リサーチ・フォーカス No.2024-039

「金融分野におけるサイバーセキュリティに関するガイドライン」の概要と求められる対応

2024年10月23日　谷口栄治

世界的にサイバーリスクが増大するなか、金融セクターでもサイバーセキュリティ対策が重要な課題に。こうしたなか、本年10 月、金融庁は、本邦金融セクター全体のサイバーセキュリティを強化するため、「金融分野におけるサイバーセキュリティに関するガイドライン」（以下、ガイドライン）を策定。

ガイドラインの特徴として、①サイバーセキュリティに関する対応事項をガイドラインとして明示した点、②金融機関の規模や特性等に応じて対応事項を決める「リスクベース・アプローチ」が採用された点、③銀行や証券会社等に加え、資金移動業者や暗号資産交換業者等、幅広い機関を対象としている点、を指摘可能。

ガイドラインでは、具体的な対応事項として、①サイバーセキュリティ管理態勢の構築（基本方針や計画の策定、組織やプロセスの整備）、②サイバーセキュリティリスクの特定（システムの脆弱性管理等）、③サイバー攻撃の防御・④サイバー攻撃の検知（認証・アクセス管理、データ管理）、⑤サイバーインシデント対応及び復旧（コンティンジェンシープランの策定）、⑥サードパーティリスクの管理、を提示。

ガイドラインを踏まえ、より高いレベルでのサイバーセキュリティ対策が求められるなか、本邦金融機関としては、下記の取り組みが重要に。

① 経営層のコミットメントのもとでの主体的なサイバーセキュリティ対策
経営層のコミットメントのもと、各々の業務環境やビジネスモデル、顧客層等を勘案し、金融機関自身の判断でサイバーセキュリティ対策を講じることが重要。

② サイバーセキュリティ人材の育成、セキュリティリテラシーの向上
サイバーセキュリティを所管するリスク部門やシステム部門に加え、事業部門も含めた幅広い部門でサイバー人材の配置が必要に。地域内、業界内で連携し、セキュリティ人材の育成やセキュリティリテラシー向上を図ることが重要。

③ サードパーティリスクへの対応力強化
金融機関のビジネスモデルやサプライチェーンが複雑化、多様化するなか、サイバーセキュリティの観点からも、サードパーティリスクの管理が重要に。サードパーティと問題意識を共有し、リスク管理態勢を整備する必要あり。

(全文は上部の「PDFダウンロード」ボタンからご覧いただけます)