2024年10月4日、金融庁より「金融分野におけるサイバーセキュリティに関するガイドライン」(以下、当该ガイドライン)が公开されました。当该ガイドラインは、グローバルにおけるサイバーセキュリティフレームワークに适合するものであり、オペレーショナルレジリエンスやサードパーティリスク等近年の重要论点も取り込み、现在金融机関に求められるサイバーセキュリティを包括的に定义するものとなっています。
従来、国内の金融业界では、サイバーセキュリティに係る业界基準?指针として监督指针や贵滨厂颁安全対策基準以上のものは存在しておらず、金融机関によってサイバーセキュリティの成熟度に大きなばらつきが存在していました。当该ガイドラインの登场によって、金融业界のサイバーセキュリティは新しい段阶に进むことが予测されます。
1.サイバーセキュリティガイドラインの概要
出所:碍笔惭骋作成
各项内では、「基本的な対応事项」と「対応が望ましい事项」の2段阶で具体的な対応事项が定められており、採番されているもので合计177项目あります。
各カテゴリの概要およびポイントは以下のとおりです。
サイバーセキュリティ管理態勢の構築(CRI ProfileにおけるGV.)
サイバーセキュリティに係る経営阵のリーダーシップや基本方针?规程等の整备、人材?予算の确保、2线?3线态势整备等について求めるカテゴリです。経営阵主导のサイバーセキュリティを実现するために、経営阵が持つべき责任と全社的な対応が详细に定められています。
サイバーセキュリティリスクの特定(CRI ProfileにおけるID.)
情报资产(システム、外部サービス、ハードウェア、ソフトウェア、データ等)の管理、胁威分析、サイバーリスク评価、脆弱性管理、诊断?テスト?演习の実施等について求めるカテゴリです。全6カテゴリのなかで最も项目数が多く、台帐で管理すべき観点やリスク评価の考虑事项等、适応范囲や详细手続等まで踏み込んだ内容が随所に见られます。
サイバー攻撃の防御(CRI ProfileにおけるPR.)
认証?アクセス管理、サイバーセキュリティ教育、データ保护、アンチマルウェア、セキュアな开発?运用环境、ネットワークセキュリティ、クラウドセキュリティ等について求めるカテゴリです。システム开発?运用にて考虑すべき要件が详细に定められており、「サイバーセキュリティリスクの特定」に次いで项目数が多いです。セキュリティ?バイ?デザイン、クラウドセキュリティは他のガイドラインを参考?参照していることも特徴的です。
サイバー攻撃の検知(CRI ProfileにおけるDE.)
セキュリティ监视、サイバー攻撃検知手続について求めるカテゴリです。サイバー攻撃の端绪を検知するために、ハードウェア、ソフトウェア、ネットワーク、ユーザ、外部アクセス観点で必要な监视事项が提示されています。
サイバーインシデント対応および復旧(CRI ProfileにおけるRS.およびRC.)
サイバーインシデント対応計画、およびコンティンジェンシープラン整備を求めるカテゴリです。インシデント発生時に求められる対応を、インシデント対応のステップごとに定めています。業界全体で対応力を上げるため、攻撃情報等を他の機関に共有することも求めています。なお、Delta Wall等の外部演習?訓練にて重視されている対応のポイントと本ガイドラインの要件に大きな差分は見られません。
サードパーティリスク管理(CRI ProfileにおけるEX.)
サードパーティリスク管理态势整备、サードパーティリスク评価、デューデリジェンス、契约期间中のモニタリング等について求めるカテゴリです。サードパーティリスク管理态势に係る要件は、リスク横断的な记载となっています。他方で、デューデリジェンスや契约书に含める事项については、サイバーリスクに焦点を当てて详细に例示されています。また、対応が望ましい事项のなかでは、経済安全保障対応との関连が示されています。
2.サイバーセキュリティガイドライン活用上のポイント
各项にて定义されている「基本的な対応事项」だけを见ても100以上の要件が存在しており、相応に期间?人材?リソースが必要な対応事项も少なくありません。たとえば、「システム及び情报の重要度に応じたバックアップ要件、バックアップデータの隔离と保护、整合性の検証、復旧テストの実施等を含む、バックアップに関する规程等を整备し実装すること」を実现するためには、システム横断的なバックアップ强化が必要になります。
経営へのサイバーセキュリティ组み込みやオペレーショナルリスク横断で取り组むべき项目もあることから、当该ガイドラインへの対応は、経営主导で必要な関係者が适切にかかわる全社的な取组みとして推进することが望まれます。
また、当该ガイドラインにて金融庁が强く诉求していることの1つに「リスクベースアプローチ」が挙げられます。ガイドラインでは、「一律の対応を求めるものではなく、金融机関等が、自らを取り巻く事业环境、経営戦略及びリスクの许容度等を踏まえた上で、サイバーセキュリティリスクを特定、评価し、リスクに见合った低减措置を讲ずること」と表现されています。
形式的に「基本的な対応事项」への準拠を目指すのではなく、组织のビジネス戦略およびサイバーリスクに鑑み、まさに今サイバー胁威に晒されている弱点や明らかな対策の偏り等から优先的に対処していく中期的なサイバーセキュリティ计画を策定し、改善に取り组むことが望まれます。
当该ガイドラインを基にサイバーセキュリティの改善に取り组む一般的なアプローチは以下のとおりです。
出所:碍笔惭骋作成
3.碍笔惭骋のケイパビリティ
乐鱼(Leyu)体育官网は、国内外のサイバーセキュリティ規制?ガイドライン等の研究に注力しており、当該ガイドラインでも参照されているCRI Profileに対しては、初版公開時点から国内金融機関での活用検討を推進してきました。
また、金融机関のサイバーセキュリティを长年にわたり支援した豊富な実绩を有しています。ガイドライン対応の初手である现状分析?リスク评価だけでなく、サイバーセキュリティ戦略?计画策定、各种规程整备、リスク评価改善、セキュリティソリューション导入、インシデントレスポンスまで、金融机関のサイバーセキュリティを包括的に支援する多様なサービスを用意しています。お気軽にお问い合わせください。
碍笔惭骋では、今后当该ガイドラインに関する解説动画や、ガイドライン対応に取り组まれる各社において対策が予想される个别テーマに焦点を当てた解説记事の配信を顺次予定しております。どうぞご期待ください。
执笔者
碍笔惭骋コンサルティング
アソシエイトパートナー 田畑 直樹
マネジャー 関本 勘楠