金融安定理事会 サイバーインシデント報告における収斂を高めるための提言
こんにちは、丸山満彦です。
金融安定理事会が、いろんなところから、色々と言われるサイバーインシデント報告を収斂させるための提言をしていますね。。。
・2022.10.17 FSB makes proposals to achieve greater convergence in cyber incident reporting
| FSB makes proposals to achieve greater convergence in cyber incident reporting | 金融安定理事会はサイバーインシデント報告におけるより収斂を高めるための提言を行なった。 |
| The Financial Stability Board (FSB) today published a consultative document on Achieving Greater Convergence in Cyber Incident Reporting. Timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability. The proposals take a comprehensive approach and include: | 金融安定理事会(FSB)は本日、サイバーインシデント報告におけるより大きな収斂を達成に関する協議文書を公表した。サイバーインシデントに関する適時で正確な情報は、効果的なインシデント対応と復旧、金融安定化の促進に不可欠である。本提案は包括的なアプローチをとっており、以下を含む。 |
| ・Recommendations to address the challenges to achieving greater convergence in cyber incident reporting. Drawing on the experience of financial authorities and engagement with financial institutions, the FSB has set out 16 recommendations to address the practical issues associated with the collection of cyber incident information from financial institutions and the onward sharing between financial authorities. | ・サイバーインシデント報告における収斂を高めるための課題に対処するための提言。 金融当局の経験及び金融機関とのエンゲージメントに基づき、FSBは、金融機関からのサイバーインシデント情報の収集及び金融当局間の共有に関連する実務的な問題に対処するための16の提言を行った。 |
| ・Further work on establishing common terminologies related to cyber incidents. A key instrument for achieving convergence in cyber incident reporting is the use of a common language. In particular, a common definition and understanding for what constitutes a ‘cyber incident’ is needed that avoids the over reporting of incidents that are not meaningful for financial authorities or financial stability. | ・サイバーインシデントに関連する共通の用語の確立に向けた更なる作業。 サイバーインシデント報告における収束を達成するための重要な手段は、共通の言語を使用することである。特に、金融当局や金融の安定にとって意味のないインシデントの過剰な報告を回避するために、何が「サイバーインシデント」を構成するかについての共通の定義と理解が必要である。 |
| ・Proposal to develop of a common format for incident reporting exchange (FIRE). A review of incident reporting templates and stocktake of authorities’ cyber incident reporting regimes indicated a high degree of commonality in the information requirements for cyber incident reports. Building on these commonalities, the FSB proposes the development of a common reporting format that could be further considered among financial institutions and financial authorities. | ・インシデント報告交換のための共通フォーマット開発の提案(FIRE)。 インシデント報告テンプレートのレビューと当局のサイバーインシデント報告制度のストックテイクは、サイバーインシデント報告の情報要件に高度な共通性があることを示した。これらの共通性に基づき、FSBは、金融機関及び金融当局間で更に検討されうる共通の報告様式の開発を提案する。 |
| The FSB is inviting feedback on this consultative document, in particular on the questions it has set out. Responses should be sent to fsb@fsb.org by 31 December 2022 with the subject line ‘CIR Convergence’. Responses will be published on the FSB’s website unless respondents expressly request otherwise. | 金融安定理事会は、本諮問文書、特に本諮問文書が提示した質問に対するフィードバックを求めている。回答は、2022年12月31日までに、件名を「CIR Convergence」として fsb@fsb.org 宛てに送付されたい。回答は、回答者からの明確な要請がない限り、FSBのウェブサイト上で公表される予定である。 |
| Notes to editors | 編集後記 |
| The FSB published a report on Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence in October 2021. The report found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the G20 asked the FSB to take forward work to achieve greater convergence in cyber incident reporting. | 金融安定理事会は、サイバーインシデント報告に関する報告書を公表した。2021年10月に「既存のアプローチとより広範な収束のための次のステップ」を発表した。同報告書では、サイバーインシデントの報告対象範囲、インシデントの重大性と影響の測定方法、サイバーインシデントの報告期限、サイバーインシデント情報の利用方法について、分野や法域を超えた分断が存在することが明らかにされています。このため、国境やセクターを越えて活動する金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局はあるインシデントについて異質な情報を受け取ることになり、金融機関の対応と回復のための行動が損なわれる可能性があります。サイバーインシデントに関する情報は、効果的な対応と金融安定の促進に不可欠であることを認識し、G20はFSBに対し、サイバーインシデント報告におけるより大きな収束を達成するための作業を進めるよう求めました。 |
| In 2018, the FSB developed a Cyber Lexicon to foster a common understanding of relevant cyber security and cyber resilience terminology across the financial sector, including banking, financial market infrastructures, insurance and capital markets, and with other industry sectors. A common lexicon could foster a common understanding with other industry sectors and facilitate appropriate cooperation to enhance cyber security and cyber resilience. | 2018年、金融安定理事会は、銀行、金融市場インフラ、保険、資本市場を含む金融セクター全体、および他の産業セクターとの間で、関連するサイバーセキュリティおよびサイバーレジリエンス用語の共通理解を醸成するためのサイバーレキシコンを開発しました。共通の語彙は、他の産業セクターとの共通理解を促進し、サイバーセキュリティ及びサイバーレジリエンスを強化するための適切な協力を促進することができる。 |
| The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. | FSB は、各国の金融当局及び国際的な基準設定機関の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定及び実施を促進する機関である。FSBは、24の国・地域の金融安定に責任を有する各国当局、国際金融機関、規制・監督当局のセクター別の国際グループ、中央銀行の専門家による委員会を結集している。金融安定理事会はまた、6つの地域協議会(Regional Consultative Groups)を通じて、他の約70の国・地域に対してアウトリーチを行っている。 |
| The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. | 金融安定理事会の議長はDe Nederlandsche BankのKlaas Knot総裁が務めている。金融安定理事会事務局はスイスのバーゼルにあり、国際決済銀行が主催している。 |
・[PDF] Achieving Greater Convergence in Cyber Incident Reporting
・[DOCX] 仮訳
| Executive summary | エグゼクティブサマリー |
| 1. Introduction | 1. はじめに |
| 2. Challenges to achieving greater convergence in CIR | 2. サイバーインシデント報告のコンバージェンス化に向けた課題 |
| 2.1. Operational challenges | 2.1. 運用上の課題 |
| 2.2. Setting reporting criteria | 2.2. 報告規準の設定 |
| 2.3. Culture of timely reporting | 2.3. 適時報告の文化 |
| 2.4. Early assessment challenges | 2.4. 初期評価の課題 |
| 2.5. Secure communications | 2.5. セキュアな通信 |
| 2.6. Cross-border and cross-sectoral issues | 2.6. 国境を越えた、セクターを越えた問題 |
| 3. Recommendations | 3. 推奨事項 |
| 3.1. Design of approach to CIR | 3.1. サイバーインシデント報告へのアプローチ設計 |
| 3.2. Supervisory engagement with FIs and among financial authorities | 3.2. 金融機関及び金融当局間の監督当局の関与 |
| 3.3. Industry engagement | 3.3. 産業界の取り組み |
| 3.4. Capability development (individual and shared) | 3.4. 能力開発(個人と共有) |
| 4. Common terminologies for CIR | 4. サイバーインシデント報告に関する一般的な用語 |
| 5. Format for incident reporting exchange (FIRE) | 5. インシデント報告交換のためのフォーマット (FIRE) |
| 5.1. Potential benefits, risks and costs | 5.1. 潜在的な利益、リスク、コスト |
| 5.2. The FIRE concept | 5.2. FIREのコンセプト |
| Annex 1: 2022 Survey findings | 附属書1:2022年調査結果 |
| Annex 2: Recommendations mapped to identified challenges | 附属書2:特定された課題にマッピングされた推奨事項 |
| Annex 3: Initial reporting trigger reference material | 附属書3:初回報告トリガー参考資料 |
16の推奨事項...
| Design of CIR Approach | サイバーインシデント報告アプローチの設計 |
| 1 Establish and maintain objectives for CIR | 1 サイバーインシデント報告の目的の設定と維持 |
| 2 Explore greater convergence of CIR frameworks | 2 サイバーインシデント報告フレームワークの収束の促進の検討 |
| 3 Adopt common reporting formats | 3 共通の報告様式の採用 |
| 4 Implement phased and incremental reporting requirements | 4 段階的かつ漸進的な報告要件の実施 |
| 5 Select incident reporting triggers | 5 インシデント報告のトリガーの選択 |
| 6 Calibrate initial reporting windows | 6 初期報告窓口の調整 |
| 7 Minimise interpretation risk | 7 解釈リスクの最小化 |
| 8 Extend materiality-based triggers to include likely breaches | 8 重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含 |
| Authority interactions | 当局とのやりとり |
| 9 Review the effectiveness of CIR processes | 9 サイバーインシデント報告プロセスの有効性のレビュー |
| 10 Conduct ad-hoc data collection or industry engagement | 10 アドホックなデータ収集と産業界への関与の実施 |
| 11 Address impediments to cross-border information sharing | 11 国境を越えた情報共有の阻害要因への対処 |
| Industry engagement | 産業界の取り組み |
| 12 Foster mutual understanding of benefits of reporting | 12 報告の利益に関する相互理解の促進 |
| 13 Provide guidance on effective CIR communication | 13 効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供 |
| Capability Development (individual and shared) | 能力開発(個人と共有) |
| 14 Maintain response capabilities which support CIR | 14 サイバーインシデント報告を支援する対応能力の維持 |
| 15 Pool knowledge to identify related cyber events and cyber incidents | 15 関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有 |
| 16 Protect sensitive information | 16 機密情報の保護 |
推奨事項をもう少し詳細に...
| Recommendations: | 推奨事項 |
| 1. Establish and maintain objectives for CIR. Financial authorities should have clearly defined objectives for incident reporting, and periodically assess and demonstrate how these objectives can be achieved in an efficient manner, both for FIs and authorities. | 1. サイバーインシデント報告の目的の設定と維持:金融当局は、インシデント報告に関する目的を明確に定義し、金融機関及び当局の双方にとって、これらの目的がいかに効率的に達成され得るかを定期的に評価し、示すべきである。 |
| 2. Explore greater convergence of CIR frameworks. Financial authorities should continue to explore ways to align their CIR regimes with other relevant authorities, on a cross-border and cross-sectoral basis, to minimise potential fragmentation and improve interoperability. | 2. サイバーインシデント報告フレームワークの収束の促進の検討:金融当局は、潜在的な断片化を最小化し、相互運用性を向上させるために、国境を越え、セクターを越えて、他の関連当局とサイバーインシデント報告制度を整合させる方法を引き続き検討するべきである。 |
| 3. Adopt common reporting formats. Financial authorities should individually or collectively identify common data requirements, and, where appropriate, develop or adopt standardised formats for the exchange of incident reporting information. | 3. 共通の報告様式の採用:金融当局は、個別又は集合的に共通のデータ要件を特定し、適切な場合には、事故報告情報 の交換のための標準的なフォーマットを開発又は採用すべきである。 |
| 4. Implement phased and incremental reporting requirements. Financial authorities should implement incremental reporting requirements in a phased manner, balancing the authority’s need for timely reporting with the affected institution’s primary objective of bringing the incident under control. | 4. 段階的かつ漸進的な報告要件の実施:金融当局は、タイムリーな報告に対する当局の必要性と、インシデントをコントロール下に置くという影響を受ける機関の主要な目的とのバランスを取りながら、段階的な報告要件を導入すべきである。 |
| 5. Select incident reporting triggers. Financial authorities should explore the benefits and implications of a range of reporting trigger options as part of the design of their CIR regime. | 5. インシデント報告のトリガーの選択:金融当局は、サイバーインシデント報告制度の設計の一環として、様々な報告トリガーのオプションの利点と意味を検討するべきである。 |
| 6. Calibrate initial reporting windows. Financial authorities should consider potential outcomes associated with window design or calibration used for initial reporting. | 6. 初期報告窓口の調整:金融当局は、初期報告に用いる窓口の設計や調整に関連する潜在的な結果を検討すべきである。 |
| 7. Minimise interpretation risk. Financial authorities should promote consistent understanding and minimise interpretation risk by providing an appropriate level of detail in setting reporting thresholds, including supplementing CIR guidance with examples, and engaging with FIs. | 7. 解釈リスクの最小化:金融当局は、サイバーインシデント報告ガイダンスを事例で補足することを含め、報告閾値を設定する際に適切なレベルの詳細を提供し、金融機関との連携を図ることにより、一貫した理解を促進し、解釈リスクを最小化すべきである。 |
| 8. Extend materiality-based triggers to include likely breaches. Financial authorities that use materiality thresholds should explore adjusting threshold language, or use other equivalent approaches, to encourage FIs to report incidents where reporting criteria have yet to be met but are likely to be breached. | 8. 重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含:重要性の閾値を使用する金融当局は、報告基準がまだ満たされていないが、違反の可能性が高いインシデントを報告するよう金融機関を奨励するために、閾値の文言を調整すること、または他の同等のアプローチを使用することを検討するべきである。 |
| 9. Review the effectiveness of CIR processes. Financial authorities should explore ways to review the effectiveness of FIs’ CIR processes and procedures as part of their existing supervisory or regulatory engagement. | 9. サイバーインシデント報告プロセスの有効性のレビュー:金融当局は、既存の監督・規制の一環として、金融機関のサイバーインシデント報告プロセスと手続の有効性をレビューする方法を検討するべきである。 |
| 10. Conduct ad-hoc data collection and industry engagement. Financial authorities should explore ways to complement CIR frameworks with supervisory measures as needed and engage FIs on cyber incidents, both during and outside of live incidents. | 10. アドホックなデータ収集と産業界への関与の実施:金融当局は、必要に応じてサイバーインシデント報告のフレームワークを監督上の措置で補完する方法を模索し、サイバーインシデントについて、インシデント発生中もそれ以外も金融機関に関与するべきである。 |
| 11. Address impediments to cross-border information sharing. Financial authorities should explore methods for collaboratively addressing legal or confidentiality challenges relating to the exchange of CIR information on a cross-border basis. | 11. 国境を越えた情報共有の阻害要因への対処:金融当局は、国境を越えたサイバーインシデント報告情報の交換に関連する法的又は守秘義務上の課題に協力して対処する方法を検討するべきである。 |
| 12. Foster mutual understanding of benefits of reporting. Financial authorities should engage regularly with FIs to raise awareness of the value and importance of incident reporting, understand possible challenges faced by FIs and identify approaches to overcome them when warranted. | 12. 報告の利益に関する相互理解の促進:金融当局は、インシデント報告の価値と重要性に対する認識を高め、金融機関が直面する可能性のある課題を理解し、必要な場合にはそれを克服するためのアプローチを特定するために、金融機関と定期的に関係を持つべきである。 |
| 13. Provide guidance on effective CIR communication. Financial authorities should explore ways to develop, or foster development of, toolkits and guidelines to promote effective communication practices in cyber incident reports. | 13. 効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供:金融当局は、サイバーインシデント報告における効果的なコミュニケーションの実践を促進するため、ツールキットやガイドラインの開発、または開発を促進する方法を模索すべきである。 |
| 14. Maintain response capabilities which support CIR. FIs should continuously identify and address any gaps in their cyber incident response capabilities which directly support CIR, including incident detection, assessment and training on a continuous basis. | 14. サイバーインシデント報告を支援する対応能力の維持:金融機関は、インシデントの検知、評価及び訓練を含む、サイバーインシデント報告を直接支援するサイバーインシデント対応能力のギャップを継続的に特定し、対処しなければならない。 |
| 15. Pool knowledge to identify related cyber events and cyber incidents. Financial authorities and FIs should collaborate to identify and implement mechanisms to proactively share event, vulnerability and incident information amongst financial sector participants to combat situational uncertainty, and pool knowledge in collective defence of the financial sector. | 15. 関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有:金融当局及び金融機関は、状況の不確実性に対処するために、金融セクターの参加者間でイベント、脆弱性及びインシデント情報をプロアクティブに共有し、金融セクターの集団防衛における知識を蓄積するメカニズムを特定し、実施するために協力するべきである。 |
| 16. Protect sensitive information. Financial authorities should implement secure forms of incident information handling to ensure protection of sensitive information at all times. | 16. 機密情報の保護:金融当局は、常に機密情報の保護を確実にするために、事故情報の取り扱いを安全な形で実施すべきである。 |
■ 関連
ちょうど昨年の今頃。。。
・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence
・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence
サイバー用語集
・2018.11.12 [PDF] Cyber Lexicon
金融庁
・2018.11.16 金融安定理事会による「サイバー用語集」の公表について
翻訳しても良いのにね。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」
Comments