金融庁は6月30日、「金融分野におけるITレジリエンスに関する分析レポート」を公表しました。金融庁は例年、この時期に「金融機関のシステム障害に関する分析レポート」を公表していますが、今年は名称を変えるとともに内容も再構成しました。サイバーセキュリティ上の脅威や地政学リスクの高まりを受けて、金融機関はオペレーショナル・レジリエンス(オペレジ)の強化が以前にも増して求められています。
公表された「金融分野におけるITレジリエンスに関する分析レポート」は全5編と補論で構成されています(昨年公表の分析レポートは、全3部と別紙の構成)。
まず、例年同様、昨年度(今回は2024年度)の金融分野におけるシステム障害について分析した結果を掲載し(第2編)、続く第3編に「金融分野におけるサイバーセキュリティに関するガイドライン」(2024年10月策定)の解説と、脅威ベースのペネトレーションテスト(TLPT)に関する金融庁の取り組みおよびTLPT実施によって得られた示唆をまとめています。第4編ではクラウドサービス利用の拡大を踏まえて固有リスクや論点を示すとともに金融庁の姿勢を明示しました。オペレジについては第5編に金融庁のモニタリングから得られた課題と参考事例を記載しています。
2024年度のシステム障害の傾向は、同年度に金融機関から報告を受けた約1,800件を分析しました。それによると、最も多かったのが「ソフトウェア障害」で全体の36.5%、次いで「管理面・人的要因による障害」が34.3%を占めました。
「金融分野におけるサイバーセキュリティに関するガイドライン」は特定▽防御▽検知▽対応▽復旧――の項目と、経営陣のリーダーシップを含むガバナンスやサードパーティリスク管理に関する着眼点が盛り込まれています。また、各領域において「基本的な対応事項」と「対応が望ましい事項」を明記しました。
金融庁は地域金融機関に対してTLPT実証事業を行っています。実施した結果を踏まえ、TLPTを実施するにあたっての推奨事項を6点(テスト目的の認識合わせ▽スコープの設定とテスト内容▽経営層の関与▽関係者との連携・通知▽ホワイトチームの対応▽共同利用システムへのテスト)に整理して記載しています。
金融機関の約8割はクラウドサービスを利用しているとされています。金融機関はクラウドサービスを外部委託として管理する必要があることやクラウドサービスの特性に由来するリスクを考慮した対策を講じる必要があることなど、留意事項を4点に整理して記載しています。
金融庁はオペレジに関しても一部金融機関を対象にモニタリングを実施しています(2023事務年度から開始)。オペレジは自然災害や感染症、サイバー攻撃およびシステム障害などにおいても金融機関が重要な業務を最低限維持すべき水準において提供し続ける能力を指します。モニタリング結果を踏まえ、先行事例や認識された課題などを紹介しています。例えば、「重要な業務」の特定を、①代替可能性と②影響度の2軸で評価し、影響度は顧客の利用頻度▽市場シェア・利用者数▽金融システムへの影響度▽中断時の最大損失などの観点で評価しているといったことや、RTO (目標復旧時間)を、①完全復旧と②暫定復旧(暫定的な事業継続策を実施するまでの時間)の2段階設定としていることなどが挙げられています。
なお補論では、システム障害の事例集と、預金取扱金融機関の耐量子計算機暗号への対応に関する検討会(2024年に計3回開催)が取りまとめた報告書の要旨が記載されています。量子コンピュータの実用化は早ければ2030年代半ばと想定されているとし、すべての金融機関はできるだけ早く耐量子計算機暗号(PQC:Post-Quantum Cryptography)への移行に取り組み必要があると訴えています。
