LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

Facebook X Instagram
サービス・製品 | 

金融業界必見!「金融分野におけるサイバーセキュリティに関するガイドライン」を解説

金融業界のデジタル化が加速する中、サイバー攻撃の脅威も深刻化しています。多額の資金と個人情報を扱う金融機関は、ランサムウェアやサプライチェーン攻撃などの標的となりやすく、従来の対策だけでは限界があることが明らかです。

本記事では、金融業界を狙ったサイバー攻撃の現状と、金融庁が策定した「金融分野におけるサイバーセキュリティに関するガイドライン」について解説するとともに、リスク管理体制の構築からインシデント対応、従業員教育など具体的な対策手法も紹介します。

金融業界を狙ったサイバー攻撃の現状

金融業界を狙ったサイバー攻撃のイメージ

金融業界は現在、デジタル革新の恩恵を受ける一方で、深刻なサイバーセキュリティの脅威に直面しています。

多額の資金と膨大な個人情報を保有する金融機関は、サイバー犯罪者にとって格好の標的です。特に組織のデータを暗号化して身代金を要求するランサムウェア攻撃が深刻化しており、直接攻撃だけでなく、関連企業や委託先を経由したサプライチェーン攻撃も急増しています。※1

セキュリティガイドラインの必要性

金融庁はこれまで、サイバーセキュリティ強化に向けた取組方針の策定や継続的な検査・モニタリングを通じて、金融機関のセキュリティ体制の向上を促してきました。

2022年度以降は、金融機関サイバーセキュリティセルフアセスメント(CSSA)と称する自己評価ツールを導入し、地域金融機関から始まって証券会社、保険会社、信託銀行まで対象を段階的に拡大してきました。

一方で、金融機関の自発的な努力だけでは、高度化・複雑化するサイバー脅威に対して十分な対策を講じることが困難です。そのため、監督指針の改正と連動する形で新たなセキュリティガイドラインが策定されました。

「金融分野におけるサイバーセキュリティに関するガイドライン」とは

近年のデジタル技術の急速な進歩を受けて、金融庁は従来の自主的な取り組みに加え、より実効性のある対策として2024年10月に新たなガイドライン「金融分野におけるサイバーセキュリティに関するガイドライン」※2を策定しました。

以下では、「金融分野におけるサイバーセキュリティに関するガイドライン」の全体像を把握するため、まずガイドラインの基本的な概要と構成について整理します。

ガイドラインの概要、構成

「金融分野におけるサイバーセキュリティに関するガイドライン」は、国内の金融機関を対象として、金融機能の安定性確保と預金者保護を目的として策定されました。

策定された新ガイドラインの特徴は、サイバーセキュリティに特化している点です。近年のサイバー脅威の高度化・複雑化と金融サービスへの深刻な影響を踏まえ、金融庁がこれまで実施してきた金融機関へのモニタリング結果や実態調査を反映した、より実践的な内容となっています。

「金融分野におけるサイバーセキュリティに関するガイドライン」の特徴

「金融分野におけるサイバーセキュリティに関するガイドライン」は、次の3つの構成で成り立っています。

  • 基本的な考え方
  • サイバーセキュリティ管理態勢
  • 金融庁と関係機関の連携強化

それぞれのポイントを解説します。

基本的な考え方

「金融分野におけるサイバーセキュリティに関するガイドライン」においては、経営陣がサイバーセキュリティを重要な経営戦略の一部として認識し、積極的に意思決定に関与することが求められています。

サイバーセキュリティ管理態勢

サイバーセキュリティ管理態勢は、「金融分野におけるサイバーセキュリティに関するガイドライン」の中核となる実践的な部分です。金融機関は、自組織の基本事項の実施状況を確認し、未実施項目があれば対応を検討することが重要です。

画一的な対応を求めるのではなく、リスクベース・アプローチを採用している点が特徴です。各金融機関は自らの事業環境、経営戦略、リスク許容度を踏まえてサイバーリスクを特定・評価し、許容度に見合った対策を講じることが求められています。

金融庁と関係機関の連携強化

金融庁と関係機関の連携強化では、個別の金融機関の努力だけでは限界があることから、官民一体となった連携の重要性が強調されています。

関係機関との連携により、サイバーセキュリティ対策を個別対応から業界全体、さらには国際的な協調体制へと発展させる方向性が明確に示されている点も特徴です。

ガイドラインの活用法

金融庁は、単純にサイバーセキュリティガイドラインの項目をチェックするだけの形式的な対応ではなく、実質的かつ効果的なリスク管理態勢の構築を重視しています。関連するほかのガイドラインも併せて参照することが推奨されており、米国国立標準技術研究所(NIST)の「Cybersecurity Framework」※3や、米国Cyber Risk Institute(CRI)が公表する「CRI Profile」※4との連携もポイントです。

フレームワークには、各要件の評価時に参考となる具体的な内容が整備されており、必要な対策内容や確認すべき証跡の詳細な例示が提供されています。

金融機関における効果的なサイバーセキュリティ対策

金融機関でのサイバーセキュリティ対策を行うイメージ

金融機関のサイバーセキュリティ対策は、単発的な技術導入ではなく、組織全体を含めた体系的な管理が不可欠です。高度化するサイバー脅威に対抗するためには、リスク管理から従業員教育まで多層的な防御体制の構築が求められています。

「金融分野におけるサイバーセキュリティに関するガイドライン」を参考に金融機関が実践すべき効果的なサイバーセキュリティ対策をそれぞれ解説します。

リスク管理体制の構築と継続的な改善

効果的なリスク管理体制を構築するためには、経営層が主体的に関与し、CISO(最高情報セキュリティ責任者)やCSIRT(Computer Security Incident Response Team)などの専門組織が中核となって全社を統括することが不可欠です。各部門が個別に運用する管理システムも含め、組織全体のリスク状況を一元的に把握・評価し、優先順位をつけて対策を講じる仕組みが求められます。

また、技術面では全社の端末やサーバの状態を包括的に監視する仕組みや、SOC(セキュリティ・オペレーション・センター)を含めたセキュリティ体制の整備が重要です。さらに、これらの取り組みを継続的に改善・高度化するために、PDCAサイクルに基づく定期的なレビュー・内部監査・第三者評価(アセスメント)を実施し、経営層へ報告・フィードバックする体制を整えることが求められます。これにより、リスク管理体制の有効性を常に検証し、変化する脅威環境に迅速に対応できる仕組みを実現できます。

システム・データと資産の適正管理

システム・データと資産の適正管理では、情報の重要度と技術環境における固有のリスクを総合的に評価し、データ管理方針を策定することが重要です。その上で、情報を重要度に応じて明確に分類し、各分類レベルに対応した保護措置を実装します。

さらに、システムと情報の重要度に応じたバックアップ要件を定め、バックアップデータの適切な隔離と保護を行います。

加えて、新規システム・新商品・新サービスの導入時には、設計・開発段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の考え方を適用することが不可欠です。これにより、事後対応ではなく、初期段階から潜在的な脅威や脆弱性を低減し、より堅牢なシステムと情報資産の管理が可能になります。

脆弱性診断とペネトレーションテスト

脆弱性診断とペネトレーションテストは、金融機関のセキュリティレベルを客観的に評価し改善するために必要な施策です。

システムの脆弱性やセキュリティ問題を特定するため、リスクの大きさやシステムの重要度を考慮した定期的な実施が求められています。脆弱性診断では、外部接続機器(VPN機器等)を含む対象範囲や実施頻度、システムリリース前を含む実施時期、具体的な実施工程などを明確に定めなければなりません。

業務系とインターネット系のネットワークが分離されていないようなリスクの高い構成では、外部公開サーバにとどまらず、内部環境のActive Directoryサーバやファイルサーバなどへの診断実施が必要です。

また、脆弱性診断とペネトレーションテストの対象はインターネットに直接接続している環境だけではなく、VPN網や内部環境も含めた範囲とし、重要な結果は経営陣への迅速な報告体制を整備することが求められます。

サプライチェーンのセキュリティ

サプライチェーンのセキュリティ確保は、金融機関の総合的なサイバーセキュリティ戦略において欠かせない要素です。

リスク評価では、ハードウェアに潜む脅威も含めて検討し、不正なファームウェア導入などの新たなリスクも評価対象とすることが重要です。また、サービスを提供するサードパーティには、金融機関が適切なリスク管理を行えるよう、必要な情報提供を含む積極的な支援が求められています。

また、サイバーセキュリティに関する計画策定時にサプライチェーン全体を考慮に入れる必要があります。

従業員教育と意識向上

経営陣は、サイバーセキュリティ基本方針と整合性を保った人材育成計画、採用計画、教育研修・訓練計画を策定する必要があります。人材の育成では、資質・意欲のある職員に対して適切な配慮を行い、育成を阻害するような人事異動を避けるとともに、中長期的かつ計画的な人事配置を実施します。

また、内外の教育機会を積極的に提供し、外部人材の活用だけでなく内部人材の育成も考慮しなければなりません。

さらに、サードパーティに在籍する担当者も、業務に必要なサイバーセキュリティ教育・研修を受講し、必要に応じて金融機関のインシデント対応や復旧計画における役割と運用手順についても教育することが必要です。

監視と早期警戒

監視と早期警戒体制は、サイバー攻撃の脅威に対する予防的防御の最前線として機能します。経営陣は、金融庁・業界団体・ISACなどの情報共有機関との連携を強化し、脅威インテリジェンスを継続的に収集・分析・共有する体制を確立することが求められます。これにより、国内外の脅威動向を迅速に把握し、攻撃の早期発見・対応力を高めることができます。

技術面では、SOCなどによる24時間体制のサイバー攻撃監視やインシデント検知を行い、必要に応じて外部リソースを活用することが効果的です。

さらに、実際の攻撃に備えた危機管理体制の整備には、サイバー攻撃を受けた際の報告・広報体制の確立や、組織内CSIRTなどの緊急時対応チームの設置が含まれます。

インシデント対応と復旧計画

インシデント対応と復旧計画の策定は、金融機関のサイバーセキュリティ対策における重要なポイントの1つです。

サイバー攻撃に備えた包括的な準備として、攻撃の種別ごとに詳細なインシデント対応計画と復旧計画を策定することが推奨されます。システムやサービスの優先順位を明確に定め、具体的な目標復旧時間と目標復旧水準を設定しておかなければなりません。

さらに、これらの計画は業務継続計画(BCP)や災害復旧計画(DRP)と連携し、代替業務手順や臨時対応プロセスを明記することで、実際の有事における実効性を高めることが重要です。また、計画の実効性を維持するためには、定期的な演習やレビューを実施し、状況に応じて更新することが求められます。

さいごに

金融業界を取り巻くサイバーセキュリティの現状と、金融庁が策定した「金融分野におけるサイバーセキュリティに関するガイドライン」について解説しました。

近年のデジタル技術革新により、金融業界はランサムウェアやサプライチェーン攻撃などの深刻な脅威に直面しています。この状況を受けて策定された新ガイドラインは、従来の自主的な取り組みから一歩進んだ、リスクベース・アプローチによる実践的な指針を提示しています。

効果的なサイバーセキュリティ対策には、リスク管理体制の構築からインシデント対応など、多層的なアプローチが不可欠です。

金融機関向けサイバーセキュリティアセスメント

ラックが提供する「金融機関向けサイバーセキュリティアセスメント」は、「金融分野におけるサイバーセキュリティに関するガイドライン」に基づき、セキュリティリスクの可視化から対策立案までを一貫して支援するコンサルティングサービスです。

126+50項目のチェックリストで、企業固有のリスクを可視化し、リスクベース・アプローチにより優先度を付けた実行可能なロードマップを策定します。現状把握・リスク算出・対策立案・他社比較・ロードマップ策定まで段階的に報告・共有し、企業のリソースに合わせた現実的かつ効果的なセキュリティ体制の構築をサポートします。

参考情報

※1 金融庁「金融庁におけるサイバーセキュリティに関する取組状況」

※2 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」

※3 Cybersecurity Framework | NIST

※4 The Profile - Cyber Risk Institute

この記事は役に立ちましたか?

はい いいえ

page top