【解説】金融分野におけるサイバーセキュリティに関するガイドライン｜対応のコツ

こんにちは。
GRCプラットフォーム部の徳永です。

悪質なサイバー攻撃が増加しサイバーセキュリティの重要性が増す中、「金融分野におけるサイバーセキュリティに関するガイドライン」が公表されました。本記事では、このガイドラインのポイントと、対策として有用な弊社が提供するソリューションについて詳しく解説します。金融業界のみならず、今後ベンチマークの1つとなる可能性もあるため、他の業界の方も参考にしていただければと思います。

ガイドラインの背景と目的

サイバー攻撃の脅威が増す昨今、デジタル化が進む金融機関においてもサイバーセキュリティは重要な経営課題であり、対策の強化が求められています。金融庁は、金融セクター全体のサイバーセキュリティの強化を目的とし、パブリックコメントを経て「金融分野におけるサイバーセキュリティに関するガイドライン」（以下、本ガイドライン）を公表しました。

リスクベースのアプローチの重要性

本ガイドラインの大きな特徴はリスクベースの考え方が取られていることです。これは、自社の業態、環境等の特性に応じて、必要な部分を行っていくという考え方です。網羅的なチェックリストを前提とした考えにはなっていないため、各社でリスクの特定・評価を行ったうえで適切な対応を選択して行っていく必要があります。

GRCSの具体的なサポート

弊社では金融分野に精通したアドバイザーの監修のもと、リスクアセスメントを一緒に実施したうえで、対応範囲と「基本的な対応事項」に加えて、「対応が望ましい事項」のうちどこまで対応すべきかをご一緒に考えさせていただきます。
また、個々の対応内容のうち、いくつかの領域については弊社クラウドサービスでの対応が可能です。

1 脆弱性対応
脆弱性情報収集については、公的機関のみならずサードパーティーを含めた情報収集が必要とされています。弊社の「脆弱性TODAY」は、毎日様々な製品の最新の脆弱性情報をお届けし、迅速に対応できるようサポートします。脆弱性が該当する機器や製品の洗い出し、対応期限の管理については、弊社の「CSIRT MT.mss」の「脆弱性管理機能」により、「脆弱性TODAY」や脆弱性スキャンツールで得られた脆弱性情報とIT資産との突合や、システム単位の適用状況の管理までフォローすることが可能です。

2 インシデント管理のプロセス
インシデント管理についても、発生からクローズまでの一連の記録や経営層への報告、対応手順の確立などが本ガイドラインに記載されています。
弊社の「CSIRT MT.mss」の「インシデント管理機能」を活用いただくことで、インシデントの検知から対応、報告までの一連の対応状況の管理や可視化、ナレッジ蓄積、経営層への迅速な報告を可能にします。

3 サードパーティリスク管理の重要性

サプライチェーンの拡大に伴い増加するサードパーティリスクについても管理の重要性およびリスクベースの対応が求められることが記載されており、サイバーセキュリティの取組においてはサードパーティ全体を考慮するよう述べられています。
弊社の「Supplier Risk MT」は、サードパーティ（外部委託先）のリスク管理を支援するツールです。外部委託先のセキュリティ対策状況やあらゆるリスクを把握し、重要度の高いリスクの発見と優先的な対策といったリスクベースのアプローチに活用できます。

他業界への応用とその可能性

金融業界以外でも、サイバーセキュリティ対策の重要性は増しています。本ガイドラインのリスクベースアプローチは、他業界でも応用が可能です。ますます巧妙化するサイバー攻撃の脅威に対してセキュリティ水準の底上げは業界問わず必至です。他業界の皆様も参考にされてみてはいかがでしょうか。

まとめと今後の展望

サイバーセキュリティは、今後ますます重要性を増す分野です。本ガイドラインのリスクベースアプローチと弊社のソリューションを活用することで、サイバーセキュリティ管理態勢をより強化することが可能です。。今後も、最新の情報と技術の提供を通じ、皆様のビジネスをサポートしていきます。

何か気になる内容があれば、お気軽にご相談ください。弊社の専門家が、貴社のニーズに合わせた最適なソリューションを提案いたします。


参考：金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf