Skip to content

経営課題としてのサイバーセキュリティ:金融庁ガイドラインが示す未来

経営課題としてのサイバーセキュリティ:金融庁ガイドラインが示す未来

2024年10月4日、金融庁は、金融セクター全体のサイバーセキュリティを強化するため
金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」を公表しました。金融庁は、金融機関等のサイバーセキュリティ管理態勢に関する監督の中で留意すべき点を各監督指針・事務ガイドライン(監督指針等)に定めていますが、今回、監督指針等とは別に、更に詳細な本ガイドラインを策定したとのことです。




目次

1.ガイドラインの構成と特徴

本ガイドラインは、第1節「基本的考え方」、第2節「サイバーセキュリティ管理態勢」、第3節「金融庁と関係機関の連携強化」の構成となっています。第2節には、金融機関等に求められる詳細な対応事項が「基本的な対応事項」及び「対応が望ましい事項」に分け176項目が記載されています。「基本的な対応事項」は、いわゆるサイバーハイジーンと呼ばれる事項や、金融機関等が一般的に実施する必要のある基礎的な事項を記載しています。「対応が望ましい事項」は、金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組や、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき優良事例を記載しています。
本ガイドラインの最大の特徴は、リスクベースアプローチと経営陣の関与だと考えます。以降、この2点について述べていきます。

 



2.リスクベースのアプローチ

本ガイドラインには、「基本的な対応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずることが求められると記載されています。
「基本的な対応事項」であっても一律の対応を求めないことは、実態に合わない対策を実施する必要がないというメリットがあるものの、金融機関自らで自己評価を行い実施する項目を決めていく必要があります。
本ガイドラインが、一律の対応を求める「ベースラインアプローチ」ではなく「リスクベースアプローチ」を採用した背景には、現代のサイバーセキュリティの複雑性や多様性、さらには個々の金融機関の状況の多様性があると思われます。金融機関といっても銀行や証券、保険から資金移動業者や暗号資産交換業者まで幅広い機関が対象です。加えて、規模や特性も様々です。そのため、「ベースラインアプローチ」では、対策に過不足が生じてしまうこと、つまり、必要な対策が実施されなかったり、過剰な投資を強いてしまったりすることが避けられないため「リスクベースアプローチ」を採用したのでしょう。

 

 

3.リスクベースアプローチの進め方

リスクベースのアプローチは、サイバーセキュリティ対策を「すべてのリスクを網羅的に防ぐ」ものではなく、「重要度や優先度に基づいてリソースを配分する」考え方です。具体的には以下のような手順で進めるとよいのではないでしょうか。

1.資産の特定と分類
重要な資産を洗い出したり、「機密性」「完全性」「可用性」の観点で資産を分類

2.想定される脅威の洗い出し
内部要因、外部要因、業界動向や同業他社が直面している攻撃などを分析

3.対策状況や脆弱性の評価
資産毎にセキュリティ対策の状況や脆弱性を評価

4.リスク分析
資産毎にリスクを「脅威の発生可能性 × 脆弱性の深刻度(対策状況を考慮) × 資産の重要性」によって定量化したりリスクマトリクス(横軸に発生可能性、縦軸に影響度を配置)を作成

5.対策の優先順位付け

6.対策の実施 

7.モニタリングと改善


8.定期的な報告

 



4.経営陣の関与・理解

本ガイドラインにおけるもう一つの留意点は、サイバーセキュリティを経営課題として捉え、経営陣が積極的にリーダーシップを発揮することが求められていることです。これは、2024年2月に改訂されたNISTのサイバーセキュリティフレームワーク2.0 において「GV(統治)」機能が追加されたことにも表されているように、世界的な流れでもあります。
本ガイドラインでは、サイバーインシデントは顧客や金融機関、さらには金融システム全体の信頼を損なう重大なリスクであり、IT部門だけでなく経営責任も問われる問題です。影響を最小化し早期復旧を目指すには、各部門間や外部機関との連携が不可欠であり、経営陣の積極的な関与とリーダーシップをもとに、組織全体の対応を実現するガバナンスの確立が求められると記載されています。また、サイバーセキュリティ管理態勢が不十分なことに起因して自組織や第三者に損害が生じた場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得るとも記載されています。

本ガイドラインの「2.1. サイバーセキュリティ管理態勢の構築」では、取締役会やそれに類する会議について、以下の2点を求めています。

・サイバーセキュリティ管理の基本方針を策定
・サイバーセキュリティ管理態勢の整備(年次でのレビューが必要)

また、取締役会とまではいかなくとも、経営陣には以下のような取り組みが求められています。

・サイバーセキュリティに係る戦略、取組計画(含む複数年計画)の策定
・対策の進捗状況の管理や追加対策の指示、必要なリソースの配分
・サイバーセキュリティを統括管理する責任者(CISO 等)の任命
・サイバーセキュリティ管理態勢の継続的改善
・サイバーセキュリティに係る規程及び業務プロセスの整備(年次での見直しが必要)
・人材の育成・確保のための計画
・研修・訓練等への積極的な参加

本ガイドラインは、このように、経営陣が取り組むべき具体的なアクションを明記することで、サイバーセキュリティを単なる技術的課題ではなく、経営課題として認識し、企業全体にその重要性を浸透させることを狙っていると言えるでしょう。
また、経営陣に求められている「サイバーセキュリティに係る戦略、取組計画(含む複数年計画)の策定」については、金融機関等に求められる「基本的な対応事項」及び「対応が望ましい事項」176項目を何らかの形で関連付けせざるを得ないでしょう。つまり、セキュリティの担当部署だけで176項目の実施要否を決めることができません。担当部署としても経営とのコミュニケーションを避けて通れないのです。

 



5.最後に

本ガイドラインは単なる規制遵守の指針にとどまらず、金融機関が持続可能な成長を遂げるための経営戦略としてサイバーセキュリティを位置付ける重要性を示しています。これからの時代、サイバーリスクへの対応は経営陣のリーダーシップが鍵を握ります。ガイドラインの示す176項目を、自社の規模や特性に応じて実践し、リスクベースアプローチを通じて経営課題を解決していくことが、金融機関に求められる未来志向の取り組みといえるのではないでしょうか。

 

 



 

 


サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。