金融分野におけるサイバーセキュリティに関するガイドラインの要点や考え方について徹底解説!

trend-financial-security_main.png

2024年10月4日に、金融庁より「金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」が公表されました。
これは、同年6月28日から7月29日までのパブリックコメント期間を経て、その内容を踏まえて取りまとめられたものです。

近年金融業界を取り巻くサイバーセキュリティリスクの深刻化へ対処するために、これまで公表および運用されてきた各監督指針に比べ、より詳細かつ具体的な内容が記されています。
この記事では、本ガイドラインの概要やおさえるべきポイントについて解説していきます。

参考

金融分野におけるサイバーセキュリティに関するガイドラインの構成

trend-financial_security_1.png

本ガイドラインは、3つの節にわけて構成されています。3節の主な内容は以下の通りです。

1.基本的考え方金融機関等に求められるサイバーセキュリティに関する基本的な考え方や、本ガイドラインの位置づけなどについて記載。
2.サイバーセキュリティ管理態勢「態勢構築」「リスク特定」「攻撃防御」「攻撃検知」「インシデント対応・復旧」「サードパーティリスク管理」の6つの着眼点について規定。
3.金融庁と関係機関の連携強化金融庁の関係者・関係機関との連携に関する基本的な考え方について記載。

特に第2節においては、金融機関等に求められる具体的なセキュリティ対策の手法が多く盛り込まれていますので、記事後半ではこの内容を中心にご紹介いたします。

金融庁のこれまでの取り組み

log_matome.png

そもそも金融業界に限らず、日本では数十年前からサイバーセキュリティに関する取り組みが数多くおこなわれてきました。
もっとも基礎的な内容を定めたものとしては、2014年に成立した「サイバーセキュリティ基本法」が挙げられるでしょう。

参考

このような法令も踏まえ、金融庁は金融機能の安定確保預金者の保護という任務の一環として、サイバーセキュリティ強化も自らの重要な責務であるとしています。

具体的な施策として、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公表し、金融業界と連携したサイバーセキュリティ管理態勢の強化をおこなうなどしています。
また2024年10月には、金融業界全体のインシデント対応能力の向上を目的として「第9回金融業界横断的なサイバーセキュリティ演習(Della Wall Ⅸ)」が実施されました。

このように、金融庁は各金融機関と連携したさまざまな取り組みを実行し、業界全体のセキュリティ強化を促進すべく日々活動を続けているのです。

参考

本ガイドラインのポイント

2410_3.png

金融庁は、自身が公表した各監督指針や取組指針などについて、情勢や環境の変化にあわせて日々アップデートしています。
そういった活動の一環として、2024年10月に「主要行等向けの総合的な監督指針」等の一部改正がおこなわれたのですが、その際に同時公開されたのが「金融分野におけるサイバーセキュリティに関するガイドライン」です。

本ガイドラインの主なポイントは、3点あります。

本ガイドラインのポイント
最新動向を踏まえた対策内容を掲載している
リスクベース・アプローチを奨励している
広い範囲の事業者を対象としている

ポイント①最新動向を踏まえた対策内容を掲載している

キャッシュレス決済の普及SaaS系フィンテック企業の台頭など、金融業界のトレンドは常に移り変わっています。しかしそれに伴い、サイバー攻撃の複雑化・高度化が進んでいることも事実です。
本ガイドラインには、そういった最新の状況を鑑みたうえでの対策内容が多く盛り込まれています。

例えば「2.2. サイバーセキュリティリスクの特定 」の項では、一般的なIT機器やソフトウェア情報以外に、クラウドサービスなどの外部サービスについても「管理すべき情報資産」の一つとして取り上げています。

また「2.6. サードパーティリスク管理 」では、金融機関等のサプライチェーンに対するリスク管理の重要性を説くなど、近年問題になっているサプライチェーン攻撃被害を念頭においた内容も盛り込まれています。

本ガイドラインは、金融庁がこれまでおこなってきた金融機関等に対する検査・モニタリングの結果を反映したものとなっているのです。

ポイント②リスクベース・アプローチを奨励している

本ガイドラインの第2節には、採番されているだけでも176におよぶ対応事項が掲載されています。

金融庁はこれらの項目を、いわゆるサイバーハイジーン(※)と呼ばれる内容が組み込まれた「基本的な対応事項」と、金融機関等の規模特性を踏まえたうえで実施するかを判断する「対応が望ましい事項」にわけ、いずれについても「リスクベース・アプローチ」で対応することを呼びかけています。
※IT資産管理、パッチ適用管理などの基本的な行動を組織全体に浸透させる取り組みのこと

関連記事

「リスクベース・アプローチ」を簡単に表現すると、「自組織の状況を踏まえたうえで、各項目に対応するか・するとしたらどのレベルまでなのかを自分たちで判断しましょう」ということです。
本ガイドラインではたびたびこのフレーズが登場し、「各項目を一律に網羅するのではなく、自組織にあう・あわないをきちんと判断するように」と念押しされています。

実際、パブリックコメント中に「各項目を確認しやすいようチェックリスト化してほしい」という意見も出たようですが、金融庁は「リスクベース・アプローチの考え方と馴染まない」としてこのアイディアを採用しませんでした。

参考

「リスクベース・アプローチ」は、本ガイドラインを参考にして対策をおこなう際にはぜひおさえておきたいポイントです。

ポイント③広い範囲の事業者を対象としている

本ガイドラインの対象者については、「1.4. 本ガイドラインの適用対象等」で以下のように定義されています。

本ガイドラインは、サイバーセキュリティ管理について監督指針等に定めのある、主要行等、中小・地域金融機関、保険会社、少額短期保険業者、金融商品取引業者等、信用格付業者、貸金業者、前払式支払手段発行者、電子債権記録機関、指定信用情報機関、資金移動業者、清算・振替機関等、金融サービス仲介業者、為替取引分析業者、暗号資産交換業者、銀行代理業、電子決済手段等取引業者、電子決済等取扱業者、電子決済等代行業者、農漁協系統金融機関のほか、金融商品取引所(本ガイドラインにおいて「金融機関等」)を対象とする。

この通り、本ガイドラインは一般的に「金融業」として想像される銀行や保険会社以外に、暗号資産交換業者(=仮想通貨を扱う業者)といった比較的新しいフィンテック企業も対象にしたものとなっているのです。

最新のサイバーセキュリティ脅威へ対抗するにあたり、新たな金融サービスを提供する事業者についても対策を強化したいという考えが読みとれます。

第2節 サイバーセキュリティ管理態勢とは

trend-financial_security_4.png

ここからは、さまざまな対応事項が掲載されている第2節 サイバーセキュリティ管理態勢について、ガイドラインで区切られた6項目に沿ってご紹介します。

サイバーセキュリティ管理態勢
1.サイバーセキュリティ管理態勢の構築
2.サイバーセキュリティリスクの特定
3.サイバー攻撃の防御
4.サイバー攻撃の検知
5.サイバーインシデントの対応および復旧
6.サードパーティリスク管理

1.サイバーセキュリティ管理態勢の構築

本項では、サイバーセキュリティに関する基本方針の策定や組織体制の整備、人材育成、予算の確保、セキュリティ・バイ・デザインの奨励などが盛り込まれています。

「セキュリティ・バイ・デザイン」とは、金融商品の設計段階からセキュリティ要件を組み込む考え方です。商品企画の上流工程でセキュリティ要件をあらかじめ検討しておくことで、開発が進んだあとにセキュリティ上の問題が発覚し、手戻りが発生してしまうことなどを防ぐ効果があります。

一方「対応が望ましい事項」としては、外部専門家を利用した検証の実施や、サイバーセキュリティに対する十分な知識を持った統括責任者(CISO:最高情報セキュリティ責任者)の配置などが挙げられています。

まとめると、本項は主に経営層レベルで検討すべきセキュリティ対策の土台構築に関する内容であるといえるでしょう。

2.サイバーセキュリティリスクの特定

情報資産の適切なライフサイクル管理や重要度の分類、リスクの特定・分析・評価について定めた項目です。

組織内に存在する情報資産(ハードウェア・ソフトウェア・ネットワーク・外部サービス、それらのなかで運用されるデータなど)を特定し台帳管理をおこなうといった、いわゆるIT資産管理への対応を求めています。
同時に、脅威となる脆弱性情報の収集や、各情報資産に対するセキュリティリスクの特定・評価などへの対応方法も具体的に示されています。

定期的なペネトレーションテストの実施や、実施する際の注意点なども細かく記載されているので、これらの施策について検討している担当者にとっては非常に参考になる項目です。

3.サイバー攻撃の防御

本項では、認証・アクセス管理や、重要データの保護、マルウェア対策、ログ管理、ファイアウォールなどの境界防御策、クラウドサービス利用時の対策などを定めています。
また、従業員に対するセキュリティ教育・研修の必要性についても言及されており、ヒト・モノ両面からのセキュリティ防御策が列挙されています。

特にクラウドサービス利用に関する対策については、総務省から公表されている「クラウドサービス利用・提供における適切な設定のためのガイドライン」の参照を促しているところも注目したい点です。

そのほか、テレワークやベンダーによるリモート保守に関して、適切な管理をおこなうことも明記されています。これは、昨今のサイバー攻撃で「リモート保守サービス」の脆弱性が狙われる事例が多発していることを受けての記載であると予想されます。

4.サイバー攻撃の検知

サイバー攻撃の糸口となりうる痕跡を検知するための監視体制についてまとめた事項です。 ハードウェアやソフトウェア、ネットワークなどについて、それぞれの監視ポイントが具体的に解説されています。

また「対応が望ましい事項」では、SIEM(Security Information and Event Management)といった分析ツールの導入によるリアルタイムでのログ検知や、ネットワークの常時監視についても触れられています。

5.サイバーインシデントの対応および復旧

サイバー攻撃発生時のインシデント対応計画およびコンティンジェンシープランの策定から、検知から復旧に至るまでの具体的な対応について定めた項目です。

コンティンジェンシープランとは、インシデント発生時において、被害を最小限におさえるための対策や行動指針などを記載した計画書を指します。
本ガイドライン中では、この計画書のなかに復旧計画までを記載すること、かつWebサイト改ざん・マルウェア感染といったサイバー攻撃ごとにそれぞれ策定することが推奨されています。

そのほか、コンティンジェンシープラン作成のうえで記載するべきポイントやシチュエーションについても記載されています。詳細は、本ガイドライン中でも勧められているとおり、「金融機関等におけるコンティンジェンシープラン策定のための手引書」も参考にするとよいでしょう。

参考

6.サードパーティリスク管理

最後の項目である「サードパーティリスク管理」では、サプライチェーン全体でのリスク管理やセキュリティに関する組織体制の整備、デューデリジェンスの必要性などが示唆されています。

ちなみに「デューデリジェンス」とは、もとは金融業界で「投資対象企業に対する事前の実態調査」を意味する言葉です。しかし、この場合サードパーティに対するセキュリティ観点での事前調査を指すと思われます。

本ガイドラインでは、サードパーティとの取引がもたらす潜在的なリスク・脆弱性の評価をおこなったり、過去のインシデント発生状況を確認したりといった対策が紹介されています。
また、サードパーティとの間に定めるSLAにおいて、明記すべき項目についても詳細に記載されています。

SS1/SS1クラウドは、ガイドラインに沿ったIT資産管理をご支援します

blogimg_ss1.webp

ここまで、ガイドライン中第2節 サイバーセキュリティ管理態勢の内容について整理してきました。

繰り返しとなりますが、本ガイドラインはこれらの項目のすべてを必ず網羅しなければならないという趣旨のものではありません。あくまでも各組織におけるリスクを洗い出し、そのうえで必要な項目について各々が精査する必要があります。

もし、情報資産の洗い出しや重要データの持ち出し制限、ログ監視などに関する課題がある方は、IT資産管理ツールSS1リンクアイコンSS1クラウドリンクアイコンのご導入がおすすめです。
PCやサーバー、ソフトウェアといったIT資産に関し、自動で情報を収集し台帳を作成する機能や、外部記憶媒体の接続制限各種ログ取得といった機能を搭載しています。

また、サイバーハイジーンを実践するうえで重要なパッチ適用管理についても対応可能です。
各機能の詳細は、下記の機能一覧ページをご参照ください。

参考

まとめ

trend-financial_security_6.png

今回は、金融分野におけるサイバーセキュリティに関するガイドラインについてご紹介いたしました。

デジタル技術の進歩により、金融業界ではさまざまな技術が台頭してきました。しかしそれらは我々の暮らしを豊かにする一方で、取り扱うデータの特性上、一度サイバー攻撃被害を受けてしまえば取り返しのつかない事態に発展するリスクを常にはらんでいます。

本ガイドラインの内容は、そういったリスクに対応するためのヒントが多く詰まったものです。サイバーセキュリティ態勢の構築やその実行に関する担当者は、必ず一度目を通し、自社の取り組みを見直すきっかけにしてみてください。

著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!