2024.11.11
2024.12.05
お金は大事、セキュリティも大事!~金融庁のガイドラインを読み解く
- 文字で構成されています。
※この記事内容は
*がついている用語は、マウスオンすると解説文章が表示されます。
金融庁は2024年10月、銀行などお金を扱う業者を対象に「金融分野におけるサイバーセキュリティに関するガイドライン」を制定しました。
ガイドラインの内容や、社会への影響についてみていきましょう。
お金を扱う業界が幅広く対象に
これまで金融庁では、銀行や保険会社などそれぞれの業者向けの「監督指針」の中でシステムリスクに対する大まかな対応指針を示していましたが、これを抜き出して肉付けし、総合的なガイドラインを制定したものです。
背景としては、2010年代以降、金融機関を狙ったサイバー攻撃が繰り返し起きており、実際に被害にあった例もあること、また個人情報保護について重要性が増しており、漏洩した場合の影響が甚大であること、一方でスマホでのタッチ決済やポイント決済など、お金を使う方法が多様化していて、サイバー攻撃を受けた場合の社会への影響が大きくなっていることなどが挙げられます。
このため、銀行や保険、証券などの金融機関に加え、プリペイドカード等の発行業者、スマホアプリなどの電子決済手段を扱う業者なども対象に含まれています。
求められる6つの対応
ガイドラインでは、金融事業者には以下の6つの対応が求められています。
- サイバーセキュリティ管理態勢の構築(ガバナンス)
- 経営陣が責任を持って経営資源を投入し、必要な方針・規定や組織を整備すること
- サイバーセキュリティリスクの特定
- システムや情報を管理し、リスクを特定・評価して対応計画を作り、訓練を行うこと
- サイバー攻撃の防御
- 認証やアクセスの管理を行うこと、職員に対し教育・研修を行うこと、データ保護とシステムのセキュリティ対策を行うこと
- サイバー攻撃の検知
- サイバー攻撃に対して継続的に監視を行うこと
- サイバーインシデント重大事故につながる事象。ここではウィルス感染、不正アクセス、情報漏洩など対応及び復旧
- インシデント対応計画や復旧計画を立てておき、それに基づいて対応すること
- サードパーティ当事者・顧客以外の第三者。ここでは取引先などリスク管理
- サプライチェーン内の取引先のリスクを管理すること
①~③については、サイバー攻撃に備える態勢づくり、④~⑤は、実際にサイバー攻撃が起きた際の対応をまとめたものです。⑥は、事業者自身だけでなく取引先等への態勢整備を促す項目です。
「リスクベース」と「ガバナンス」が特徴
大きな特徴としては、対象となる業者が多岐にわたるため、各事業者が自らのリスク評価に基づき、リスクに見合ったセキュリティ対策を講じる「リスクベース・アプローチ」を推奨している点です。全ての業者が一律の対応を取るのではなく、規模や特性に応じた対応を求めています。
リスクベース・アプローチとは、組織が直面するリスクに対し、重要度や緊急性に応じ、優先順位をつけて対策を行う方法です。このガイドラインでも、組織内、組織外の情報を収集・分析し、自組織内のリスクが組織に与える影響を評価し、順位付けを行うことが記されています。
また、サイバーリスクに対しての防御、検知、対応、復旧といった実務面だけでなく、1番目の項目として「経営陣のガバナンス」を記しているのも大きな特徴です。これは、米国国立標準技術研究所NIST。科学技術に関する標準を管理する機関が2024年2月に改訂した「NISTサイバーセキュリティフレームワーク2.0」にも示されているアプローチで、世界中の国家・組織・企業においてスタンダードになりつつある考え方です。
経営陣は、サイバーセキュリティ管理の基本方針を策定し、少なくとも年に一度はその方針を見直すこと、サイバーセキュリティ担当組織と統括責任者を置くこと、自らリーダーシップを発揮して、サイバーセキュリティ確保のために組織風土を作ることなどが求められています。
全職員への教育・研修が必須に
このガイドラインでは、経営陣を含むすべての役員・職員に対して、サイバーセキュリティの意識向上のための教育・研修を定期的に行うことが求められています。
具体的には、以下の5項目が掲げられています。
- 経営陣を含むすべての役職員に対して、サイバーセキュリティ教育・研修を定期的に実施
- サードパーティの担当者がサイバーセキュリティ教育・研修を受講しているか確認
- 顧客に対してサイバーセキュリティの意識向上のための取組み(フィッシング注意喚起など)を実施
- IT・セキュリティ部門の役職員に対して、最新の知識とスキル教育・研修を定期的に実施
- すべての役職員に対してインシデント対応の教育・研修等を行い、インシデント対応・復旧に関係する職員には定期的に教育・研修を実施
働く人すべてのスキルアップを
金融庁のサイバーセキュリティガイドラインで示された、リスクベース・アプローチ、ガバナンスの重視といった考え方は、どんな業界であってもサイバー攻撃に対する体制を強化するために取るべき効果的な方法です。
そして、経営陣を含め、働く人すべてがサイバーセキュリティについての知識やスキルを向上させることは、業種や規模を問わず、すべての組織で必要になっています。
インソースデジタルアカデミーでは、サイバーセキュリティに関するさまざまな研修をご用意し、みなさまのお手伝いをいたします。
※本記事は2024年12月05日現在の情報です。
おすすめ公開講座
関連ページ
日々様々なサイバー犯罪がニュースになる昨今、組織の未来を変えるのは従業員のリテラシー意識です。インソースデジタルアカデミーでは組織全体でのセキュリティ強化を目指した研修を多数ご用意しています。
似たテーマの記事
2024 AUTUMN
DXpedia® 冊子版 Vol.2
Vol.1の「ChatGPT時代」に引き続き、「サイバーセキュリティの今」をテーマにMS&ADインターリスク総研株式会社との対談など、近年注目が集まるセキュリティ問題についてご紹介しております。
Index
-
PICKUP
【巻頭対談】サイバー攻撃への備え 従業員教育が欠かせない
-
冊子限定
「復旧まで1カ月以上」が2割〜国内のランサムウェア被害調査
-
PICKUP
サイバーセキュリティ今昔物語
-
冊子限定
DXpediaⓇ人気記事
-
冊子限定
【コラム】白山から宇宙へ~アポロが生んだ技術の大変革
2024 SUMMER
DXpedia® 冊子版 Vol.1
「ChatGPT時代」をテーマにDXpedia®で人気の記事を冊子にまとめました。プロンプト例を交えた解説や、様々な場面での活用法をご紹介しています。生成系AIの特性を正しく理解し、ひとりの優秀な部下にしましょう。
Index
-
冊子限定
プロンプトでAIをあやつる~前提や体裁を正しく指示して完成度UP!
-
冊子限定
AIそれはデキる部下~インソースグループの生成系AI研修
-
冊子限定
AIと作る表紙デザイン~生成系AIを有能なアシスタントにしよう
-
冊子限定
【コラム】白山から宇宙へ~未来を切り拓くSX(
-
冊子限定
DXpediaⓇ人気記事
2023 AUTUMN
Vol.12 今日からはじめるDX
Vol.12は「中堅・成長企業でのDXの進め方」がテーマです。他社リソースを上手に活用するために身につけたい「要求定義と要件定義」を解説しました。 2人の「プロの目」によるDXの取組みへのヒントに加え、身近なアプリではじめるDXを活用事例とともに紹介します。DXお悩みQ&Aでは、中小・成長企業特有の事例を取り上げました。DXをはじめるなら「今」です。
Index
2023 SPRING
Vol.11 DX革命 第二章~着手から実践へ
vol.4の続刊であるVol.11は「DX革命の実践」がテーマです。 本誌の前半ではDXの課題を4段階に整理し、各段階の解決策である研修プランを掲載しています。 後半では弊社が研修を通じてDXを支援した、各企業様の事例と成果を紹介しています。自社のDX実践に際して、何がしかの気づきを得られる内容となっています。
Index
2020 WINTER
Vol.04 DX革命
Vol.04はDX推進のための効果的な手法がテーマです。DXは喫緊の経営課題である一方、IT人材不足や高いシステム導入コストにより実現が難しいと捉えられがちです。そこで本誌では、今いる人材で低コストに推進するDXについてご紹介しております。
Index
お問合せ
まずはお電話かメールにてお気軽にご相談ください
お電話でのお問合せ
03-5577-3203