金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)
こんにちは、丸山満彦です。
金融庁が、「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等
」及び、2022年度の「金融機関のシステム障害に関する分析レポート」を公表していますね。。。
障害事象別割合ですが、ソフトウェア障害と管理面・人的要因の二つで全体の約7割ですね。。。大きな傾向としてはこのところ変化はない感じですね。。。
下のグラフではその他に入れてしまっていますが、コンピュータウイルスへの感染はそれぞれ2022年度0.8%、2021年度0.4%、2020年度1%ですね。。。
● 金融庁
まずは、ITガバナンス関連のほうから...
・2023.06.30 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表について
・[PDF] 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」第2版(概要)
・[PDF] 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」第2版
目次...
I. はじめに
II. 本文書の目的・位置づけ
III. ITガバナンスの高度化の必要性
1. 従来の取組み
2. 環境の急速な変化及び金融機関の活動
3. 企業価値を創出するITガバナンスの必要性
IV. 金融機関におけるITガバナンス
1. ITガバナンスに関する考え方
2. 深度ある対話に向けた基本的な考え方・着眼点
(1) 経営陣によるリーダーシップ
(2) 経営戦略と連携した「IT戦略」・「DX戦略」
(3) IT戦略を実現する「IT組織」・「DX推進組織」
(4) 最適化された「ITリソース(資源管理)」
(5) 企業価値の創出につながる「IT投資管理プロセス」
(6) 適切に管理された「ITリスク」
3. その他の論点
4. 金融機関との対話の基本的な進め方
(1) 多様で幅広い情報収集
(2) ベストプラクティスの追求に向けた対話
(3) 対話に当たっての留意点
(4) 当局の問題意識の発信
(5) モニタリングに関する態勢整備
V. 従来のシステムリスク管理
1. 検査マニュアル廃止への対応
(1) ITマネジメント(IT管理)分野に関する取扱い
(2) システム統合・更改リスク管理分野に関する取扱い
2. システム統合・更改リスク管理に関する基本的な考え方・着眼点
(1) 経営陣のリスク管理に対する協調した取組み
(2) 協調したシステム統合リスク管理態勢のあり方
(3) 不測の事態への対応
(4) 監査及び問題点の是正
3. 検査・監督の基本的な進め方
(1) 個別金融機関の実態把握
(2) モニタリングの実施
・[PDF] コメントの概要及び金融庁の考え方
次にシステム障害分析...
・2023.06.30 「金融機関のシステム障害に関する分析レポート」の公表について
・[PDF] レポート
第1部 はじめに
第2部 障害分析概要
第1章 集計期間
第2章 主な障害傾向
第1節 サイバー攻撃・不正アクセス等の意図的なもの
Ⅰ 外部委託先への不正アクセスによる情報漏えいに係る事案
Ⅱ マルウェア感染に係る事案
Ⅲ DDoS攻撃に係る事案
第2節 日常の運用・保守等の過程の中で発生したシステム障害
Ⅰ 冗長構成が機能しない等の障害
Ⅱ システム障害発生時の復旧に関する不芳事案
第3節 システム統合・更改等に伴って発生したシステム障害
第4節 プログラム更新、普段と異なる特殊作業等から発生したシステム障害
Ⅰ 設定ミス・作業の誤り
第3章 今後の金融庁の対応
第1節 サイバーセキュリティ管理態勢に関するモニタリング
第2節 システム障害の発生を踏まえたモニタリング
第3節 システム統合・更改等に関するモニタリング
第3部 事例集
第1章 業態全体の障害傾向(事象別)
第2章 事例
第1節 サイバー攻撃・不正アクセス等の意図的な要因から発生したシステム障害
第2節 日常の運用・保守等の過程の中で発生したシステム障害
Ⅰ ハードウェア・回線等の不具合
Ⅱ 設定ミス・操作ミス等の管理面・人的要因
Ⅲ サードパーティの提供するサービス等の要因
Ⅳ 取引量増加に伴う容量不足等
第3節 システム統合・更改に伴い発生したシステム障害
第4節 プログラム更新、普段と異なる特殊作業等から発生したシステム障害
Ⅰ 設定ミス・操作ミス等の管理面・人的要因
Ⅱ ソフトウェアの不具合
第5節 システム障害後の対応が円滑に行われた事例
参考
BSIのサイバーレジリエンスの基準
● BSI - Committee onPayments and Market Infrastructures Board of the International Organization of Securities
Commissions
・2016.06 [PDF] Guidance on cyber resilience for financial market infrastructures
・[DOCX] 仮訳
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.05 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」
・2021.07.02 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について
« 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集 | Main | 欧州委員会 国境を越えたケースにおけるGDPRの執行強化を確保するための新規則を採択 (2023.07.04) »
Comments