BIS 銀行のサイバーセキュリティ - 第二世代の規制アプローチ (2023.06.12)

こんにちは、丸山満彦です。

BISが銀行のサイバーセキュリティ・第二世代の規制アプローチが公表していますね。。。

レジリエンス推しですね。。。

 

2017年に発表した（第一世代）の規制アプローチとの比較

	1st generation (2017 paper)	2nd generation (2023 paper)
Conceptual underpinning	Focus on building "strong perimeter"	More embedded " assume breach" mentality
Scope	Aligned with IT/ICT and information security framework	In addition, aligned with operational resilience framework
	Emphasis on enhancing security capabilities	Emphasis on improving resilience capabilities
	Guidance/expectations regarding cyber risk management and (typical) security controls	In addition, guidance/expectations regarding key aspects of cyber resilience framework
Requirements	Third-party dependencies largely managed through outsourcing lens	Third-party dependencies increasingly becoming a key part of cyber resilience framework
Types of rules	(i) Leverage existing regulations and (ii) "all-in-one" cybersecurity frameworks	In addition, (iii) principles plus baseline requirements
Tailoring	Apply proportionality approach
References	In addition to SSB & G7 guidance, well-established technical standards on cyber & information security
	第1世代（2017年論文）	第2世代（2023年）
概念的な裏付け	強固な境界 の構築に重点を置く	違反を想定する」メンタリティをより根付かせる
スコープ	IT/ICTおよび情報セキュリティのフレームワークと整合している	さらに、オペレーショナル・レジリエンスのフレームワークと整合させる。
要求事項	セキュリティ能力の強化に重点を置く	レジリエンス能力の改善を重視する。
	サイバーリスクマネジメントと（典型的な）セキュリティ管理に関するガイダンス／期待	さらに、サイバーレジリエンス・フレームワークの主要な側面に関するガイダンス／期待
	サードパーティの依存関係は、アウトソーシングの視点を通じて管理される。	サードパーティの依存関係は、サイバーレジリエンスの枠組みの重要な部分となりつつある。
規則の種類	(i) 既存の規制及び(ii) 「オールインワン」のサイバーセキュリティフレームワークを活用する。	さらに、(iii) 原則とベースライン要件が追加される。
テーラリング	比例的アプローチを適用する
参考資料	SSBとG7のガイダンスに加え、サイバー・セキュリティと情報セキュリティに関する確立された技術標準がある。

 

● BIS - Research at BIS

・2023.06.12 Banks' cyber security - a second generation of regulatory approaches (FSI Insights on policy implementation No 50)

Banks' cyber security - a second generation of regulatory approaches

銀行のサイバーセキュリティ-第二世代の規制アプローチ

This paper revisits cyber regulations in jurisdictions covered in a previous paper, as well as examining those issued in other jurisdictions. The paper finds that many jurisdictions, including in emerging market and developing economies, have introduced or enhanced bank cyber regulations in the past few years. This highlights that cyber security is a top priority for bank supervisory authorities worldwide. Moreover, cyber regulations have evolved and recent ones could be described as "second-generation". These newer regulations have a more embedded "assume breach" mentality and hence are more aligned with operational resilience concepts. As such, they focus on improving cyber resilience and providing banks and supervisors with specific tools to achieve this. Work by standard-setting bodies and the G7 have been instrumental in achieving convergence in cyber regulations but there may be scope to seek further convergence in testing the effectiveness of cyber resilience measures and third-party cyber risk management.

本稿では、前稿で取り上げた法域のサイバー規制を再検討するとともに、他の法域で発行された規制についても検討する。本稿では、新興市場や発展途上国を含む多くの国・地域が、ここ数年で銀行のサイバー規制を導入または強化していることを明らかにしている。これは、サイバーセキュリティが世界中の銀行監督当局にとって最優先事項であることを浮き彫りにしている。さらに、サイバー規制は進化しており、最近のものは「第二世代」と言える。これらの新しい規制は、「侵害を想定する」という考え方をより深く組み込んでいるため、オペレーショナル・レジリエンスの概念に沿ったものとなっている。そのため、これらの規制はサイバーレジリエンスを改善することに重点を置いており、そのための具体的なツールを銀行や監督当局にプロバイダしている。標準設定団体とG7による取り組みは、サイバー規制の収斂を達成する上で役立ってきたが、サイバーレジリエンス対策と第三者によるサイバーリスクマネジメントの有効性をテストする上で、さらなる収斂を求める余地があるかもしれない。

 

・[PDF] Full text

・[DOCX] 仮訳

 

エグゼクティブサマリー

・[PDF] Executive summary

 

Executive summary	エグゼクティブサマリー
Cyber resilience continues to be a top priority for the financial services industry and a key area of attention for financial authorities. This is not surprising given that cyber incidents pose a significant threat to the stability of the financial system and the global economy. The financial system performs a number of key activities that support the real economy (eg deposit taking, lending, payments and settlement services). Cyber incidents can disrupt the information and communication technologies that support these activities and can lead to the misuse and abuse of data that such technologies process or store. This is complicated by the fact that the cyber threat landscape keeps evolving and becoming more complex amid continuous digitalisation, increased third-party dependencies and geopolitical tensions. Moreover, the cost of cyber incidents has continuously and significantly increased over the years.	サイバーレジリエンスは、金融サービス業界にとって引き続き最優先事項であり、金融当局にとっても重要な注目分野である。サイバー事件が金融システムと世界経済の安定に重要な脅威を与えていることを考えれば、これは驚くべきことではない。金融システムは、実体経済を支える重要な活動を数多く行っている（預金、融資、決済サービスなど）。サイバーインシデントは、こうした活動を支える情報通信技術を混乱させ、そうした技術が処理または保存するデータの悪用や乱用につながる可能性がある。これは、継続的なデジタル化、第三者への依存度の増加、地政学的緊張の中で、サイバー脅威の状況が進化し続け、複雑化しているという事実によって複雑化している。さらに、サイバーインシデントのコストは年々継続的かつ大幅に増加している。
This paper updates Crisanto and Prenio (2017) by revisiting the cyber regulations in the jurisdictions covered in that paper, as well as examining those issued in other jurisdictions. Aside from cyber regulations in Hong Kong SAR, Singapore, the United Kingdom and the United States, which the 2017 paper covered, this paper examines cyber regulations in Australia, Brazil, the European Union, Israel, Kenya, Mexico, Peru, Philippines, Rwanda, Saudi Arabia and South Africa. The jurisdictions were chosen to reflect cyber regulations in both advanced economies (AEs) and emerging market and developing economies (EMDEs). This highlights the fact that since 2017 several jurisdictions – including EMDEs – have put cyber regulations in place.	本稿では、Crisanto and Prenio (2017)を更新し、同論文で取り上げた法域のサイバー規制を再検討するとともに、他の法域で発行されたサイバー規制についても検討する。2017年の論文で取り上げた香港特別行政区、シンガポール、英国、米国のサイバー規制の他に、本稿ではオーストラリア、ブラジル、欧州連合、イスラエル、ケニア、メキシコ、ペルー、フィリピン、ルワンダ、サウジアラビア、南アフリカのサイバー規制を検証する。先進経済国（AEs）と新興市場・発展途上経済国（EMDEs）の両方におけるサイバー規制を反映させるために、国・地域が選ばれた。これは、2017年以降、EMDEsを含むいくつかの国・地域がサイバー規制を導入したという事実を浮き彫りにしている。
There remain two predominant approaches to the regulation of banks’ cyber resilience: the first leverages existing related regulations and the second involves issuing comprehensive regulations. The first approach takes as a starting point regulations on operational risk, information security etc and add cyber-specific elements to them. Here, cyber risk is viewed as any other risk and thus the general requirements for risk management, as well as the requirements on information security and operational risks, also apply. This approach is more commonly observed in jurisdictions that already have these related regulations firmly established. The second approach seeks to cover all aspects of cybersecurity, from governance arrangements to operational procedures, in one comprehensive regulation. In both approaches, to counter the risks that might result from having too much prescriptiveness in cyber regulations, some regulations combine broad cyber resilience principles with a set of baseline requirements. Regardless of the regulatory approach taken, the proportionality principle is given due consideration in the application of cyber resilience frameworks.	一つは既存の関連規制を活用するもので、もう一つは包括的な規制を発行するものである。第一のアプローチは、オペレーショナルリスクや情報セキュリティなどに関する規制を出発点とし、それらにサイバーに特化した要素を加えるものである。この場合、サイバーリスクは他のリスクと同様に捉えられるため、情報セキュリティやオペレーショナルリスクに関する要件と同様に、リスクマネジメントに関する一般的な要件も適用される。このアプローチは、既にこれらの関連規制がしっかりと確立されている法域でより一般的に観察される。2つ目のアプローチは、ガバナンスの取り決めから運用手続きに至るまで、サイバーセキュリティのあらゆる側面を1つの包括的な規制でカバーしようとするものである。いずれのアプローチにおいても、サイバー規制において規定が多すぎることから生じるリスクに対抗するため、一部の規制は、広範なサイバーレジリエンスの原則と一連の基本要件を組み合わせている。どのような規制アプローチが採られるにせよ、サイバーレジリエンスの枠組みの適用にあたっては、比例原則が十分に考慮される。
Whether as part of related regulations or separate comprehensive ones, recent cyber security policies have evolved and could be described as “second-generation” cyber regulations. The “first generation” cyber regulations, which were issued mainly in AEs, focused on establishing a cyber risk management approach and controls. Over the last few years, authorities, including those in EMDEs, have issued new or additional cyber regulations. These second-generation regulations have a more embedded “assume breach” mentality and hence are more aligned with operational resilience concepts. As such, they focus on improving cyber resilience and providing financial institutions and authorities with specific tools to achieve this.	関連規制の一部であれ、個別の包括的なものであれ、最近のサイバーセキュリティ政策は進化しており、「第二世代」のサイバー規制と言える。「第一世代」のサイバー規制は、主にAEsで発行され、サイバーリスクマネジメントのアプローチとコントロールの確立に重点を置いていた。ここ数年の間に、新興国の当局も含め、新規または追加のサイバー規制が発行された。これらの第 2 世代の規制は、「侵害を想定する」という考え方をより組み込んだものであるため、オペレーショナル・レジリエンス の概念に沿ったものとなっている。そのため、これらの規制はサイバーレジリエンスを改善することに重点を置いており、そのための具体的なツールを金融機関や当局に提供している。
The “second-generation” regulations leverage existing policy approaches to provide additional specific guidance to improve cyber resilience. Cyber security strategy, cyber incident reporting, threat intelligence sharing and cyber resilience testing are still the primary focus of the newer regulations. Managing cyber risks that could arise from connections with third-party service providers has become a key element of the “second generation” cyber security framework. Moreover, there are now more specific regulatory requirements on cyber incident response and recovery, as well as on incident reporting and cyber resilience testing frameworks. In addition, regulatory requirements or expectations relating to issues such as cyber resilience metrics and the availability of appropriate cyber security expertise in banks have been introduced in a few jurisdictions.	「第二世代」の規制は、既存の政策アプローチを活用し、サイバーレジリエンスを改善するための具体的なガイダンスを追加している。サイバーセキュリティ戦略、サイバーインシデント報告、サイバー脅威情報の共有、サイバーレジリエンス試験は、依然として新しい規制の主な焦点である。サードパーティのサービス・プロバイダとの接続から生じる可能性のあるサイバー・リスクのマネジメントは、「第2世代」サイバー・セキュリティの枠組みの重要な要素となっている。さらに、サイバーインシデントへの対応と復旧、インシデント報告やサイバーレジリエンステストの枠組みについて、より具体的な規制要件が設けられるようになった。加えて、サイバーレジリエンスの指標や銀行における適切なサイバーセキュリティの専門家の利用可能性といった問題に関連する規制要件や期待も、いくつかの法域で導入されている。
Authorities in EMDEs tend to be more prescriptive in their cyber regulations. Cyber security strategy, governance arrangements – including roles and responsibilities – and the nature and frequency of cyber resilience testing are some of the areas where EMDE authorities provide prescriptive requirements. This is approach seems to be connected to the need to strengthen the cyber resilience culture across the financial sector, resource constraints and/or the lack of sufficient cyber security expertise in these jurisdictions. Hence, EMDE authorities may see the need to be clearer in their expectations to make sure banks’ boards and senior management invest in cyber security and banks’ staff know exactly what they need to do.	新興国の当局は、サイバー規制においてより規定的である傾向がある。サイバーセキュリティ戦略、役割と責任を含むガバナンスの取り決め、サイバーレジリエンステストの性質と頻度などは、EMDE当局が規定的な要件を定めている分野の一部である。このようなアプローチは、金融セクター全体のサイバーレジリエンス文化を強化する必要性、リソースの制約、および／またはこれらの法域における十分なサイバーセキュリティの専門知識の欠如に関連しているように思われる。したがって、EMDE当局は、銀行の取締役会や上級管理職がサイバーセキュリティに投資し、銀行の行員が何をすべきかを正確に把握できるようにするため、期待事項をより明確にする必要があると考えるかもしれない。
International work has resulted in a convergence in cyber resilience regulations and expectations in the financial sector, but more could be done in some areas. Work by the G7 Cyber Expert Group (CEG) and the global standard-setting bodies (SSBs) on cyber resilience has facilitated consistency in financial regulatory and supervisory expectations across jurisdictions. This is necessary given the borderless nature of cyber crime and its potential impact on global financial stability. Another area where there might be scope for convergence is the way in which authorities assess the cyber resilience of supervised institutions. This could, for example, include aligning the assessment of adequacy of a firm’s cyber security governance, workforce and cyber resilience metrics. Lastly, there might be scope to consider an international framework for critical third-party providers, in particular cloud providers, given the potential cross-border impact of a cyber incident in one of these providers.	国際的な取り組みにより、金融セクターにおけるサイバーレジリエンスに関する規制や期待は収束しつつあるが、いくつかの分野ではさらに多くのことができるはずである。G7サイバーエキスパート・グループ（CEG）や世界の標準設定団体（SSBs）によるサイバーレジリエンスに関する取り組みは、金融規制や監督上の期待に国・地域間の一貫性を持たせることを促進した。これは、サイバー犯罪のボーダーレスな性質と、それが世界の金融の安定に与える潜在的な影響を考えれば、必要なことである。収斂の余地があると思われるもう一つの分野は、当局が監督対象機関のサイバーレジリエンスを評価する方法である。これには例えば、企業のサイバーセキュリティ・ガバナンス、労働力、サイバーレジリエンスの評価基準の適切性の評価を一致させることが含まれる。最後に、重要なサードパーティプロバイダー、特にクラウドプロバイダーについては、これらのプロバイダーにおけるサイバーインシデントが国境を越えて影響を及ぼす可能性があることから、国際的な枠組みを検討する余地があるかもしれない。

 

 

第一世代の時...

・2017.08.02 Regulatory approaches to enhance banks' cyber-security frameworks (FSI Insights on policy implementation No 2)

Regulatory approaches to enhance banks' cyber-security frameworks

銀行のサイバーセキュリティ体制を強化するための規制的アプローチ

Recent high-profile cyber-attacks on financial institutions have focused attention on the need to strengthen cyber-security. Banks have the most public-facing products and services, and are thus significantly vulnerable to potential cyber-attacks. Consequently, cyber-risk is a major concern for most bank supervisors. However, only a handful of jurisdictions have specific regulatory and supervisory initiatives that seek to address banks' cyber-risk; these notably include Hong Kong SAR, Singapore, the United Kingdom and the United States. This paper therefore analyses the regulatory and supervisory frameworks for banks' cyber-risk in these jurisdictions. It notes that, while there may be different views on the need to specifically regulate cyber-risk or how prescriptive these regulations should be, some common regulatory requirements are now emerging. Moreover, the supervisory approaches to assessing banks' cyber-risk vulnerability and resilience seem to be converging towards a "threat-informed" or "intelligence-led" framework. The paper also offers some high-level policy considerations, which may be helpful for banking supervisory authorities contemplating or planning to introduce or enhance cyber-risk regulation and supervision for banks.

金融機関を狙った最近話題のサイバー攻撃により、サイバーセキュリティ強化の必要性に注目が集まっている。銀行は最も一般消費者に接する商品やサービスを提供しているため、潜在的なサイバー攻撃に対して極めて脆弱である。その結果、サイバーリスクはほとんどの銀行監督当局にとって大きな関心事となっている。しかし、銀行のサイバーリスクに対処しようとする具体的な規制・監督上のイニシアチブをとっている国・地域は、香港特別行政区、シンガポール、英国、米国など、ほんの一握りに過ぎない。そこで本稿では、これらの法域における銀行のサイバーリスクに関する規制・監督の枠組みを分析する。サイバーリスクに特化した規制の必要性や、規制の具体的な内容については見解が分かれるかもしれないが、現在ではいくつかの共通の規制要件が生まれつつあることを指摘している。さらに、銀行のサイバーリスクの脆弱性とレジリエンスを評価する監督当局のアプローチは、「脅威情報」または「インテリジェンス主導」の枠組みへと収束しつつあるようだ。本稿はまた、銀行に対するサイバーリスク規制・監督の導入・強化を検討・計画している銀行監督当局にとって参考となるような、ハイレベルな政策的検討事項も提示している。

 

・[PDF]