EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
昨今のサイバーセキュリティ被害の深刻度が増している中、金融機関においてもVPN機器の脆弱性を悪用した不正アクセスによるランサムウェア感染や外部委託先の端末がマルウェアに感染することによるデータ流出事案等が発生しています。
このような状況を踏まえ、金融庁は令和6年10月4日に「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。
これまで各業態の監督指針に記載されていたサイバーセキュリティに関する個別の着眼点は削除され、ガイドライン上でガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理の7つの領域ごとに詳細な対応事項が記載されています。ガイドライン上では、実質的かつ効果的な対応を行う上での参考資料として、米国国立標準技術研究所による Cybersecurity Framework(NIST CSF)、米国 The Cyber Risk Instituteによる The Profile(CRI Profile)があげられていますが、2024年2月にバージョンアップしたNIST CSF 2.0の6つの機能、CRI Profile 2.0の7つの機能と類似しているため、参照しやすい構成となっています。また、ガイドラインの対応事項についてはこれまで金融庁が公表してきた「金融分野におけるサイバーセキュリティ強化に向けた取組方針」にも沿った内容となっています。
対応事項は「基本的な対応事項」と「対応が望ましい事項」にわかれていますが、いずれについても一律の対応ではなく、リスクベース・アプローチでの対応が求められていることから、各金融機関において自社を取り巻く環境を踏まえたリスクアセスメントを行い、抽出された課題への優先順位付けをした上で施策を策定、推進していくための検討が必要です。
本稿ではガイドラインの中で登場する以下4つの事項に焦点を当てて、着目されている背景や対応に向けて考慮すべき事項ポイントを解説します。
金融機関におけるデジタル化が進展する一方で、サイバーセキュリティの脅威がますます拡大しており、システムの構想・企画段階からセキュリティ要件・対策を組み込むセキュリティ・バイ・デザインの必要性が増してきています。
ガイドラインでは「2.1.1.基本方針、規程類の策定等」「2.1.2.規程等及び業務プロセスの整備」において、セキュリティ・バイ・デザインに係る経営陣による取り組みの推進や規程化等が記載されています。その上で「2.3.4.3.セキュリティ・バイ・デザイン」において、実践に向けた具体的な対応事項が多数記載されていることから本項目の重要性がうかがえます。
セキュリティ・バイ・デザインは、開発プロセスの上流工程からセキュリティ要件・対策を組み込み、下流工程での手戻り防止や開発コストの抑制につながるため効果的な対策である一方で、実践するためには幅広いセキュリティ知見を備えた人材が必要であり、高度なセキュリティ知見を備えた人材の確保が難しいことから各金融機関における対応状況については濃淡が生まれている状況です。
また、既に稼働中のシステムにおいても、自社のセキュリティ技術・アーキテクチャーに係る設計標準に準拠できていないレガシーシステムが残存しており、中長期的な課題となることが予想されるため、改善に向けて早めに取り組みを開始することが期待されます。
デジタル化の進展やコロナ禍を経てクラウドサービスの利用は急速に拡大しており、多くの金融機関においても何らかのクラウドサービスを利用している状況です。
クラウドサービスは初期導入コストやその後のシステム運用管理の負荷を抑えることができ、利便性が高い一方で、設定ミス等に起因した情報漏洩事案が度々発生しています。また、シャドーIT(管理対象外となっている個人所有端末等の情報資産や未承認のクラウドサービスの利用)含め、クラウドサービスを利用した情報持ち出し等のリスクも高まっている状況です。
ガイドラインでは「2.2.1.2.ハードウェア・ソフトウェア等」や「2.3.4.5.クラウドサービス利用時の対策」を中心として、シャドーITの特定、クラウド事業者との責任範囲等の明確化、専門家によるシステム監査の実施、設定誤りを自動で検知する診断サービスの活用等が記載されています。
各金融機関においてはクラウドサービスの利用に係るルールや導入時の審査プロセス等の整備は進んでいる状況です。一方で新規サービスの登場や機能追加等、変化が激しい中で、膨大なサービスを管理し、各サービスの設定の適切性を人手で確認することは運用負荷が高く、ミスが起きやすい状況が生まれているため、自動検知ツールや診断サービスの活用等への注目が高まっています。
IT 資産の適切な管理、セキュリティパッチ適用などの基本的な行動ができていないことに起因してサイバーインシデントの多くが発生していることに鑑みて、サイバーハイジーンの重要性が改めて着目されています。
脆弱性情報の管理、セキュリティパッチ適用は古くから存在している管理策であり、多くの金融機関で既にルール化されている状況ですが、稼働中のシステムに対してパッチ適用を行うことによるシステム停止・業務影響を恐れ、徹底できないケースはいまだに少なくないのが実情です。
ガイドラインでは「2.2.3.ハードウェア・ソフトウェア等の脆弱性管理」において、パッチ適用の対応期限の設定や対応実績の管理等が記載されています。また、例外的にパッチ適用しない場合には実施しないことによるリスクも含め経営陣等から承認を得ることとされています。
膨大な脆弱性情報の管理、タイムリーなパッチ適用(例外的にパッチを適用しない場合の対応含む)等の一連のサイクルを継続的に運用していくためには、サイバーセキュリティ組織のみならずIT担当部署等も含めた管理プロセスの構築が不可欠です。
サイバー攻撃が高度化・複雑化し、インシデントの未然防止が困難となっている状況に鑑みて、サイバー攻撃による侵入を前提として、いかに迅速に検知し、しなやかに対応・復旧を図っていくかという点に焦点を当てたレジリエンス強化が求められています。
ガイドラインでは「2.1.1.基本方針、規程類の策定等」で金融庁から既に発表されている「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を参考にした取り組みが記載されており、「2.2.2.リスク管理プロセス」においても重要な業務を特定し、重要な業務を継続するために必要な組織内の人員、設備、システム、サードパーティの相互依存度をリスク評価において考慮すること等が記載されています。また、「2.5.1.インシデント対応計画及びコンティンジェンシープランの策定」においては、サイバー攻撃の種別ごとにインシデント対応計画とコンティンジェンシープランの策定が求められていますが、加えて「対応が望ましい事項」として資金清算インフラや決済インフラにおけるインシデント等、大規模な被害が生じるサイバーインシデントに対応するためのコンティンジェンシープランも整備するよう記載されており、より困難で厳しい環境下のシナリオを想定した内容となっています。
このように、サイバーレジリエンスの実現に向けては、複数の領域にまたがった検討・対応が求められており、推進にあたっては、経営層の積極的な関与のもと、サイバーセキュリティ担当部署、リスク管理部署、IT担当部署、ビジネス部署等、組織横断での取り組みが必要となります。
【共同執筆者】
高松 有二
EY新日本有限責任監査法人 Technology Risk事業部 マネージャー
※所属・役職は記事公開当時のものです
金融機関においてもサイバーセキュリティ被害の深刻度が増している中、金融庁から対応事項がまとめられたガイドランが公表されています。
リスクベース・アプローチでの対応が求められていることから、各金融機関において自社を取り巻く環境を踏まえたリスクアセスメントや課題に対応した施策の策定、推進が望まれます。
EYの関連サービス
技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。
続きを読む