経営層を対象とした演習「Dear Chairman Exercise」に見る 国内金融機関に求められる対応とは

掲載:2016年06月20日

コラム

Dear Chairman Exercise(以下、DCEと称す)とは、英国の金融当局が企業の経営者に対して、ITリスクに係る具体的な管理方針や対応状況等について質疑応答で行う演習のことです。この演習は書面だけでなく対面で行われる場合もあります。DCEは英国内において第1回目が2012年、第2回目が2014年に実施されています。

         

DCEが開始された背景

DCEが開始された背景は、2012年に英国のRoyal Bank of Scotland(以下、RBSと称す)が所有するITシステムに大規模な障害が発生したことによります。支払処理に係るソフトウエアの更新処理が不適切であったことから、RBS及び同行のシステムを利用していたNatWest銀行並びにUlster銀行の窓口における残高照会、及び各銀行のATMにおける預金引き出し処理に支障が発生し、復旧までに数週間を要しました。この障害により当該銀行の利用企業や、約650万人の預金者の生活に大規模な支障が発生しました。

事態を重く見た英国金融当局は、RBS及びNatWest銀行並びにUlster銀行に約67億円の制裁金を課すとともに、主要金融機関の経営層に対してITに係るリスク管理状況と復旧計画の内容を確認することとしました。これがDCEが開始された背景です。

経営層が狙い撃ちされた理由は公にはされていないものの、本事態を踏まえた英国金融当局担当者のコメントとして、

  • 銀行の各種業務は、それを支える情報システムの信頼性や回復力に左右され、システム障害によるサービスの停止は数百万人の顧客のビジネスや生活に影響する
  • 金融機関がITに係る戦略及び方針を検討する際には、それらが顧客の要求に確実に応えうることを確認するよう期待する

旨が示されています。ITに係る戦略や方針は経営層の関与が求められることから、経営層が狙い撃ちされたものと推察されます。

DCEの特徴

DCEの特徴は二つあります。一つ目は、言うまでもなく、経営層のみが対象となること、そして二つ目は通知から実施までの時間が短い(数日以内)ことです。DCEで求められる具体的な確認項目は機密事項になっています。つまり、準備期間が極めて短く、確認項目が機密事項となっていることから一朝一夕で準備することは困難です。日頃からITリスクに係る管理方針や対応状況について適切に取り組んでいる経営層のみが、DCE に対応できるわけです。

日本国内の動向

国内では、2015年1月にサイバーセキュリティ基本法が施行され、同年7月に、「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針」が公表されました。この方針においては、「経営陣によるサイバーセキュリティ管理の重要性の認識」を金融機関向けのアンケートにて確認することや、「サイバーセキュリティ強化には、対策の実装等を行う技術担当者だけでなく、経営層及びこれを支える管理部門の職員も、セキュリティに関する意識と一定の知見を有することが望まれる」等が明示されています。

これを受け、金融機関の中には、役員が出席する主要会議において自社のサイバーセキュリティ対応状況を統合的かつ具体的に確認・審議したり、ITに係る一定以上の専門知識や経験・判断力を有している上級社員等を取締役に任命したりする等の動きが見られるようになってきました。

また、最近発行・改訂された以下のようなガイドラインでは、明確に経営層がサイバーセキュリティをはじめとするITリスク管理やリスク対応に関与することを求めています。

「サイバーセキュリティ経営ガイドライン Ver1.0」(経済産業省、独立行政法人 情報処理推進機)
本ガイドラインは2015年12月に公表されました。特筆すべきは、付録に「サイバーセキュリティ経営チェックシート」が付されており、経営者に求められる基本的な事項を確認できるようになっています(下記抜粋)。
  1. サイバーセキュリティリスクの認識、組織全体での対応の策定
  2. サイバーセキュリティリスク管理体制の構築
  3. サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
  4. サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
  5. 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
  6. サイバーセキュリティ対策のための資源(予算、人材等)確保
  7. ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
  8. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
  9. 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
  10. 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

「金融検査マニュアル」(金融庁)
2015年4月に改正された金融検査マニュアルでは、「経営陣によるシステムリスク管理態勢の整備・確立状況」において、次の内容が新設されています(下記抜粋)。

インターネットを利用したサービスの普及等に伴い顧客利便性が飛躍的に向上する一方で、サイバー攻撃の手口が巧妙化し影響も世界的規模で深刻化しており、金融機関においてはサイバーセキュリティを確保することが喫緊の課題となっている。 経営陣においては、サイバー攻撃による顧客、取引先の被害を防止し、安定したサービスを提供するため、サイバーセキュリティ管理態勢を構築し、状況の変化に対応し継続的に改善していくことが求められている。

また、「取締役の役割・責任」について、次の内容が追加・新設されています(下記抜粋)。

(i) 取締役は、システムリスク管理(システム障害やサイバーセキュリティ事案 (以下「システム障害等」という。)の未然防止及び発生時の迅速な復旧対応を含む。以下同じ。)を軽視することが戦略目標の達成に重大な影響を与えることを十分に認識し、システムリスク管理を重視しているか。
(ii) 取締役は、システム障害等発生時において、自らの果たすべき責任やとるべき対応について具体的に定めているか。また、自らが指揮を執る訓練を行い、その実効性を確保しているか。
(iii) 取締役会等は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な態勢を整備しているか。また、取締役会等は、サイバーセキュリティについて、例えば、以下のような態勢を整備しているか。
・ サイバー攻撃に対する監視体制
・ サイバー攻撃を受けた際の報告及び広報体制
・ 組織内 CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制
・ 情報共有機関等を通じた情報収集・共有体制 等
以上からわかるように、サイバーセキュリティにおいて経営層が果たすべき役割や責任等がガイドラインやマニュアルに明示されはじめています。

今後も経営層の果たすべき役割や責任が一層重要視される

従来、IT部門やリスク管理部門に任せていても比較的許容されていたことが、最近になって経営層自らが責任を持って取り組むことを強く求められるようになってきた理由は、社会において情報システムの担う役割が飛躍的に高まる一方で、サイバー攻撃が飛躍的に増加かつ狡猾化しており、その被害は企業内だけの問題ではなく社会的影響を及ぼす経営課題に直結しているからです。

例えば、仮に、通信・運輸・金融・物流・電気等の重要インフラにおいて甚大なサイバー被害が発生し、各種サービスの提供に重大な影響が生じた場合、企業間の事業に対する支障だけでなく、一般市民の生活に対しても甚大な支障が生じます。また、サイバー攻撃は地震や津波等の自然脅威と異なり、目に見えない脅威であり、かつ、被害が発生してもそれが発覚するまで数日~数カ月を要す場合もあることから、「気づいた時にはもう遅い」事態になりかねません。

このようなサイバー攻撃が及ぼす社会的な影響、及び特殊性等に鑑み、企業や組織の経営層の役割や責任が一層重要視されるようになってきたわけです。

明日からなすべきこと

以上を踏まえ、経営層が明日からなすべきことを次に例示します。ここに示す内容は、現状を確認するためのものです。確認結果に基づき、適切な対応・指示を行うことを推奨します。

  • 自社のサイバーセキュリティに係る経営層、取締役会の役割と責任の確認
  • サイバーセキュリティ方針、及びサイバーセキュリティの現状とあるべき姿の確認
  • サイバーセキュリティの課題、あるべき姿に向けた計画及び実施状況の確認
  • 自社のサイバーセキュリティ体制(リスクマネジメント体制、監視体制、被害が発生した場合の広報体制、CSIRT体制、情報共有・収集体制)の役割と責任の確認
  • 前項に示す各体制の演習・訓練の計画、及び実施状況の確認