SWIFT とは？

SWIFT（Society for Worldwide Interbank Financial Telecommunication）は、金融コミュニティーのメンバーが形成する協同的な取り組みです。SWIFT は、金融情報のフォーマットを標準化し、金融機関と企業間の電子的な情報交換を容易にするために、1973 年に 15 か国の 239 の銀行によって設立されました。それ以来、SWIFT 取引は、世界の金融セクター全体で送金に関する現行の標準となっています。現在は 11,000 以上の組織が SWIFT に接続しており、200 以上の国と地域で利用されています。 SWIFTNet 金融メッセージングシステムは、99.999% の可用性を備えた、非常に安定したメッセージングネットワークです。SWIFT の標準化の取り組みは、クロスボーダー決済やリアルタイム決済など、自動化と決済の進歩につながりました。送金とセキュリティには密接な関係があるため、SWIFT は SWIFT Customer Security Controls Framework（CSCF）というセキュリティフレームワークを開発しました。 

SWIFT システムは、積極的に関与するステークホルダーで構成される協同団体です。組織としての SWIFT は、ベルギー、フランス、米国、カナダ、ドイツ、イタリア、オランダ、スウェーデン、スイス、日本、英国の中央銀行によって統制されています。

また、金融メッセージを標準化するだけでなく、SWIFT ユーザーにセキュリティ制御のフレームワークである SWIFT CSCF を提供しています。このフレームワークは、推奨と必須のセキュリティ制御項目で構成されています。

SWIFT CSCF は、最小権限アクセス制御などの手段を使用して、組織の環境のセキュリティを確保することを求めています。CSCF には、保護対策だけでなく、堅牢な対応とインシデント処理も含まれています。Akamai のセキュリティソリューションは、インテリジェンスとエンドツーエンドの保護を提供し、金融データを漏えいや偶発的な暴露から保護します。Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供してデータのセキュリティとプライバシーを保護することで、セキュリティチームがセキュリティ投資の効果と ROI を最大限に高められるよう支援します。 

Akamai は、以下の 3 点を提供します。

• ゼロトラスト・セキュリティ を実行し、IT 環境、IoT 環境、OT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム
• 資産、アクセス、ネットワークフローの詳細な可視性
• セキュリティポリシーの緻密な適用

SWIFT ネットワークやその他の決済システムを標的とした不正行為の増加と複雑化を受け、Customer Security Programme（CSP）の一部として SWIFT Customer Security Controls Framework（CSCF）が作成されました。CSCF は、SWIFT メッセージングシステムを使用するあらゆる金融機関に適用される必須と推奨のセキュリティ制御からなるセキュリティフレームワークです。CSCF には 3 つの目的があり、その目的のもとに 7 つの戦略的セキュリティ原則があります。CSCF フレームワークは、4 つの SWIFT ユーザーアーキテクチャ（A1、A2、A3、B）をカバーしています。必要なセキュリティ制御は、SWIFT ユーザーがどのアーキテクチャに属するかによって異なります。

8,100万ドルを超える被害が出た 2016 年の バングラデシュ中央銀行強盗事件など、大規模な標的型 SWIFT ハッキングがきっかけとなり、SWIFT 顧客への攻撃を緩和するために CSCF サイバーセキュリティフレームワークが開発されました。 しかし、サイバー犯罪者は SWIFT をターゲットとし続けており、2021 年の European Payments Council のレポートには SWIFT 関連の銀行インフラを利用したマルチベクトルサイバー攻撃の事例が記録されています。このレポートは、SWIFT サービス局に対する標的型 APT 攻撃をベースとした銀行カードデータの大規模漏えいについて指摘しています。2021 年、SWIFT は CSCF の評価基準を更新し、インターネットアクセスの制限を推奨から必須に変更しました。また、サービスプロバイダーが運営する SWIFT 関連サービス、アプリケーション、コンポーネントを提示またはアクセスする際に、より堅牢な多要素認証を使用することとしました。次の機関は SWIFT の CSCF に準拠する義務があります。

金融機関 — SWIFT メッセージングプラットフォームを使用する金融機関は、CSCF の必須制御事項を遵守する必要があります。つまり、金融機関は、外部および内部の脅威から組織を保護するための堅牢なセキュリティ制御を備えなければなりません。この制御事項には、マルウェアやランサムウェアの感染を阻止するための脆弱性からの保護、機微な情報、認証情報、重要な資産を保護するための役割とアクセス権限の分離などが含まれます。CSCF の制御の基本原則の 1 つは、最小権限アクセス管理です。ゼロトラスト・セキュリティ・モデルを取り入れることで、金融機関は自らの環境を保護し、脆弱性の悪用を防ぎ、アイデンティティを管理して権限を分離し、CSCF を遵守できます。

サードパーティおよびベンダー — 金融機関による SWIFT 金融取引情報の処理、保存、伝送を支援する組織も、CSCF の制御事項を遵守する必要があります。このようなサードパーティ組織も、同じゼロトラスト・セキュリティ・モデルによって、SWIFT CSCF の必須制御事項を遵守することができます。そうすることで、このようなベンダーは、サプライチェーンを標的としたサイバー攻撃から自社およびその他のサプライチェーンメンバー（サービス提供先である金融機関を含む）を保護できます。

SWIFT CSCF のコンプライアンスには、独立した評価を通じた認証が必要です。組織は、適切なセキュリティ対策を整備し、この評価に備えなければなりません。SWIFT CSCF に対応するためには、セキュリティに対する体系的なアプローチが求められます。ゼロトラスト・アーキテクチャは、SWIFT CSCF の必須制御事項と推奨制御事項をサポートします。CSCF の制御を適用して、テクノロジーとポリシーを統合し、潜在的なアタックサーフェス全体をフィルタリングするきめ細かいセキュリティを実現します。Akamai は、SWIFT CSCF が求めるさまざまな制御をカバーする包括的なソリューションシリーズを提供しています。また、Akamai は、ゼロトラスト戦略によるリスク管理、報告、ドキュメンテーションを実現し、SWIFT CSCF のコンプライアンスをサポートしています。

SWIFT は 3 つの主要なメッセージングサービスを提供しています。

FIN — FIN は SWIFT の主要なメッセージングサービスです。MT／MX フォーマットや ISO 15022 メッセージフォーマットを使用して、個々の構造化メッセージを簡単に交換できるように設計されています。また、FIN は、メッセージフォーマットの検証、デリバリーの監視、保管と取得を実行します。

FileAct — FileAct は、一括支払ファイルや証券付加価値情報など、大規模かつ一括の構造化ファイル転送をサポートするシステムです。

InterAct — InterAct は、SWIFT MX フォーマットや ISO 20022 フォーマットのメッセージなど、XML ベースの金融メッセージ用の否認防止サービスを提供します。

SWIFT GPI — 4,000 を超える金融機関がクロスボーダー決済プラットフォームである SWIFT GPI に登録しています。このプラットフォームは、迅速な決済を行えるように最適化されており、追跡機能を備えています。

SWIFT GPI Instant — SWIFT GPI Instant は、SWIFT GPI の即時決済と国内のリアルタイム決済ネットワークを組み合わせることで、迅速かつシームレスなクロスボーダー決済を実現します。

SWIFT Go — SWIFT Go は、小口国際決済の標準です。

SWIFT は ISO と連携して次のような標準を開発しています。 

• ISO 15022：有価証券決済やアセットサービシングに使用。
• ISO 20022：金融業界のすべてのプロセスに適用される新しいオープンなグローバルメッセージング標準。

SWIFT は、SWIFT システムを介して送信される SWIFT メッセージを監視または制御する責任を負いません。制裁の対象となる金融取引は、金融機関とその国内監督機関によって決定されます。ロシアのウクライナ侵攻時に適用された金融制裁は国家組織によって実施されたものであり、たとえば EU がロシアの主要銀行を SWIFT システムから除外することに合意しました。