• 会員限定
  • 2022/10/25 掲載

なぜ金融庁が「セキュリティ自己診断ツール」を作成するのか? その経緯と動向とは

大野博堂の金融最前線(54)

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2021年の東京オリンピック・パラリンピックが山場と当初は喧伝されていたサイバー攻撃の脅威であるが、現状はこれまで以上に攻撃手法が複雑化・高度化し、金融機関はもとより取引先企業にも一層脅威を与えつつあるのが実態だ。こうした中で金融庁は、預金取扱金融機関に対し、「セルフアセスメントツール」を配布し、8月末を目途に回答を求めたのは周知のとおりである。本稿では、単なる自己評価ツールにとどまらない本ツールにおける質問の背景や考え方のポイントを整理することで、今後の金融機関における活用の在り方を取り上げてみよう。

執筆:NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

執筆:NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。飯能信用金庫非常勤監事。東工大CUMOTサイバーセキュリティ経営戦略コース講師。宮崎県都城市市政活性化アドバイザー。

photo
金融庁「サイバーセキュリティ・セルフアセスメントツール」とは?
(Photo/Getty Images)

金融庁の「セルフアセスメントツール」が需要された背景

 サイバー攻撃はその手法が複雑化・高度化し、金融機関や取引先企業にとっての脅威になりつつある。事業所内のIT環境やPC、ネットワーク環について健全な状態に維持するサイバー衛生(サイバーハイジーン)に向けては定期的なサイバーセキュリティの現状評価や、認識された瑕疵への手当、といった継続的な対応が必須と言える。

 こうした中で金融庁は、サイバーセキュリティの強化に向けた旧取組方針(VER2.0)を受けた施策として、地域金融機向けに、「ペネトレーションテストの実施」「演習への定期的参加」「監視に係る対策強化」を進めてきた。

 ただし、金融庁としては、これらの取組のみでは「直近のサイバー攻撃の変化に金融機関が適応できるか」判断できず、さらなる金融機関の実態把握が必要という問題意識を抱いたであろうことが想定される。そこで、現在公表されている取組方針「VER3.0」では、“モニタリングの強化”、“新たなリスクに向けた対策に係る追加の要請事項”が追加されている。

 これは金融機関の実態把握により重きを置いていくことが示されたとも読み取ることができよう。実際、預金取扱金融機関に対して、この2022年8月末を期限に「サイバーセキュリティ・セルフアセスメントツール」が配布され、各金融機関はこれによる自己評価の実施が「実質的に義務付けられる」に至った。

画像
金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)
(出典:金融庁)

先行した米国の「CAT」に抜け落ちている評価ポイント

 米国には連邦金融機関審査評議会(FFIEC)が提供するCybersecurity Assessment Tool(CAT)と呼ばれる同様のセルフアセスメントツールが存在し、かつて、筆者らのグループが実際に渡米し、当局関係者に当該ツールの設定目的や活用実態などについて調査を実施した経緯がある。

 ただし、このCATツールは評価項目が極めて多岐に亘り、評価作業に相応の時間を要するのみならず、実際の使い勝手の面では我が国金融機関に幅広く実用を促すにはほど遠い存在であったように受け止めている。

 実際に当時の日本の金融機関の一角でも、メガバンクのみが実際にCATを利用した自己評価を実施する例はみられたものの、地銀をはじめとした地域金融機関が実用化するには「負担感が著しく高い」ものであったと言わざるを得ない。

 さらに言うならば、あまりにも技術的な観点での評価手法を中心とした自己評価ツールであることで、いわゆる「非物理的対応」の視点が抜け落ちている点が課題ともなっている。これが日本で広く一般利用されるに至らなかった最大の理由でもある。

サイバーセキュリティ・セルフアセスメントツールの構造

 金融庁が毎年実施しているサイバーセキュリティ演習「Delta Wall」はこの2022年で7回目を迎えるが、各回で継続して確認されているのは、単なる技術的対処レベルのみならず、内部連携手順の定義を踏まえた組織的な対応態勢であったり、外部機関との連携手順の確認そのものでもある。

画像
金融庁はサイバーセキュリティ演習(Delta Wall Ⅶ)などを通じ初動対応の迅速さを金融機関に訴求している
(出典:金融庁)

 これがいわゆる非物理的対処である。そこで金融庁では今般、FFIECのCATに含まれる「物理的対処」項目に加え、金融庁がこれまで推進してきた「非物理的対処」要件も付加することで、CATツールよりもコンパクトかつ実用的な要件を今次セルフアセスメントツールに実装してきたものと筆者はみている。

【次ページ】「新たなデジタル技術の評価」とは?

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます