金融分野におけるサイバーセキュリティに関するガイドライン
| 執筆者: | コンサルタント 阿部 |
「金融分野におけるサイバーセキュリティに関するガイドライン」とは、金融庁が2024年10月に公表した、日本のあらゆる金融機関に対して実施を求めるセキュリティ対策を示したものです。これにあわせて、銀行などを監査するための基準である「主要行等向けの総合的な監督指針」等も一部改正されており、金融庁による監査では本ガイドラインが参照されます。本稿ではガイドラインの内容について解説するとともに、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)や金融情報システムセンター(FISC)が提供するFISC安全対策基準との違いについても紹介します。
金融分野におけるサイバーセキュリティに関するガイドラインとは
インターネットバンキングやキャッシュレス決済などの普及に伴い、金銭や個人情報を狙うサイバー攻撃が巧妙化・多様化しています。従来の一般的な監督アプローチや金融機関による自主的な取り組みだけでは十分な対策を講じることが困難であるとの判断から、より規範的かつ包括的な枠組みの必要性が高まりました。このガイドラインは、2015年の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」から続く検討の集大成といえます。
そのような背景で策定されたガイドラインの目的は、金融セクター全体のサイバーセキュリティを強化し、金融サービス利用者の保護と金融システムの安定を確保することです。特に、サイバーセキュリティ対策への取り組みを単なる「費用」として捉えるのではなく、経営層がリーダーシップを発揮し、将来の成長と持続的な安定のための戦略的な「投資」として位置付けるという視点が重要とされています。
ガイドラインの構成と重点ポイント
本ガイドラインは、大きく「基本的考え方」「サイバーセキュリティ管理態勢」「金融庁と関係機関の連携強化」の3部で構成されており、本稿では特に①経営陣のリーダーシップの重視②リスクベースの対応③二段階の対策レベル④最新の脅威への対応という4つの特徴に注目して各章を見ていきます。
基本的考え方
本章では、サイバーセキュリティ対策を単なる「費用」ではなく、事業の成長と安定を支えるための「投資」として捉えるべきであるという考え方が示されています。経営陣がサイバーセキュリティを重要な経営課題と認識し、積極的に関与することの重要性も強調されています(特徴①経営陣のリーダーシップの重視)。また、業界団体や中央機関が果たすべき役割にも言及し、金融セクター全体での協調的な取り組みを促しています。この考え方は、金融システムの安定確保と利用者保護を達成するための基盤となるものです。
サイバーセキュリティ管理態勢
本章は、国際的なフレームワークであるNIST CSFを参考に、日本の金融環境に合わせて「サードパーティリスク管理」を独立させた7つの要素で構成されています(特徴②リスクベースの対応)。7つの要素は以下の通りです。
- 経営陣の責任を問う「ガバナンス」
- サイバーセキュリティリスクの「特定」(特徴②リスクベースの対応)
- 多層的な「防御」
- サイバー脅威に応じた「検知」
- インシデント発生時の「対応」
- 事業継続計画に基づく「復旧」
- サプライチェーン全体を対象とした「サードパーティリスク管理」
特に「サードパーティリスク管理」では、外部委託先の選定から継続的なモニタリングまで詳細な要件が定められている点が特徴です。
また、各項目には、全ての金融機関が遵守すべき「基本的な対応事項」と、より成熟度を高めるための「対応が望ましい事項」が具体的に示されており、段階的なセキュリティ強化を可能にしています(特徴③二段階の対策レベル)。
- <参考:金融分野におけるサイバーセキュリティに関するガイドラインより抜粋>
- 2.1.1. 基本方針、規程類の策定等
- 【基本的な対応事項】
- (中略)
②取締役会等は、サイバー攻撃が高度化・巧妙化していることを踏まえ、組織の経営目標にとってのサイバーセキュリティの確保の重要性を認識し、関係主体等からの要求事項や、法規制等の内外環境を踏まえ、必要なサイバーセキュリティ管理態勢を整備すること。また、サイバーセキュリティ管理態勢について少なくとも1年に1回レビューを行うなどにより、十分な検証、議論を行うこと(必要に応じ、外部専門家によるレビューを含む)。
金融庁と関係機関の連携強化
巧妙化・高度化するサイバー攻撃に対抗するには、個々の金融機関の取り組みだけでは限界があります。官民が一体となった連携が不可欠であるとの考えから、本章では連携強化の方向性が示されています。具体的には、金融ISACなどを通じた脅威情報や脆弱性情報の共有・分析体制を強化し、業界全体の防御能力を高める取り組みが挙げられています(特徴④最新の脅威への対応)。
また、様々なステークホルダーとの連携という観点では、警察などの捜査当局との連携による迅速な対応と被害拡大の防止や、国際的なサイバー攻撃に備えて海外の金融監督当局との連携を深めることの重要性も強調されています。
このように多方面との関係性の強化を通じて、国内における金融システム全体として、より強固でレジリエントなサイバーセキュリティ態勢を構築することを目指しています。
金融機関が求められるサイバーセキュリティ管理態勢の詳細
ガイドラインでは、特に「サイバーセキュリティ管理態勢」に重点がおかれており、下記6項目について合計176の対応事項が規定されています。経営層から現場まで、組織全体で実施すべき事項が記載されていますので、詳細に解説いたします。
(1)サイバーセキュリティ管理態勢の構築
- 取締役会が主導してサイバーセキュリティに関する基本方針を策定する
- CISO(最高情報セキュリティ責任者)を任命してその役割と責任を明確化する
- 経営資源を「投資」として適切に配分し、セキュリティ意識を組織全体に浸透させる文化を醸成する
(2)サイバーセキュリティリスクの特定
- リスクアセスメント(自社が保有する情報システムやデータといった情報資産をすべて洗い出し、その重要度を評価した上で管理する)を実施する
- 金融ISACなどの外部機関から脅威や脆弱性に関する情報を積極的に収集・分析し、自組織にどのようなリスクがあるかを定期的に(少なくとも年に1回)評価する
- 評価結果に基づき、どのリスクに優先的に対応すべきかを決定し、具体的な対応計画を策定する
(3)サイバー攻撃の防御
- 多層防御(内部ネットワークでの不正利用防止、情報漏洩対策などを組み合わせた防御)体制を構築する
- 特に重要なシステムへのアクセスには多要素認証(MFA)を導入する
- ランサムウェア攻撃などに備え、データの暗号化や、攻撃を受けても復元可能な形でのバックアップを取得する
(4)サイバー攻撃の検知
- サイバー攻撃の兆候や不正な活動、システム内の異常を早期に発見するための監視体制を構築する
- ネットワークの通信、サーバーや端末のログなどを継続的に監視し、不審な動きがあれば即座に検知できる仕組みを導入する
(5)サイバーインシデント対応及び復旧
- 詳細なインシデント対応計画を策定し、定期的に見直す
- 計画には、インシデント発生時の報告体制、被害拡大を防ぐための初動対応、原因分析、顧客や監督当局への連絡、広報といった一連の手順を明確に定める
- 計画の実効性を確認するため、経営陣も参加する形で定期的な演習や訓練を実施する
- コンティンジェンシープラン(RTO:目標復旧時間やRPO:目標復旧地点の規定、システムを再稼働する際の手順等を含む)の準備
(6)サードパーティリスク管理
- 自社のサプライチェーンを構成するすべてのサードパーティ(再委託先を含む)を特定し、そのリスクを評価・管理する
- 契約時には、委託先が遵守すべきセキュリティ要件を明確に定め、契約後もその遵守状況を継続的にモニタリングする
他ガイドラインとの関係性
本ガイドラインは既存のフレームワークにとって代わるものではなく、それらと連携しつつ、金融セクター全体のセキュリティ水準を新たな段階へ引き上げることを目的としています。特に関係が深いのが、NIST CSFおよびFISC安全対策基準の2つです。
NIST CSF
国際標準の一つであるNIST CSFは、様々な業種・業態に関するサイバーセキュリティ対策を体系的にまとめたものです。
本ガイドラインが策定された際には2.0の「ガバナンス、特定、防御、検知、対応、復旧」という6つのフェーズともおおむね整合しています。
異なる点として注目すべきは本ガイドラインでは「サードパーティリスク管理」を独立した項目としている点です。NIST CSFではサプライチェーンリスクは「ガバナンス」の一部として扱われますが、これを独立させることで、日本の金融業界におけるサプライチェーンの複雑性と、そこから生じるリスクを特に重要視していることがわかります。
FISC安全対策基準
従来、多くの金融機関が参照してきたFISC安全対策基準が現場レベルの対策を詳細に定めているのに対し、本ガイドラインはより戦略的かつ経営レベルでの取り組みを求める、一段上の位置づけにあります。これまで金融機関ごとのサイバーセキュリティ対策の成熟度に大きなばらつきが生じるという課題がありましたが、本ガイドラインはそれを解決するため、経営陣の責任を明確化し、リスクベースのアプローチを徹底させることで、業界全体で一貫した高いセキュリティ水準(ベースライン)を確保することを目的としています。FISC安全対策基準が「特に現場レベルの技術的・運用上の対策」を示すものだとすれば、本ガイドラインは「特に経営層レベルの管理態勢検討における枠組み」としての役割を担います。
金融機関に求められている対応
最後に当ガイドラインが金融機関に求める対応について簡単にまとめます。
まず、リスクアセスメントの結果に基づき、経営層はサイバーセキュリティに関する基本方針と年次計画(関係主体への対応や管理体制の整備、役割と責任及び権限の明確化等を含む)を策定します。これに基づいて規程類等の整備、必要なリソースの確保といった具体的な活動を推進していきます。同時に、リスク管理部門・内部監査部門はサイバーセキュリティ管理態勢が適切に機能しているかを独立した立場からモニタリングし、少なくとも年に1回そのレビュー・見直しを行います(必要に応じて外部専門家によるレビューを実施)。
このように本ガイドラインはトップダウンによる明確なセキュリティポリシー策定、計画の実行、継続的なモニタリングを求めており、組織全体として包括的な管理体制を構築することが、サイバーセキュリティの強化を実現する上で不可欠であるということを示しています。
なお、リスク評価にあたっては、日本銀行と金融庁が共同で実施しているCSSA(サイバーセキュリティセルフアセスメント)の自己点検票の見直しが予定されており、これを活用することも有効です。
