2024年10月4日、金融庁より「金融分野におけるサイバーセキュリティに関するガイドライン」(以下、当該ガイドライン)が公開されました。当該ガイドラインは、グローバルにおけるサイバーセキュリティフレームワークに適合するものであり、オペレーショナルレジリエンスやサードパーティリスク等近年の重要論点も取り込み、現在金融機関に求められるサイバーセキュリティを包括的に定義するものとなっています。

従来、国内の金融業界では、サイバーセキュリティに係る業界基準・指針として監督指針やFISC安全対策基準以上のものは存在しておらず、金融機関によってサイバーセキュリティの成熟度に大きなばらつきが存在していました。当該ガイドラインの登場によって、金融業界のサイバーセキュリティは新しい段階に進むことが予測されます。

1.サイバーセキュリティガイドラインの概要

当該ガイドラインでは、金融機関に求められるサイバーセキュリティ管理態勢を、6つのカテゴリに分けて定義しています(ガイドライン2.1~2.6項に該当)。このカテゴリは、米Cyber Risk Instituteが発行している金融業界に特化したサイバーセキュリティフレームワーク(以降、CRI Profile)や、米国国立標準技術研究所(National Institute of Standards and Technology)が公開しているCybersecurity Framework(以降、NIST CSF)と強く関連します。

金融機関のサイバーセキュリティに係る新たなガイドライン_図表1

出所:KPMG作成

各項内では、「基本的な対応事項」と「対応が望ましい事項」の2段階で具体的な対応事項が定められており、採番されているもので合計177項目あります。

各カテゴリの概要およびポイントは以下のとおりです。

サイバーセキュリティ管理態勢の構築(CRI ProfileにおけるGV.)

サイバーセキュリティに係る経営陣のリーダーシップや基本方針・規程等の整備、人材・予算の確保、2線・3線態勢整備等について求めるカテゴリです。経営陣主導のサイバーセキュリティを実現するために、経営陣が持つべき責任と全社的な対応が詳細に定められています。

サイバーセキュリティリスクの特定(CRI ProfileにおけるID.)

情報資産(システム、外部サービス、ハードウェア、ソフトウェア、データ等)の管理、脅威分析、サイバーリスク評価、脆弱性管理、診断・テスト・演習の実施等について求めるカテゴリです。全6カテゴリのなかで最も項目数が多く、台帳で管理すべき観点やリスク評価の考慮事項等、適応範囲や詳細手続等まで踏み込んだ内容が随所に見られます。

サイバー攻撃の防御(CRI ProfileにおけるPR.)

認証・アクセス管理、サイバーセキュリティ教育、データ保護、アンチマルウェア、セキュアな開発・運用環境、ネットワークセキュリティ、クラウドセキュリティ等について求めるカテゴリです。システム開発・運用にて考慮すべき要件が詳細に定められており、「サイバーセキュリティリスクの特定」に次いで項目数が多いです。セキュリティ・バイ・デザイン、クラウドセキュリティは他のガイドラインを参考・参照していることも特徴的です。

サイバー攻撃の検知(CRI ProfileにおけるDE.)

セキュリティ監視、サイバー攻撃検知手続について求めるカテゴリです。サイバー攻撃の端緒を検知するために、ハードウェア、ソフトウェア、ネットワーク、ユーザ、外部アクセス観点で必要な監視事項が提示されています。

サイバーインシデント対応および復旧(CRI ProfileにおけるRS.およびRC.)

サイバーインシデント対応計画、およびコンティンジェンシープラン整備を求めるカテゴリです。インシデント発生時に求められる対応を、インシデント対応のステップごとに定めています。業界全体で対応力を上げるため、攻撃情報等を他の機関に共有することも求めています。なお、Delta Wall等の外部演習・訓練にて重視されている対応のポイントと本ガイドラインの要件に大きな差分は見られません。

サードパーティリスク管理(CRI ProfileにおけるEX.)

サードパーティリスク管理態勢整備、サードパーティリスク評価、デューデリジェンス、契約期間中のモニタリング等について求めるカテゴリです。サードパーティリスク管理態勢に係る要件は、リスク横断的な記載となっています。他方で、デューデリジェンスや契約書に含める事項については、サイバーリスクに焦点を当てて詳細に例示されています。また、対応が望ましい事項のなかでは、経済安全保障対応との関連が示されています。

2.サイバーセキュリティガイドライン活用上のポイント

各項にて定義されている「基本的な対応事項」だけを見ても100以上の要件が存在しており、相応に期間・人材・リソースが必要な対応事項も少なくありません。たとえば、「システム及び情報の重要度に応じたバックアップ要件、バックアップデータの隔離と保護、整合性の検証、復旧テストの実施等を含む、バックアップに関する規程等を整備し実装すること」を実現するためには、システム横断的なバックアップ強化が必要になります。

経営へのサイバーセキュリティ組み込みやオペレーショナルリスク横断で取り組むべき項目もあることから、当該ガイドラインへの対応は、経営主導で必要な関係者が適切にかかわる全社的な取組みとして推進することが望まれます。

また、当該ガイドラインにて金融庁が強く訴求していることの1つに「リスクベースアプローチ」が挙げられます。ガイドラインでは、「一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずること」と表現されています。

形式的に「基本的な対応事項」への準拠を目指すのではなく、組織のビジネス戦略およびサイバーリスクに鑑み、まさに今サイバー脅威に晒されている弱点や明らかな対策の偏り等から優先的に対処していく中期的なサイバーセキュリティ計画を策定し、改善に取り組むことが望まれます。

当該ガイドラインを基にサイバーセキュリティの改善に取り組む一般的なアプローチは以下のとおりです。

金融機関のサイバーセキュリティに係る新たなガイドライン_図表2

出所:KPMG作成

3.KPMGのケイパビリティ

KPMGは、国内外のサイバーセキュリティ規制・ガイドライン等の研究に注力しており、当該ガイドラインでも参照されているCRI Profileに対しては、初版公開時点から国内金融機関での活用検討を推進してきました。

また、金融機関のサイバーセキュリティを長年にわたり支援した豊富な実績を有しています。ガイドライン対応の初手である現状分析・リスク評価だけでなく、サイバーセキュリティ戦略・計画策定、各種規程整備、リスク評価改善、セキュリティソリューション導入、インシデントレスポンスまで、金融機関のサイバーセキュリティを包括的に支援する多様なサービスを用意しています。お気軽にお問い合わせください。

KPMGでは、今後当該ガイドラインに関する解説動画や、ガイドライン対応に取り組まれる各社において対策が予想される個別テーマに焦点を当てた解説記事の配信を順次予定しております。どうぞご期待ください。

執筆者

KPMGコンサルティング 
アソシエイトパートナー 田畑 直樹
マネジャー 関本 勘楠

お問合せ