サイバーセキュリティシステム

金融機関は、顧客の資産や機密情報を扱うため、サイバー攻撃の主要な標的となりやすく、特に国家レベルの攻撃能力を持つ組織からの脅威が深刻化しています。

近年、金融機関に対するサイバー攻撃の脅威は年々増加しています。その中には、暗号資産交換事業者からの暗号資産不正流出や、資金移動業者と銀行接続における認証の脆弱性を悪用した不正出金、さらには多くの金融機関を標的としたDDoS攻撃など、様々な被害が毎年のように報告されています。

こうした情勢を受けて、日本では2014年11月にサイバーセキュリティ基本法が施行され、金融機関を含む重要インフラ業者に対するサイバーセキュリティの推進が明記されました。また、金融庁は2015年4月に監督指針と検査マニュアルを改正し、金融機関に求めるサイバーセキュリティ管理態勢について、監督・検査の着眼点を明確化しています。

さらに金融庁は、2015年に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を策定し、以降定期的に更新を行っています。2022年2月に公表された第3版では、「モニタリング・演習の高度化」や「サイバーセキュリティに関する自己評価の促進」など、5つの重点項目が示されました。

2024年10月には、「金融分野におけるサイバーセキュリティに関するガイドライン」が公表され、金融機関に求められる具体的な対応事項が明確化されました。このガイドラインでは、基本的な対応事項に加え、規模や特性に応じて望まれる対応を含む約170項目が提示され、金融機関に対しリスクベースアプローチによる実質的な対策を促しています。

金融分野におけるサイバーセキュリティガイドライン

「金融分野におけるサイバーセキュリティに関するガイドライン」は、金融庁が2024年10月4日に公表したもので、金融機関等に求められるサイバーセキュリティ対策を詳細に示しています。

このガイドラインは、金融機関の業務の健全性と適切性を確保するため、サイバーセキュリティの強化が不可欠であるとの認識に基づいて策定されました。ガイドラインは約170項目からなり、「基本的な対応事項」と「対応が望ましい事項」に分類されています。

「基本的な対応事項」は、サイバーセキュリティリスクの特定など、金融機関等が一般的に実施すべき基礎的な事項を指し、全ての金融機関等に実施が求められます。一方、「対応が望ましい事項」は、金融機関等の規模や特性を考慮し、特に大手金融機関や主要な清算・振替機関等が参照すべき優良事例や先進的な取組みを示しています。

これらの事項については、各金融機関等が自らのリスク評価に基づき、対応の要否を判断することが求められています。ガイドラインの構成は、第1節「基本的考え方」、第2節「サイバーセキュリティ管理態勢」、第3節「金融庁と関係機関の連携強化」となっており、特に第2節では、サイバーセキュリティの観点から見たガバナンス、リスクの特定、防御、検知、対応、復旧、サードパーティリスク管理に関する具体的な着眼点が示されています。

また、ガイドラインは、金融機関等が形式的な遵守にとどまらず、実質的かつ効果的なサイバーセキュリティ管理態勢を構築することを重視しています。そのため、金融庁は関連するガイドラインとして、米国の非営利団体であるCyber Risk Instituteが公表する「CRI Profile」などの活用を推奨しています。

金融機関等は、これらのガイドラインを参照し、自組織のリスク評価を行った上で、リスクベースアプローチにより、実質的かつ効果的な対策を講じることが求められています。さらに、ガイドラインでは、経営陣の積極的な関与と理解の重要性が強調されています。経営陣は、サイバーセキュリティ戦略や取組計画の策定・実施において主導的な役割を果たし、適切な経営資源の確保や人材育成、内部監査の実施など、組織全体での包括的な管理態勢の構築を推進する責任があります。

また、サードパーティリスク管理の強化も重要なポイントとして挙げられており、サプライチェーン全体を考慮したサイバーセキュリティ戦略の策定や、外部委託先のリスク評価・管理が求められています。総じて、このガイドラインは、金融機関等が直面するサイバーセキュリティリスクに対し、組織全体で継続的かつ実質的な対策を講じるための詳細な指針を提供するものとなっています。

なお、FinBridgeでは金融機関会員に向けて、このサイバーセキュリティガイドラインのExcel版を無償公開しています。各金融機関において自主的な取組を進める上でぜひ有効にご活用ください。

以下に、一般的な金融機関における、境界防御型サイバーセキュリティシステムの概要図と対策ポイントの例を示します。各金融機関により、システム構成や対策ポイントは大きく異なります。（構成図は金融機関会員限定としています。）

ここでは、各サイバーセキュリティシステムのカテゴリと主な製品種類について、代表的なものを示します。

ネットワークセキュリティ

ネットワークセキュリティは、企業や個人のネットワークを外部からの不正アクセスや攻撃から保護するための対策全般を指します。攻撃の検知や防御、通信の暗号化、アクセス制御などを行い、情報漏洩やサイバー攻撃のリスクを最小化します。多層的なセキュリティ対策が求められ、ファイアウォールやIDS/IPSなどのツールが用いられます。

エンドポイントセキュリティ

エンドポイントセキュリティは、PCやスマートフォン、タブレットなどのエンドポイントデバイスを保護するセキュリティ対策です。外部攻撃や内部脅威からデバイスを守り、データ漏洩やマルウェア感染を防止します。EDRやNGAVなどのツールにより、リアルタイム監視や迅速な脅威対応を可能にし、リモートワーク環境の普及に伴い重要性が増しています。

クラウドセキュリティ

クラウドセキュリティは、クラウド環境でのデータやアプリケーション、サービスを保護するためのセキュリティ対策です。データ漏洩、認証の不正利用、クラウドサービスの脆弱性を防ぐために、さまざまなツールと技術が用いられます。クラウド特有のリスクに対応するために、アクセス制御、データ暗号化、脆弱性管理などが重要な要素になります。

データセキュリティ

データセキュリティは、データの機密性、完全性、可用性を保護するための対策です。不正アクセス、データ漏洩、改ざん、消失などからデータを守るため、暗号化、アクセス制御、監査機能、データ分類などが活用されます。企業の重要資産であるデータを保護し、各種規制・コンプライアンスを遵守する上で不可欠なセキュリティ領域です。

アイデンティティセキュリティ

アイデンティティセキュリティ・IAM（アイデンティティ・アクセス管理）は、ユーザーやシステムの識別、認証、アクセス権の管理を行うセキュリティ技術製品です。適切な権限を持つユーザーのみがシステムやデータにアクセスできるようにすることで、不正アクセスや情報漏洩を防ぎます。

アプリケーションセキュリティ

アプリケーションセキュリティは、アプリケーションの脆弱性を特定し、攻撃から保護するためのセキュリティ対策です。ウェブアプリケーションやAPIを対象に、不正アクセス、データ漏洩、サービス停止などのリスクを軽減します。開発プロセスの初期段階から運用時まで、静的および動的テストや防御システムを活用し、セキュリティを強化します。

脅威インテリジェンス

脅威インテリジェンスは、サイバー攻撃に関する情報を収集・分析し、脅威の特定やリスク軽減を支援するセキュリティ製品です。攻撃者の戦術、技術、手法（TTPs）を分析することで、防御を強化します。脅威インテリジェンス製品は、リアルタイムの情報提供や予防策の提案を通じて、迅速かつ的確な対応を可能にします。

セキュリティ運用・管理（SOC）

SOC（Security Operations Center）は、組織のITインフラ全体をリアルタイムで監視し、サイバー攻撃や脅威への迅速な対応を行うセキュリティ運用の中核的な役割を担います。脅威の検知、分析、対応を効率化するために、SIEMやSOARといったツールを活用します。自動化と専門家の知見を組み合わせることで、リスクを最小化し、セキュリティの全体的な強化を図ります。

セキュリティコンサルティング・診断・訓練

セキュリティコンサルティング・診断・訓練サービスは、組織のセキュリティ体制を強化し、サイバー攻撃への準備を整えるための専門的セキュリティサービス群です。脆弱性検査や監査を通じてセキュリティリスクを評価し、最適な対策を提案します。また、実践的な訓練やインシデント対応のシミュレーションにより、従業員や運用チームの対応能力を向上させることを目指します。