昨今、金融セクター全体で、新しいデジタルテクノロジーを活用した業務プロセスの効率化や顧客サービスの向上等が進んでいます。
その一方で、国家間の対立や新たなデジタルサービスを狙った攻撃等により、サイバー攻撃がより一層高度化・多様化しています。
一企業が国家レベルのサイバー攻撃能力を持つハッカー組織からの攻撃を完全に防御することは困難であるため、金融機関等は今まで以上に金融庁や中央機関、業界団体等と連携しながら、サイバーセキュリティ対策レベルの底上げを行う必要があります。
そのような状況下で、金融庁は2024年10月4日に「主要行等向けの総合的な監督指針」等を一部改正し、新たに各監督指針・事務ガイドライン(以下、監督指針等)の別紙となる「金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」を金融機関等向けに公表しました。
金融庁は引き続き、金融機関等の規模・特性に応じてリスクベースアプローチで検査・モニタリングを実施し、個別金融機関等のサイバーセキュリティ管理態勢の検証を行うことで、サイバーセキュリティ対策レベルの底上げを促進する方針を打ち出しています。
それに伴い金融機関等は本ガイドライン等を活用し、自組織に対するリスクアセスメントを行ったうえで、対策優先度等に鑑みた実質的かつ効果的な対策を講じる必要があります。
本記事では、本ガイドラインの内容のうち、主に金融機関等に求められる対応事項が記載されている第2節「サイバーセキュリティ管理態勢」について解説します。
本ガイドラインの構成
本ガイドラインは、第1節「基本的考え方」、第2節「サイバーセキュリティ管理態勢」、第3節「金融庁と関係機関の連携強化」の構成となっており、金融機関等に求められる詳細な対応事項は、第2節に記載されています。
第2節は以下の表の通りの構成となっており、「基本的な対応事項」及び「対応が望ましい事項」を合わせ、計176事項となります。
章構成と対応事項数
「基本的な対応事項」は、「サイバーハイジーンと呼ばれる事項や、その他金融機関等が一般的に実施する必要のある基礎的な事項」と定められています。
一方で、「対応が望ましい事項」は、「金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組や、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき優良事例」と定められており、「基本的な対応事項」とは異なり、金融機関等の規模・特性等を踏まえ対応要否を判断する事項となります。
また、「基本的な対応事項」及び「対応が望ましい事項」いずれについても、一律の対応を求めるものではなく、金融機関等の内外環境を踏まえた上で、自組織に見合ったリスクベースアプローチで対応することが求められています。
そのため、金融機関等における対策実施判断のプロセスとして、本ガイドライン等を活用した自組織のサイバーセキュリティリスク評価を行い、評価の結果、リスクが残存する場合はリスクレベル(リスクの影響度×リスクの発生可能性)を判断します。
残存リスクにより発生し得る自社ビジネスへの影響度が許容範囲に収まっていない場合は、対策案を検討し、対策の効果(リスク低減度合い等)及び容易性より、最終的に対策優先度を判断していくことが必要になります。
本ガイドラインの主な特徴
【POINT 1】サイバーセキュリティ対応事項の拡充と具体化
金融庁は、2015年に監督指針等の改正時に初めてサイバーセキュリティに関する規定を整備し、ここ数年では2022年に「サイバーセキュリティ強化に向けた取組方針v3.0」の公表、2023年には「各金融機関合同のサイバーセキュリティ演習」、「地域金融機関におけるサイバーセキュリティセルフアセスメント」等、様々な取組みを行っており、金融セクター全体のサイバーセキュリティの強化を促進してきました。
そして、今般、金融機関等における近年のサイバーセキュリティリスクの深刻化に対処していくために本ガイドラインを策定しました。
サイバーセキュリティに関する金融庁の取り組みの沿革
本ガイドラインは、従前までの監督指針等で定める監督上の評価項目より更に詳細な内容となっています。
例えば以下の表の通り、サイバーセキュリティに係る人材育成について、本ガイドラインでは「新たなデジタル技術の導入に際し、生じ得るサイバーセキュリティに関するリスク評価を行う人材」「サイバーセキュリティ戦略・計画の企画・立案を行う人材」等のように、どのような人材育成が必要かを詳細に記載しているため、必要な対応イメージがより湧きやすくなっています。
改正前の「主要行等向けの総合的な監督指針」と本ガイドラインの記載粒度の比較例
改正前の監督指針 |
本ガイドライン |
Ⅲ主要行等監督上の評価項目 Ⅲ-3業務の適切性等 Ⅲ-3-7システムリスク Ⅲ-3-7システムリスク Ⅲ-3-7-1-2主な着眼点
(5)サイバーセキュリティ管理 ⑩サイバーセキュリティに係る人材について、育成、拡充するための計画を策定し、実施していること。 |
2.サイバーセキュリティ管理態勢 2.1.サイバーセキュリティ管理態勢の構築 2.1.3.経営資源の確保、人材の育成
④人材の育成については、例えば、以下のような人材を外部人材の活用も含めて計画的に確保していくこと。 ・新たなデジタル技術の導入に際し、生じ得るサイバーセキュリティに関するリスク評価を行う人材 ・サイバーセキュリティ戦略・計画の企画・立案を行う人材 ・サイバーセキュリティに関する研修や人材育成を行う人材 ・サイバーセキュリティの観点からシステムの設計・開発を行う人材 (以降、省略) |
【POINT 2】最新動向を踏まえた対応事項
冒頭でも述べた通り、金融機関等を取り巻く環境は刻々と変化しています。新たなフィンテック企業の参入やキャッシュレス決済サービスの展開、クラウドサービスの利用、外部委託の拡大等の様々な動きが見られます。その一方で、サイバー攻撃もより一層高度化・多様化しているため、金融機関等は最新動向を踏まえた適切な対応を講じる必要があります。
金融庁が2022年に公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver.3.0)」においても、今後想定される新たなリスクへの備えとして、セキュリティ・バイ・デザインの実施、クラウドサービスの普及等への対応、サードパーティリスク管理等が紹介されており、実際に本ガイドラインでは、金融機関等に求められる最新動向を踏まえた対応事項が具体的に記載されています。
以下に最新動向を踏まえた対応事項の一例を示します。
最新動向を踏まえた対応事項の一例(サードパーティリスク管理)
2.6 サードパーティリスク管理 |
|
基本的な対応事項 |
対応が望ましい事項 |
① サイバーセキュリティに係る戦略、取組計画を策定する際にはサプライチェーン全体を考慮すること。また、サードパーティを含む業務プロセス全体を対象としたサイバーセキュリティ管理態勢を整備すること。
② サードパーティのリスク管理のライフサイクル全体を通じ、サードパーティに起因するサイバーセキュリティリスクを管理するために必要な態勢を整備し、サードパーティリスク管理の方針を策定すること。 (以降、省略)
|
a サードパーティリスク管理に係る統括部署に適切な知識等を有する人員の配置をすること。
b サードパーティリスク管理において、重要な業務のサードパーティへの依存関係、サードパーティの集中リスク、地政学リスクの影響、フォースパーティの影響を考慮すること。 (以降、省略) |
本ガイドラインでは、経営陣向けの対応事項として、サプライチェーン全体を考慮したサイバーセキュリティ戦略の策定・管理態勢の整備等が求められており、管理者向けの対応事項として、サードパーティを管理するための台帳の整備・維持等、複数の対応事項が求められています。
当該対応事項が策定された背景には、金融機関等のサードパーティの活用が進展する一方で、サプライチェーンに由来するインシデントにより金融機関等が多大な影響を受ける事例が実際に多発していることが挙げられます。
そのため、金融機関等は外部委託先システムや、システム連携先、協業先のセキュリティ対策不足が自社のリスクになる可能性も想定し、サードパーティを管理・評価し、サイバー攻撃への耐性を高めることが重要になっています。
【POINT 3】関連するガイドラインの活用
金融庁は、本ガイドラインを形式的に遵守することのみを重視したリスク管理態勢とならないように留意し、関連するガイドラインも参照し、実質的かつ効果的な対応を行うことを求めています。
例えば、関連するガイドラインとして紹介されているCRI Profile(米国の非営利団体「Cyber Risk Institute」が公表するサイバーセキュリティのフレームワーク)には、各要件に対する評価を行う際に参考となる内容が整備されており、どのような対策を行う必要があるか、どのような証跡を確認する必要があるか、について例示されています。
そのため、本ガイドラインの対応事項に紐づけられるCRI Profileの要件を確認することで、サイバーセキュリティ対応として求められる内容の理解を更に深めることが可能となります。
弊社で策定した本ガイドラインとCRI Profileのマッピング例
本ガイドライン |
CRI Profile |
||
評価項目 |
ガイダンス |
証跡例 |
|
2.2.4 c 自組織のシステム環境を熟知する内部人材によるペネトレーションテスト(レッドチーム(TLPTにおける攻撃側の担当者)によるテストを含む)を実施すること。 |
ID.IM-02.01 組織は、サイバーセキュリティ防御のギャップを特定するために、組織のネットワーク、インターネットに面したシステム、重要なアプリケーション、および関連する統制に対して、独立したペネトレーションテストとレッドチームテストを定期的に実施すること。 |
ペネトレーションテストは、潜在的な脆弱性を悪用し、不正アクセスやその他の悪意のあるアクティビティが可能かどうかを判定する試みである。 (以降、省略) |
セキュリティテストに関するポリシー、基準および手順 (以降、省略) |
また、CRI Profileにはサイバーセキュリティにおける高度な対応内容も記載されているため、更に高度なセキュリティ管理態勢を構築する際に役立つガイドラインとなっています。
CRI Profileの詳細については以下ブログでも紹介しておりますので、是非参考にして下さい。
CRI Profileとは?|金融機関向けサイバーセキュリティリスク評価フレームワーク
CRI Profile v2.0での更新ポイント|金融機関向けサイバーセキュリティリスク評価フレームワークを解説
金融機関向けサイバーセキュリティリスク評価フレームワーク「CRI Profile バージョン2.0 日本語版」公開のお知らせ
最後に
本記事では、金融庁が2024年10月4日に公表した「金融分野におけるサイバーセキュリティに関するガイドライン」について解説しました。
サイバーセキュリティに関する対応事項が本ガイドラインで幅広く整備されたことに伴い、引き続き金融セクター全体のサイバーセキュリティの強化が促進されます。
繰り返しになりますが、金融機関等は本ガイドラインを形式的に遵守するのではなく、関連するガイドラインも参照しながら本ガイドラインで定める対応内容の趣旨を踏まえ対応していくことが求められています。
今後、国内でのサイバーセキュリティにおけるリスクアセスメントを行う際、本ガイドラインが事実上の金融機関等のスタンダードとなり、本ガイドラインに加え「CRI Profile」等の関連するガイドラインを活用することで、金融機関等におけるサイバーセキュリティの管理態勢の更なる高度化が促進されると考えます。
NRIセキュアでは、今回ご紹介したガイドラインをもとにした「金融庁サイバーセキュリティガイドラインを活用したリスクアセスメントサービス」、および日本初でCRI Profileを用いたサービス「CRI Profileを活用したサイバーセキュリティアセスメントサービス」を提供しています。
本サービスにご興味がある方は下記リンクからお気軽にお問い合わせください。
CRI Profileを活用したサイバーセキュリティアセスメントサービス
金融庁サイバーセキュリティガイドラインを活用したリスクアセスメントサービス