金融機関のシステム障害に関する分析レポートを公表、ペネトレーションテストやオペレジに関する取り組みもコラムで紹介 金融庁
掲載:2024年07月10日
サイバー速報
目次
金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表しました。同レポートは例年、金融庁が公表しているもので、今回は2023年度に金融機関から報告を受けたシステム障害について傾向を分析するとともに、2018年7月以降に報告されたシステム障害の主な事案を掲載しています。また今回は別紙にて金融庁が行った取り組みについてまとめたコラムも収録されました。
2023年度に受けた報告については、外部委託先が管理するVPN機器の脆弱性を悪用したと考えられる不正アクセスによってランサムウェアに感染、外部委託先が提供するサービスが利用できなくなったもの、外部委託先を含む金融機関へのDDoS攻撃によってインターネットバンキングや一部の決済手段が使えなくなったもの、プロジェクト固有のリスクを踏まえたBCPが未整備であったり、大規模障害を想定した危機管理体制が十分に整備されていなかったりしたために障害復旧対応に時間を要したものなどが2023年度の主な傾向としてまとめられています。
このほか、今回は記憶領域の確保不足による障害や取引量増加に起因する障害も傾向として挙げられています。具体的には、デジタルバンキングの利用増加に伴い、サーバーの処理能力が一時的に低下し、アプリによる決済サービスが利用不可となる事案が発生しました。サーバーの不調は、取引処理に利用する記憶領域が不足していたために起こりました。
別紙では、脅威ベースのペネトレーションテスト(TLPT)の好事例および課題をまとめたコラムと、オペレーショナル・レジリエンスに関して金融機関と対話を行った取り組みについてまとめたコラムの2つが掲載されています。TLPTのコラムでは「TLPTで重要な課題が検出されれば、躊躇なく現場から報告がなされるような組織文化を築くべき」などと記されています。
おすすめ記事
- みずほ銀行(MHBK)の大規模システム障害から、私たちみんなが学べること ~「調査報告書」が示す教訓~(前編)
- みずほ銀行(MHBK)の大規模システム障害から、私たちみんなが学べること ~「調査報告書」が示す教訓~(後編)
- キャッシュレス決済-利便性の裏に潜むリスクとセキュリティ
- コンティンジェンシープラン(Contingency Plan)
- DoS攻撃/DDoS攻撃
- 目標復旧時間 (RTO: Recovery Time Objective)
- 意見公募を反映、金融オペレジに関するディスカッションペーパーを公表 金融庁
- 金融オペレジ強化へ好事例も追加、「金融機関のシステム障害に関する分析レポート」を公表 金融庁
- 地域金融機関が初めて実施、「サイバーセキュリティセルフアセスメント」(CSSA)の集計結果を公表 日銀/金融庁
- サイバーセキュリティのガイドライン案や監督指針の一部改正で意見公募を実施 金融庁
- 10月4日から適用開始、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表 金融庁
- ネットワーク貫通型攻撃