金融庁ガイドラインの本質は? 「信頼を証明するセキュリティ」の実現方法
- ありがとうございます!
- いいね!した記事一覧をみる
会員(無料)になると、いいね!でマイページに保存できます。
2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を公開した。それから約1年が経ち、各金融機関には本格的な対応が迫られている。ただし、「ガイドラインを遵守すればよし」とする形式的な対応では、おそらく本質を踏み外すことになる。ここでは、ガイドラインが指し示す本質的な意味と取り得るべき対策について、金融機関のセキュリティに詳しいNTTデータ経営研究所 マネージングディレクター 金融政策コンサルティングユニット長 大野 搏堂 氏への取材を通して明らかにする。
マネージングディレクター
金融政策コンサルティングユニット長
大野 博堂氏
求められる「形式的な対応」から「実効性のある対応」への転換
複雑化・巧妙化するサイバー攻撃と深刻化するその被害を受けて、2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を公開した。
従来から業界別の監督指針は作られていたが、あくまで要請であり強制力があるわけではなかった。大野 氏は、「それが金融機関のサイバーセキュリティ対策が高度化しなかった遠因になっていたことは否定できない」と、次のように説明する。
「従来の指針はあくまで原理原則を示すプリンシプルベースであり、具体的な対策は各金融機関に任されていました。しかし、昨今のサイバー攻撃の実態を見ると、その限界は明らかです。そこでプリンシプルベースからルールベースに舵を切った結果が、このガイドラインであると考えています」(大野氏)
実際にガイドラインでは、リスクベースアプローチに基づいたデータ管理、委託先管理の厳格化など、より具体的な対策に踏み込んでいる。
「たとえば委託先管理については、従来は業務やシステムの重要性の高い一部の委託先にとどまっていました。しかし、ガイドラインでは、システム子会社やクラウドサービスの提供事業者も含まれています。つまり、管理すべき委託先の範囲が広がっています」(大野氏)
このように、今後は形式的な対応から、より実効性のある対応が求められるのは確実だ。ただし、その実現のために必要な考え方や取り組み、体制については、まだ曖昧な金融機関が多いようである。ここからは、こうした点を整理していこう。
従来から業界別の監督指針は作られていたが、あくまで要請であり強制力があるわけではなかった。大野 氏は、「それが金融機関のサイバーセキュリティ対策が高度化しなかった遠因になっていたことは否定できない」と、次のように説明する。
「従来の指針はあくまで原理原則を示すプリンシプルベースであり、具体的な対策は各金融機関に任されていました。しかし、昨今のサイバー攻撃の実態を見ると、その限界は明らかです。そこでプリンシプルベースからルールベースに舵を切った結果が、このガイドラインであると考えています」(大野氏)
実際にガイドラインでは、リスクベースアプローチに基づいたデータ管理、委託先管理の厳格化など、より具体的な対策に踏み込んでいる。
「たとえば委託先管理については、従来は業務やシステムの重要性の高い一部の委託先にとどまっていました。しかし、ガイドラインでは、システム子会社やクラウドサービスの提供事業者も含まれています。つまり、管理すべき委託先の範囲が広がっています」(大野氏)
このように、今後は形式的な対応から、より実効性のある対応が求められるのは確実だ。ただし、その実現のために必要な考え方や取り組み、体制については、まだ曖昧な金融機関が多いようである。ここからは、こうした点を整理していこう。
この記事の続き >>
-
・求められる「形式的な対応」から「実効性のある対応」への転換
・ガイドライン対応を阻む壁とそれを乗り越えるために必要な考え方
・オンプレ/クラウドの多様なデータを一元管理して人手不足の壁を打破するには
・「監査に耐えるセキュリティ」から「信頼を証明するセキュリティ」へ
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
