ナレッジ

監督指針・検査マニュアルの改正からみた
サイバーセキュリティ管理 

サイバーセキュリティ管理のポイント

金融庁は2015年4月に「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」等を改定し、適用を開始した。この改定案は、2015年8月以降の検査の拠り所として活用されることになる。最初のセッション「監督指針・検査マニュアルの改正からみたサイバーセキュリティ管理〜サイバーセキュリティ管理のポイント〜」では、デロイト トーマツ リスクサービスの寺島淳一が、改定内容の要点を紹介した。

検査マニュアルの改訂、形式的な対応に終わらず実質的な取り組みを

 寺島はまず、今回の改定では、特にシステムリスク管理に関する項目が改正されていることに言及した。そして、「金融庁が注目しているということは、そこにリスクがある可能性が高いということを意味する。サイバーセキュリティへの関心の高まりを受け、しっかりシステムリスク管理体制を構築する必要があるだろう。ただ検査を受けて免許を維持するという形式的な意味だけでなく、実質的にも意味のあることだ」と述べた上で、「金融」「保険」「金融商品取引業者等」、3つの検査マニュアルそれぞれについて要点を紹介した。

金融検査マニュアルの改訂ポイント

 もともと先行して厳しくマニュアルを定めてきた分野だが、それでも主な改定ポイントは20カ所に上った。中でも大きなポイントは経営層の関与について踏み込んだことだ。

 「取締役・経営者の役割について大きな改正があった。経営者としてサイバーセキュリティにしっかり取り組むべきということが明言されている。例えば、システム障害発生時の責任や取るべき対応を具体的に定め、さらに『自ら指揮を執る訓練を行う』といった事柄が明記されるなど、より深く関与することを明記している」(寺島)点に着目すべきという。

 他にも、取締役会の責任として、サイバー攻撃の監視体制構築や報告・広報体制、組織内CSIRT(Computer Security Incident Response Team)の整備、情報収集・共有体制などを挙げている。こうした事柄を踏まえると「形だけ、付け焼き刃でシステム担当取締役を整えても、金融庁には通用しない」と寺島は指摘した。

 もう一つ注目すべきポイントがある。近年のサイバー攻撃と防御は「いたちごっこ」の状態だ。何か対策を講じても、それをかいくぐる新たな手段がすぐに生まれてくる。その事実を踏まえ、「予防だけでなく、迅速に発見・コントロールし、影響を最小限に食い止める部分へ力点がシフトしつつある」(寺島)。他のインシデントを参考にしつつ、「自社は本当に大丈夫か」と検証する姿勢も重要であるとした。

保険検査マニュアルの改訂ポイント

 今回の改訂で最も改訂個所が多かったのが、この保険検査マニュアルだ。寺島によると、「ざっと数えただけでも43カ所に上る。保険業界の方々が最もやるべきことが多いといえ、しっかり内容を確認して対処してほしい」という。

 寺島が改訂のポイントとして挙げたのは、「システム開発と運用をしっかり分けること」だ。既に銀行業界では先行して進んでいる取り組みだが、「システム環境を分離するだけではなく、システム開発者と運用担当者を分離し、それぞれがしっかり相互牽制できる仕組みを整えていく必要がある」(寺島)。

 また取締役会の関与やシステムリスクの認識・評価、インターネットを利用した取り引きの管理に関しても、金融検査マニュアル同様、体制を整えていく必要がある。

 特筆すべき点としては、「システム障害等の管理」が挙げられそうだ。「システム障害が発生した際には適宜報告することとされた。特に重大なものについては即日報告できるよう、関係部門との情報連携体制を整え、指揮・命令系統を明文化することが求められる。同時に、システム障害による影響を最小化するための仕組みの構築も求めている」(寺島)。

 バックアップ、BCP体制の構築やコンティンジェンシー・プランの策定もまた、取締役の責任として明記された。「例えばバッチ処理が遅延した場合を想定し、対応を検討しておく必要がある。いったん作成したリスクシナリオも適宜見直し、新たなシナリオを追加していくといいだろう」(寺島)。

 さらに、外部委託業務の管理についても触れた。「内在するリスク管理をしっかりやることが重要になる。特に、委託先から再委託する場合は委託元の承認が必要であるという事、および再委託先の管理方法も契約書に明文化する」(寺島)。 

 時間の都合で詳細は割愛されたが、「金融商品取引事業者等検査マニュアル」の改訂ポイントも27カ所に上っており、その内容は金融検査マニュアルや保険検査マニュアルとおおむね同様という。

「過去問」となる事例集を参考に

寺島はこれら3つのマニュアルの改訂ポイントを紹介した上で、「共通するポイントは4つある」と述べた。

・顧客情報を含む重要情報の管理と保護
・サイバーセキュリティ管理体制の整備
・コンティンジェンシー・プランの策定
・外部委託業務の管理(クラウドも含む)

だ。

 「サイバー攻撃は増加の一途をたどっており、情報漏えい事件は減る気配を見せない。一方で、クラウドの利用は一般化しており、マイナンバー制度の開始も迫っている。今回の改訂はこうした外部環境の変化に対応したものだ。当局対応だけを考えるのではなく、実質的なシステムリスク対応として取り組む必要がある」と寺島は述べ、表面的な対応に終わらせないことが重要だとあらためて強調した。

 とは言うものの、事業者としては具体的に何をどう進めていけばいいのか戸惑うことがあるかもしれない。そうした際に役に立つのが、金融庁が2014年6月に公表した「金融検査結果事例集」だという。寺島は、「いわば『過去問』のようなもの。金融庁が指摘した事例だけでなく、参考になる有用な事例も紹介されている」と述べ、ぜひ一読してほしいとした。

 例えば事例の中には、「アクセス制限が行われていなかったケース」「システム障害発生時に備えたコンティンジェンシー・プランを作成したものの、その有効性までは検証していなかったり、見直し・改訂を行っていなかったりしたケース」「クラウドサービス利用に当たって『チェックリスト』を作っただけで、具体的に求めるべき基準などを明示していなかったケース」などが含まれている。これを見ても、形式的な対応だけでは金融庁の目をごまかすことはできず、具体的に踏み込んだ取り組みが求められていることが明白だ。

 寺島は最後に、金融庁が2015年7月に公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針」にも言及。今後内容を分析した上で、あらためて要点を紹介したいとした。

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?