セキュリティ評価プラットフォーム「Assured」、「金融分野におけるサイバーセキュリティに関するガイドライン」（金融庁）の解説レポートを公開

Visionalグループの株式会社アシュアード（所在地：東京都渋谷区/代表取締役社長：大森 厚志）が運営する、セキュリティ評価プラットフォーム「Assured（アシュアード）」（https://assured.jp/　以下、Assured）は、2024年10月4日に金融庁から発表された「金融分野におけるサイバーセキュリティに関するガイドライン」の解説レポートを本日公開しました。
解説レポート記事はこちら

[画像1: https://prcdn.freetls.fastly.net/release_image/34075/661/34075-661-a20a270d858c0f939d843e01a1eb07d8-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]




2024年10月4日、金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」を策定しました。サイバー攻撃の脅威は、金融サービス利用者の利益を害し、金融システムの安定に影響を及ぼしかねないものとなっている背景から、金融セクター全体のサイバーセキュリティ強化を目的に、これまでの監査指針等に追加する形で当該ガイドラインが策定されました。今回はその中でも「サードパーティリスク管理」の内容を中心に、弊社の調査事例も交えて解説します。
＜サマリー＞
- サイバーハイジーンへの取組やオペレーショナルレジリエンスの確保のため、金融機関等が取るべき基本的なガバナンスやセキュリティ対策が明示された（「基本的な対応事項」と「対応が望ましい事項」）
- 経営層がサイバーセキュリティリスクを組織全体のリスク管理の一部として捉え、自社・サードパーティ（クラウドサービス含む）全体の「リスク管理戦略の策定」や「（担当部署に対して）定期的にリスク評価結果の報告を求めること」等、経営層が取り組むべきことが明確化された
- 「情報資産」としてのクラウドサービスの網羅的な管理が必要（シャドーITの特定と対応を含む）
- クラウドサービスに対しては利用前のリスク評価に加え、1年に1回以上の定期的なリスク評価の実施がポイント
- クラウドサービスの業務における役割・重要度や重要情報の取扱い有無等を踏まえ、リスク評価結果に基づいた対応が必要（リスクベースアプローチ）


＜一部抜粋＞金融庁ガイドラインにおけるクラウドサービス利用に関する重要なポイント
2.2.1　情報資産管理
情報資産管理の「ハードウェア・ソフトウェア等」の節にて「対応が望ましい事項」の1つとして下記のポイントが定義されています。
d.管理対象外となっている個人所有端末等の情報資産や未承認のクラウドサービスの利用（シャドーIT 等）を特定し、管理対象とするか使用を中止するなど、適切に対応すること。

シャドーITの対応については「対応が望ましい事項」であるものの、「（情報資産としての）クラウドサービスを網羅的に把握すること」はリスクベースアプローチにおいて必要不可欠となるため、シャドーIT対策は実質必須の対策となります。

2.2.2　リスク管理プロセス
リスク管理プロセスの節では、クラウドサービスを含むサードパーティのリスク管理について下記のようなポイントに言及しています。
2.2.2.2 ２.脅威情報及び脆弱性情報を踏まえたサイバー攻撃の発生可能性、並びにサイバー攻撃が発生した場合の自組織の事業や情報資産に与える影響に基づき、サイバーセキュリティリスクを少なくとも１年に１回評価すること。また、重大な脅威や脆弱性が判明した時や、新規商品又はサービスの提供時にも評価すること。

また、同様に「2.1.1 基本方針、規定類の策定等」においても、基本的な対応事項である「８.経営陣は、少なくとも１年に１回、以下の報告を担当部署等に求めること。」の中に「サイバーセキュリティに関するリスク評価の結果（必要に応じ、外部専門家による評価を含む）」が含まれており、クラウドサービス導入時だけでなく、定期的な評価（1年に1回以上）の実施が望まれる状況です。

その他、クラウドサービス利用時の対策やサードパーティリスク管理等についても解説しております。

詳細はこちらをご覧ください



[画像2: https://prcdn.freetls.fastly.net/release_image/34075/661/34075-661-1c71dd79aa41c4aaa90589e4242d855e-1200x1200.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]

Assuredセキュリティエキスパート　植木 雄哉（うえき ゆうや）による考察昨今の情勢やガイドラインの中で「サードパーティリスク管理」が個別の項目として切り出されたことからも、クラウドサービスを含めたサードパーティリスク管理が重要視されていることが伺えます。クラウドサービスは便利である一方、セキュリティリスクも存在するため、利用者側での導入前のデューデリジェンスや定期的なリスク評価を実施する必要があるというポイントを忘れてはなりません。
今後もAssuredは、クラウドサービス利用時のセキュリティ脅威から身を守り、安心・安全なクラウド活用、そして社会全体のDX推進を支えていくビジネスインフラとしてサービス向上に努めてまいります。




【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
URL：https://assured.jp/
X：https://twitter.com/AssuredJP
[動画1: https://www.youtube.com/watch?v=HntQmeJa43s ]

◆タクシーCM「リスクは安心な顔をしてやってくる」篇
[動画2: https://www.youtube.com/watch?v=w6hpC1ReUpA ]


【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL：https://www.visional.inc/

企業プレスリリース詳細へ
PR TIMESトップへ