったのは 34.5% (58/168) という結果に!
- PQ/Tハイブリッド構成で接続されているものはX25519MLKEM768 という結果を得ました!
- そりゃそうですね!という結果です。
官公庁との比較
比較をどうするかなーってことで、生成AIの力を借りて情報を整理してみました。
横並びで比較するとグッとくるものがありますね〜
- 政府主導のサイバーセキュリティ戦略の効果
- 政府機関の高い導入率は、国のサイバーセキュリティ戦略が効果的に機能している可能性が!?
- 金融機関のレガシーシステム課題!?
- TLS 1.2で接続するサイトが 34.5% という結果であり、金融機関のITインフラをモダン化することが急務であるんじゃないか説
- この差が生じているのかが、気になります!
- 業界間での技術格差
- 同じ日本国内でも、セクターが違えばサイバーセキュリティの成熟度に大きな差がある
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。