DXとセキュリティをともに推進するポイント 第5回 金融庁の新たなサイバーセキュリティに関するガイドラインのポイント

画像提供：マイナビニュース

2024年10月、金融庁が新たなガイドラインとして「金融分野におけるサイバーセキュリティに関するガイドライン」を公開した。これまでの「取り組み方針」から「ガイドライン」へと位置付けが変わり、より具体的で、より踏み込んだ内容となっている。

今回は、この新たなガイドラインについて詳しく解説し、対応するためには何が必要なのかを明らかにしていく。
金融庁が新たなガイドラインを公開した背景

サイバー攻撃者の目的は、いくつかのパターンに分類できるが、最も代表的な目的は金銭を得ることである。ランサムウェアによりストレートに暗号資産などの金銭を要求する場合もあれば、企業が持つ重要な情報や個人情報の販売を前提とする場合もある。各種サービスのログイン情報をフィッシングで盗み出し、ダークウェブで販売するケースもある。

社会的混乱を目的とする、より高度な攻撃者集団にとっても金融機関は格好の標的である。経済の血液と言われる金融機関が停止する社会的インパクトは極めて大きい。

このため、金融業界はずっとサイバー攻撃の標的となっていた。それだけに他業種と比較しても高度なサイバーセキュリティ態勢を構築しているが、コロナ禍によるリモートワーク移行などの大きな社会の変化によって新しい問題が顕在化し、VPN機器の脆弱性を悪用し不正アクセスされるケースもあった。また、クレジットカードやオンラインバンキングのフィッシングも依然として多く、2023年から金融庁と警察庁が共同で「フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害の急増」を注意喚起している。

金融庁と警察庁が発表した「不正送金発生状況」よると、2023年年11月末における被害件数は5,147件、被害額は約80.1億円となっており、いずれも過去最多を更新した。クレジットカード業界では早期からクレジットカード業界のセキュリティ基準「PCI DSS」を策定し、この認証を取得するよう加盟店やサービスプロバイダーに呼びかけている。

銀行も常にサイバーリスクにさらされている。銀行は以前から、ワンタイムパスワードやデジタルトークンを導入しているが、これらも同時に盗もうとするフィッシング攻撃とのイタチごっこが続いている。

さらに、暗号資産というFintechをベースとした新たな領域が拡大する一方で、100億円を大きく超える資産が不正アクセスを理由に流出するなど、セキュリティ対策が追いついていない新しい領域において甚大な被害が発生している。