« 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 | Main | CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている? »

2021.10.22

金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ (Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence) 」を公表していますね。。。

Financial Stability Board: FSB

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に高まっています。
This report explores whether greater convergence in the reporting of cyber incidents could be achieved in light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers. 本報告書では、金融安定性への懸念の高まり、特に金融サービスのデジタル化や第三者サービスプロバイダーの利用の増加を踏まえ、サイバーインシデントの報告の収束を図ることができるかどうかを検討しています。
Following a stocktake of existing supervisory and regulatory practices, the FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in information-sharing among financial authorities and financial institutions. 金融安定理事会は、既存の監督・規制上の慣行を調査した結果、サイバーインシデントについて報告すべき範囲、インシデントの重大性や影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などについて、セクターや法域によってばらつきがあることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、特定のインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB has identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting: 金融安定理事会は、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収斂を高めるために、以下の3つの方法を実施します。
・Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. ・ベストプラクティスの開発:当局がサイバーインシデント報告体制を構築する際に考慮すべき、共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を果たすために当局が必要とする最小限の情報の種類を特定する。
・Identify common types of information to be shared, understand any legal and operational impediments to sharing such information, and continue efforts to reduce such barriers. ・共有すべき共通の情報を特定し、そのような情報を共有するための法的および運用上の障害を理解し、そのような障害を軽減するための努力を継続する。
・Create common terminologies for cyber incident reporting, in particular a common definition for ‘cyber incident’. ・サイバーインシデント報告のための共通の用語、特に「サイバーインシデント」の共通の定義を作成する。
The report notes that greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: 報告書では、サイバーインシデントに関する規制上の報告の調和を図ることで、以下のように金融の安定を促進するとしています。
i. building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system; i. 金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解を深め、その監視を行う。
ii. supporting effective supervision of cyber risks at financial institutions; and ii. 金融機関のサイバー・リスクに対する効果的な監督を支援する。
iii. facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions. iii. セクターや国・地域を超えた当局間の情報の調整と共有を促進する。
By end-2021, the FSB will develop a detailed plan for taking this work forward. 金融安定理事会は、2021年末までに、この作業を進めるための詳細な計画を策定する。

 

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

Executive summary  要約 
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. In light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers, the Financial Stability Board (FSB) explored whether harmonisation in cyber incident reporting could be achieved.  サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に増している。特に金融サービスのデジタル化や第三者サービスプロバイダーの利用が増加していることから、金融安定理事会(FSB)は、サイバーインシデント報告の調和を図ることができないかを検討しました。
The FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in informationsharing among financial authorities and financial institutions.  FSBは、サイバーインシデントについて報告すべき範囲、インシデントの重大性と影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などが、セクターや管轄区域によって分断されていることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、あるインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting:  FSBは、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収束を図るための3つの方法を特定しました。
■  Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. This set of information would also help authorities in determining reporting thresholds, timeframes for reporting and notification, while recognising that a one-size-fits-all approach may neither be appropriate nor possible.   ■ ベストプラクティスを開発する。共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を達成するために、当局がサイバーインシデントに関連して必要とする最小限の情報を特定し、当局がサイバーインシデント報告体制を構築する際に検討する。この一連の情報は、当局が報告のしきい値や報告・通知の期間を決定する際にも役立つだろうが、一方で、画一的なアプローチは適切でも可能でもないかもしれないことを認識しておく必要がある。 
■  Identify common types of information to be shared. Identify key information items that should be shared across sectors and jurisdictions, and to understand any legal and operational impediments to sharing such information. This would facilitate more information-sharing and help authorities obtain a better understanding of impacts of a cyber incident across sectors and jurisdictions. As a multilateral solution to informationsharing problems would be challenging, it would be essential for FSB member jurisdictions to continue bilateral and regional efforts to reduce legal and operational barriers to information sharing.  ■ 共有すべき一般的な情報の種類を特定すること。セクターや法域を超えて共有されるべき主要な情報項目を特定し、そのような情報を共有する上での法的・運用上の障害を理解する。これにより、より多くの情報共有が促進され、当局がセクターや法域を超えてサイバーインシデントの影響をよりよく理解することができます。情報共有の問題を多国間で解決することは困難であるため、FSBメンバー国は、情報共有に対する法的・運用上の障害を軽減するための二国間・地域間の努力を継続することが不可欠である。
■  Create common terminologies for cyber incident reporting. Harmonised cyber incident reporting schemes necessitate a ‘common language’. In particular, a common definition for ‘cyber incident’ is needed that avoids the reporting of incidents that are not significant for a financial institution or financial stability.   ■ サイバーインシデント報告のための共通用語の作成。調和のとれたサイバー・インシデント報告制度には、「共通の言語」が必要である。特に、金融機関や金融の安定性にとって重要ではないインシデントの報告を避けるために、「サイバーインシデント」の共通の定義が必要である。 
Greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: (i) building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system, (ii) supporting effective supervision of cyber risks at financial institutions; and (iii) facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions.   サイバー・インシデントの規制当局による報告の調和が進めば、以下のようにして金融安定性を促進することができる。(i)金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解と監視を構築すること、(ii)金融機関のサイバーリスクに対する効果的な監督を支援すること、(iii)セクターや法域を超えた当局間の情報の調整と共有を促進すること。 
The FSB will develop detailed timelines and modalities for taking this work forward by the end of 2021. FSBは2021年末までに、この作業を進めるための詳細なタイムラインと方法を策定する。

 

・[DOCX] 仮訳

 

 

 

|

« 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 | Main | CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」 | Main | CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている? »