金融庁 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書

こんにちは、丸山満彦です。

金融庁が、「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」を公表していますね。。。サードパーティ・サプライチェーンサイバーリスク管理（Third Party Cyber Risk Management: TPCRM / Cyber Supply Chain Risk Management: CS-CRM） に関する米国金融機関の先行事例についての調査報告書です。デロイト トーマツ サイバー合同会社が調査をしていますね。。。

調査領域は、

1. 組織体制、人的リソース、管理の仕組み、ツール
2. リスク管理プロセス
3. ソフトウェア管理
4. ハードウェア管理

で、先行事例として、

---

• 組織体制について、TPCRM を専門に担当するチームまたは要員が 1 線部門内に存在し、利用部門である業務部門を牽制する 1.5 線的な役割を果たしている金融機関がある。また、2 線部門でも、オペレーショナルリスク部門に TPCRM の専任者が存在し、1 線部門のリスク評価に場合によっては異議を唱え、または介入するなどの牽制の仕組みが整備されている。このように、米国大手金融機関においては、1 線及び 2 線において牽制機能があるなどの組織的に TPCRM を行うための仕組みがある。
  
  
• 人的リソースについて、数千社のサードパーティを管理するために、TPCRM 部門には百人規模 でサードパーティのサイバーリスク管理の専門家を配置し、サイバーリスク評価に特化し効率的 に業務経験を積ませ、社内トレーニングやメンター制度の活用なども合わせて人材の量と質の 向上に努めている。
  
  
• リスク管理に関わる作業は内製、市販ツールの活用により効率化している。
  
  
• リスク管理プロセスについて、評価対象をリスクレベルで分類し、高リスクの評価対象に注力する継続的モニタリングを行っている。必要に応じ、4th パーティ（とそれ以降）のリスク評価 も金融機関が自ら行っている。自社と同レベルのセキュリティ水準をサードパーティに求めるため、契約や要綱に詳細を明記している。
  
  
• 自社が使用するソフトウェアの脆弱性は自社で確認するとの方針の下、技術的評価を実施するチームを持ち、評価を実施している。ソースコードレビューやソフトウェア構成解析（SCA）などの技術的に可能な手法を積極的に採用し、高度化を進める取組みが認められる。
  
  
• ハードウェアセキュリティについては、ファームウェアや UEFI（BIOS）の真正性を確保するための 対策の導入などにより、セキュアな調達を実現する取組みが認められる。

---

が挙げられていますね。。。

サプライチェーンリスクは、サードパーティリスク、つまり自分ではリスクそのものを管理できないというのが本質で、特に委託先の先の委託先は伝言ゲームの世界になりますよね。。。これは個人情報保護法のガイドラインを作った時に、委託先管理のところで考えた話と同じです。

これをあらゆる面で厳密にやりだすと、輸送中にBIOSを書き換えられたPCにすり替えられたら、、、みたいな話にもなっていきます。

サードパーティリスクを低減させる一番の方法はプライチェーンをできるだけ短く、少なく、できる限り自前で。。。といういことになります。

システム関係でいえば、できる限り自社が管理している環境に、外注事業者に入ってもらうようにすることにより、委託先をつかっていても管理できる範囲は増えるし、再委託ではなく、すべて委託管理にすることもできる。（これを昔から言っていることなので、目新しいことではないですが。。。）

 

● 金融庁

・2023.12.20 「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」の公表について

・[PDF] 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査」報告書

 

・[PDF] 「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査」概要