DXとセキュリティをともに推進するポイント 第5回 金融庁の新たなサイバーセキュリティに関するガイドラインのポイント

こうした背景から、より具体性を持たせた基準を提示し、グローバルスタンダードを目指して金融業界全体の底上げを促すため、今回のガイドラインがリリースされた。
金融庁の新たなガイドラインの主な要件

では、金融庁が今年10月に発表した「金融分野におけるサイバーセキュリティに関するガイドライン」を具体的にみていく。ガイドラインは大きく「1.基本的な考え方」「2.サイバーセキュリティ管理態勢」「3.金融庁と関係機関の連携強化」の3つのパートから構成されている。

「1.基本的な考え方」は、セキュリティ強化の必要性に関する改めての言及やガイドラインの位置付けとなっている。「3.金融庁と関係機関の連携強化」は金融庁を中心とした官側の取り組みについての共有となっている。

同ガイドラインの本体といえるのは「2.サイバーセキュリティ管理態勢」であり、大きくページが割かれている。ここではサイバーセキュリティの観点から見たガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理に関する着眼点について規定し、それぞれについて、金融機関等における「基本的な対応事項」と「対応が望ましい事項」を明確化していることが特徴となっている。

NISTのCyber Security Flamework 2.0（CSF）を参照された方であればお気付きと思うが、ガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理の項目は、NIST CSFの内容とリンクしている。

サイバーセキュリティ管理態勢については、「サイバーセキュリティ管理態勢の構築」「サイバーセキュリティリスクの特定」「サイバー攻撃の防御」「サイバー攻撃の防御」「サイバー攻撃の検知」「サイバーインシデント対応および復旧」「サードパーティリスクの管理」を実施すべきとしている。

従来の「取り組み方針」では業種や規模により内容に差異があったが、今回のガイドラインでは一本化されている。ただし、要件においてはサイバーハイジーン上必須であり、全ての金融機関が実施すべき「基本的な対応事項」と、大規模かつ社会的影響が大きい機関向けの「対応が望ましい事項」の2段階に分けて記載されている。より高いレベルの要求事項を視野にいれつつ、リスクベースアプローチで自社環境を鑑みた際に影響が大きいものから優先順位を付けて実施するようにという建て付けとなっている。

また、金融機関等に対し、同ガイドラインを形式的に遵守することのみを重視したリスク管理態勢とならないように留意し、実質的かつ効果的な対応を行うことを求めている。