2022/02/24
令和4年2月18日付で、金融庁より「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデート(Ver. 3.0)についてが公表されています。同方針は、2015 年 7 月に Ver. 1.0が策定され、2018 年 10 月に Ver. 2.0 にアップデートされていますので、今回で3回目のアップデートになります。
デジタルシフトの一段の高まりとあわせて、直近でのウクライナ情勢の緊迫化に象徴されるように東西間でのサイバーセキュリティ競争もますます厳しさを増しています。今回のアップデートは、こうしたサイバー空間における脅威の高まりを反映したものです。
同方針では、直近のインシデントとして「暗号資産交換業者が外部ネットワークに接続されたホットウォレットで管理していた顧客の暗号資産が、外部からの不正アクセスによって流出する事案が複数発生したこと」「キャッシュレス決済については、認証設計の脆弱性を攻撃された不正出金が複数発生したこと」「2020年12月、クラウド型顧客関係管理ソリューションにおいて、複数の金融機関においてデータのアクセス権の設定不備により、クラウド上で管理する顧客情報等が第三者から閲覧された事案が発生したこと」を取り上げており、インシデントに基づく金融庁の問題意識が明らかにされています。
また、金融商品取引業の関連では、「証券会社や外国為替証拠金取引業者については、基礎的なサイバーセキュリティ管理態勢の整備状況を検証したほか、不正アクセス事案の増加を踏まえて自主点検等を要請した。また、不正アクセス対策を含むサイバーセキュリティ管理態勢に問題があると考えられる先に対しては検査・モニタリングで重点的に検証し、必要に応じて改善を促した」としており、当局の関心事は引き続き主に第一種金融商品取引業にあることが明らかにされています。
今後の取り組み方針としては「証券会社や外国為替証拠金取引業者については、サイバーセキュリティに関する基礎的な取組みにおいて進捗が認められる一方、不正アクセス等による被害も複数発生していることを踏まえ、引き続き、検査・モニタリングを通じて、サイバーセキュリティ管理態勢を検証する。」としています。
また、注目されるのは、日米間の力関係の差を反映してか今まである種アンタッチャブルの感があったクラウドサービスの利用に関して「金融機関がクラウドサービスを活用するうえで、サイバーセキュリティが確保されているかを確認するためには、例えば、インシデント発生時のコンティンジェンシープランの整備や演習の実施を通じて、システムの可用性やデータの機密性を確認することが有効である。金融庁においても、金融機関のクラウドサービスの利用実態やそれに伴うサイバーセキュリティ管理態勢の把握を進めるほか、クラウドサービス事業者との対話を行う」として指針を示しています。
加えて、金融庁からは「クラウドサービスに限らず、外部委託の拡大やサプライチェーンの複雑化・グローバル化等によって、サイバーセキュリティを確保するうえで不可欠である IT 資産の脆弱性管理の難度が増していることを踏まえ、金融機関における脆弱性管理態勢のさらなる強化を促す」との方針が示されています。
