金融機関におけるサイバー攻撃のリスクは年々高まっており、金融庁は金融業界全体のセキュリティ体制を強化する必要性を感じていました。サイバー攻撃は単なるITの問題ではなく、金融システムの信頼性や社会的影響にも直結する問題です。この背景から、金融庁はガイドラインを策定し、金融機関がリスク管理とセキュリティ強化を確実に実行できるようサポートしています。
このガイドラインの目的は、金融機関が共通して取り組むべきセキュリティ対策の枠組みを提供することです。単に対策を促すだけでなく、リスク管理やセキュリティ体制の構築、サイバーインシデント発生時の対応力向上を支援する内容が盛り込まれています。金融庁は、これにより金融システム全体の信頼性向上を目指しています。
金融庁ガイドラインの核となるのが「リスク管理」です。金融機関に対して、潜在的なサイバーリスクの特定と、そのリスクが発生した際の影響評価を求めています。具体的には、システムやネットワークの脆弱性を定期的にチェックし、必要な対策を講じることが推奨されています。また、リスク管理を行う上での責任者の明確化や、リスク管理体制の整備も重要視されています。
ガイドラインには、実務で必要とされる具体的な対策項目が数多く含まれています。たとえば、「情報システムへのアクセス管理の強化」「外部委託先のセキュリティ監査」、「サイバーインシデント発生時の緊急対応計画」など、金融機関が取り組むべき要件が示されています。これにより、単なる防御策ではなく、インシデント発生後のリカバリーや影響の最小化も考慮されています。
ガイドラインの特徴として、「セルフアセスメントの実施」が挙げられます。金融庁は金融機関に対し、定期的に自社のセキュリティ状況を評価するよう求めており、このセルフアセスメント結果が、今後の改善策を見直す重要な指針となります。金融庁も毎年これらの結果を集計し、業界全体のセキュリティ傾向を把握しています。
金融庁は、サイバーセキュリティに対する重要性が増す中で「監督指針」を改正し、金融機関のセキュリティ対策に関する基準を明確化しました。監督指針の改正により、経営層が積極的にリスク管理に関与すること、システムの脆弱性を定期的に見直すこと、サイバーリスクの管理体制を整備することが求められています。
ガイドラインの遵守には、組織全体での体制整備が不可欠です。特に情報セキュリティ担当者の育成や、社内教育の強化が必要とされています。また、インシデント発生時の対応プロセスを整備し、緊急時に円滑な対応ができるようシミュレーションや訓練も推奨されています。
多くの金融機関は、業務の一部を外部委託しています。このため、外部の業者やサプライチェーンが抱えるセキュリティリスクも重要です。ガイドラインでは、金融機関が外部委託先のセキュリティ体制を確認し、サイバーリスクが自社に波及しないよう管理することが求められています。
金融庁は、サイバー攻撃への対応力を高めるため、「Delta Wall」というサイバーセキュリティ演習を定期的に実施しています。この演習は、金融機関が想定外のサイバー攻撃に迅速かつ的確に対応できるよう訓練することを目的としています。演習には、国内外の多くの金融機関が参加し、実際のサイバー攻撃を想定したシナリオでトレーニングが行われます。
Delta Wallの演習結果は、金融庁からフィードバックされ、各金融機関が改善点を把握する機会として活用されています。多くの参加機関がインシデント対応の迅速化や意思決定プロセスの強化が課題であることを認識しており、演習を通じて対応能力の向上が図られています。
金融庁は、ガイドラインの導入を進めるため、金融機関に対して多様なサポート体制を提供しています。金融庁は情報共有や定期的なアドバイザリーセッションを通じ、金融機関が最新のサイバーリスク情報を把握し、必要な対策を講じられるよう支援しています。
金融庁は、金融機関が実施するセルフアセスメントの結果を集計し、改善に向けたフィードバックを提供しています。このフィードバックにより、金融機関は自身のセキュリティ体制の改善点を具体的に把握でき、より高度なサイバーリスク管理が可能になります。
近年、量子コンピュータの発展により、新たなサイバーリスクが浮上しています。金融庁もこのリスクに注目し、量子コンピュータによる暗号の破壊リスクなどに対する計画を進めています。ガイドラインにも今後、量子時代を見据えた新たな対策が追加される見込みです。また、金融庁は、国内外のサイバーセキュリティ動向に対応するため、ガイドラインの継続的な見直しを予定しています。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
