DXとセキュリティをともに推進するポイント 第5回 金融庁の新たなサイバーセキュリティに関するガイドラインのポイント

サイバーセキュリティ管理の基本方針は、大前提として取締役会がサイバーセキュリティリスクを組織全体のリスク管理の一部と捉えて策定することとしている。この点は従来の取り組み方針や、経済産業省によるサイバーセキュリティ経営ガイドライン、NIST CSFなどの一般的なセキュリティの考え方と同様である。

また、従来の取り組み方針の内容は踏襲されており、サイバーセキュリティリスクを特定することも重要として、情報資産管理やハードウェア・ソフトウェア等の脆弱性管理、脆弱性診断およびペネトレーションテスト、演習・訓練などを挙げている。リスクの分析や演習などは重要ではあるものの、なかなか一般の企業には荷が重く、金融業界の意識の高さと、向かい合うリスクの大きさを物語っている。

具体的に言及されている要件について見ていくと、データフロー図・ネットワーク図などの整備を通じて現状把握を強化し、より正確なリスク分析により事業インパクトへの連鎖を測ることが求められている。より正確に把握された事業インパクトを局所化するために、ファイアウォールのホワイトリスト運用を前提とした環境の分離（セグメンテーション）および厳密なアクセス管理により、レジリエンスを高めていくことに繋がっていく。

ガイドラインに準拠できるソリューションとは

情報セキュリティに関するドキュメントやガイドラインの多くは、対策の必要性や方針は理解できても、それを実現するためのアクションアイテムや技術要件に落とし込むのが難しいという声を耳にすることがあった。

しかし、今回の金融庁の新たなガイドラインは具体性が高いだけでなく、NIST CSFやSP 800-171との親和性が高いため、CyberSecurity Maturity Model Certification（CMMC）の取得を考える一般の企業においても理解を深める有益なドキュメントとなっている。何よりも平易かつ簡潔な日本語で書かれていることが大きい。

最新のグローバルスタンダードを表現している金融庁のガイドラインは、当然のことながら本来の意味でのゼロトラスト戦略を組み込んだ内容となっている。

「事前に何も信頼することなく、アクセスの信頼性を常に検証する」を実現するために必要なコンポーネントは各組織で導入が進んでいるものと思われるが、すべての土台として、それぞれのIT資産を分離管理するためのセグメンテーションが十分でない組織はいまだに多い。