本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
限界を迎える未然防止の対策
金融機関を取り巻く環境が急速に変化するなか、金融機関でリスク事案が発生した場合に「重要な業務を最低限維持すべき水準で提供し続ける能力」(レジリエンス)の重要性が高まっています。前回で解説したとおり、金融機関におけるITへの依存度は、クラウドサービスをはじめとした外部委託の拡大や、サードパーティー等の活用による金融サービス機能の連携拡大などで増しています。
こうしたなか、IT環境の複雑化に加え、サイバー攻撃も一層高度化・複雑化しており、従来の未然防止の対策は限界を迎えています。そのため、未然防止策を尽くしてもなお、業務中断が生じることを前提とした態勢の整備が必要になっているのです。
金融規制当局においても、レジリエンスに関するさまざまな取組みが進んでいます。英規制当局が、2018年にオペレーショナル・レジリエンス(以下、オペレジ)に係る「ディスカッション・ペーパー」を公表したほか、欧州委員会が2020年9月に発行した「デジタル・オペレーショナル・レジリエンス法(Digital Operational Resilience Act=DORA)」は2022年11月に欧州委員会で可決されています。DORAは、ICT(情報通信技術)リスクに係るレジリエンスを確保するための規制で、欧州銀行監督機構(EBA)のICT&セキュリティリスク管理に係るガイドラインを基に策定されています。
また、2021年のバーゼル銀行監督委員会諸原則の公表を皮切りに、各国・地域の金融当局はオペレジ確保のためのガイドラインや監督指針の整備を進めています。日本においても、金融庁が2023年4月に「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表し、当該趣旨を踏まえた主要行等向けの総合的な監督指針の改正を行うなど、国内外で当局の動きも加速しています。
オペレーショナル・レジリエンス確保に向けた取組みのポイント
オペレジの確保には、業務中断が発生することを前提に、利用者目線で早期復旧・影響範囲の軽減を確保する枠組みの整備が必要となります。具体的には、経営層のリーダーシップの下、(1)顧客や金融システムの安定性という観点による重要な業務の特定(2)各業務が最低限維持すべき水準(耐性度)の設定(3)業務提供に不可欠な第三者を含む経営資源の相互連関性のマッピングと、必要な経営資源の確保(4)訓練・テストを通じた態勢の適切性の検証と追加対策が求められます(図表参照)。
【オペレーショナル・レジリエンス確保に向けた取組み】
加えて、組織横断でのコミュニケーション手法の確立や、レジリエンスカルチャーの醸成も欠かせません。
こうした取組みを、従来整備しているオペレーショナル・リスク管理、サイバーセキュリティ、BCP(事業継続計画)やサードパーティーリスク管理等の枠組みも有効活用しながら、組織横断での包括的なPDCAサイクルとして定着化させることが重要です。
オペレーショナル・レジリエンスを通じたサイバーセキュリティ強化
前述のオペレジ確保のための枠組み整備を進めていくなかで、組織におけるサイバーセキュリティの強化も図ることができます。オペレジの基本ステップである(1)~(3)では、サイバー攻撃から優先して守るべき業務や資産の特定と有事の際に維持すべき水準を設定します。(4)では、極端ではありながら起こり得るシナリオの訓練・テストを通じた検証を行うことで、リスクベースでより合理的なサイバーセキュリティの確保が可能になります。
(1)~(3)では優先業務の特定と維持すべき水準と対象資産が明確化されることで、組織におけるサイバーセキュリティ対策への投資や、定期的な評価、訓練・テスト等の活動の対象を優先付けする指針ができます。これにより、組織はサイバーセキュリティに係る経営資源の適正配置を図ることが可能となります。また、特定した経営資源と相互連関性のマッピングについては、サイバーセキュリティ対策として、侵入経路の把握や脆弱性の検証にも役立つと考えられます。そのため、平時のサイバーリスク評価の実施や、サイバーインシデント発生時の影響範囲の特定等に活用することも可能です。
なお、オペレジの重要な業務の特定に必要な観点をサイバーリスク評価に取り入れることも、サイバーリスク把握の精度を高める取組みとして有用と言えるでしょう。
(4)では、発生可能性は低いものの、発生した際の影響度が甚大なケースでの訓練・テストを通じた態勢を検証し、必要な対策を進めることで、従来の想定を超えるサイバーインシデントが発生した場合の組織としての備えを強化できます。なお、訓練・テストにおいては、オペレジにおける経営層の説明責任を考慮し、技術的な対応だけでなく、経営層による状況把握、リスク分析・評価、判断、意思決定を適切に行うことができるかの確認も重要になると言えるでしょう。
このような取組みや訓練・テストを通じて、顧客や金融システムへの影響を許容水準内に収めるとともに、サイバーセキュリティ対策の不断の見直しを続けていきます。そうすることが、サイバーセキュリティのレジリエンス強化とオペレジの確保につながるはずです。
週刊 金融財政事情 2024年4月16日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
パートナー 関 憲太
シニアマネジャー 小畑 光季男