金融機関のシステム障害に関する分析レポートを公表、ペネトレーションテストやオペレジに関する取り組みもコラムで紹介 金融庁

掲載:2024年07月10日

サイバー速報

         
目次

金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表しました。同レポートは例年、金融庁が公表しているもので、今回は2023年度に金融機関から報告を受けたシステム障害について傾向を分析するとともに、2018年7月以降に報告されたシステム障害の主な事案を掲載しています。また今回は別紙にて金融庁が行った取り組みについてまとめたコラムも収録されました。

2023年度に受けた報告については、外部委託先が管理するVPN機器の脆弱性を悪用したと考えられる不正アクセスによってランサムウェアに感染、外部委託先が提供するサービスが利用できなくなったもの、外部委託先を含む金融機関へのDDoS攻撃によってインターネットバンキングや一部の決済手段が使えなくなったもの、プロジェクト固有のリスクを踏まえたBCPが未整備であったり、大規模障害を想定した危機管理体制が十分に整備されていなかったりしたために障害復旧対応に時間を要したものなどが2023年度の主な傾向としてまとめられています。

このほか、今回は記憶領域の確保不足による障害や取引量増加に起因する障害も傾向として挙げられています。具体的には、デジタルバンキングの利用増加に伴い、サーバーの処理能力が一時的に低下し、アプリによる決済サービスが利用不可となる事案が発生しました。サーバーの不調は、取引処理に利用する記憶領域が不足していたために起こりました。

別紙では、脅威ベースのペネトレーションテスト(TLPT)の好事例および課題をまとめたコラムと、オペレーショナル・レジリエンスに関して金融機関と対話を行った取り組みについてまとめたコラムの2つが掲載されています。TLPTのコラムでは「TLPTで重要な課題が検出されれば、躊躇なく現場から報告がなされるような組織文化を築くべき」などと記されています。