10月4日から適用開始、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表 金融庁
掲載:2024年10月11日
サイバー速報
目次
金融庁は10月4日、新たに策定した「金融分野におけるサイバーセキュリティに関するガイドライン」を公表するとともに同日から適用を開始しました。大手金融機関から小規模金融機関まで、また暗号資産交換業者や電子決済等取扱業者などのフィンテック事業者も対象にサイバーセキュリティの確保を求めています。
ガイドラインの公表および適用にあたり、先んじて金融庁はガイドライン案を公表するとともに、意見公募を実施しました。ガイドライン案に対して240件を超える意見が寄せられ、それら意見を踏まえて今般、ガイドラインは公表されました。なお、経過措置はなく、公表と同時に適用されました。
金融機関などを対象としたサイバーセキュリティ管理については従来、「主要行等向けの総合的な監督指針」に代表される監督指針等のなかで示されてきました。しかし、サイバー攻撃は深刻な脅威となってきているため、監督指針等から切り出し、より詳細な内容を定めたガイドラインが策定されました(ガイドラインを踏まえた対応を求めるとした改正監督指針等も4日から適用されました)。
ガイドラインは、経営陣の主体的な関与の重要性が強調されています。サイバーセキュリティは担当部署などだけでは確保できないため、経営陣の主体的な関与のもと組織全体で態勢構築と運営を行う必要があるとしています。
サイバーセキュリティ管理態勢は「基本的な対応事項」と「対応が望ましい事項」とに分けて示されました。例えば「2.3.サイバー攻撃の防御」にある「2.3.4.3.セキュリティ・バイ・デザイン」の項目では、基本的な対応事項として「セキュリティ・バイ・デザイン」を実践することや、重要なサードパーティも含めてリスクを検証し対策を講ずることなどが示されました。また、デジタル庁が今年1月に改定した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」(初版は2022年6月)を参考として紹介しました。一方、「対応が望ましい事項」としては、セキュアコーディングに係る基準を策定し実施することなどが記されています。
おすすめ記事
- セキュリティ・バイ・デザイン、セキュア・バイ・デザイン
- キャッシュレス決済-利便性の裏に潜むリスクとセキュリティ
- コンティンジェンシープラン(Contingency Plan)
- DoS攻撃/DDoS攻撃
- 目標復旧時間 (RTO: Recovery Time Objective)
- みずほ銀行(MHBK)の大規模システム障害から、私たちみんなが学べること ~「調査報告書」が示す教訓~(前編)
- みずほ銀行(MHBK)の大規模システム障害から、私たちみんなが学べること ~「調査報告書」が示す教訓~(後編)
- サイバーセキュリティのガイドライン案や監督指針の一部改正で意見公募を実施 金融庁
- 金融機関のシステム障害に関する分析レポートを公表、ペネトレーションテストやオペレジに関する取り組みもコラムで紹介 金融庁
- 意見公募を反映、金融オペレジに関するディスカッションペーパーを公表 金融庁
- 金融オペレジ強化へ好事例も追加、「金融機関のシステム障害に関する分析レポート」を公表 金融庁
- 地域金融機関が初めて実施、「サイバーセキュリティセルフアセスメント」(CSSA)の集計結果を公表 日銀/金融庁
- 不正アクセス行為の認知件数は前年比およそ3倍、2023年の発生状況を公表 総務省/警察庁/経産省