サイト内検索

My Photo
December 2025
Sun Mon Tue Wed Thu Fri Sat
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

Recent Posts

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理 | Main | 経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25) »

2024.06.29

金融庁 金融機関のシステム障害に関する分析レポート 2024 (2024.06.26)

こんにちは、丸山満彦です。

金融庁が、「金融機関のシステム障害に関する分析レポート」を公表していますね...

2019年(2018年度版)から毎年公開しているものです...

 

第2章 事例、第1節 サイバー攻撃・不正アクセス等の意図的な要因から発生したシステム障害の事例として、

  • 1 外部委託先のランサムウェア感染によるサービス停止(地域銀行、信用金庫・信用組合等)
  • 2 マルウェア感染による個人データ流出(金融商品取引業者等)
  • 3 DDoS攻撃による決済不可(資金移動業者等)
  • 4 外部委託先が提供するサービスへのDDoS攻撃(地域銀行)

が新規として紹介されていますね...

 

なお、システム障害の原因として多いのは、ソフトウェア障害、管理面・人的要因ですね...

 

1_20250501041001

・[XLSX] 整理されていない元データ...

 

金融庁

・2024.06.26 「金融機関のシステム障害に関する分析レポート」の公表について

・・[PDF] ⾦融分野のシステム障害分析レポート(概要)

20250501-43403

 

・・[PDF] 金融機関のシステム障害に関する分析レポート

20250501-43537

 

...上記の傾向から、2023 年度においては、

・ サイバーインシデントについては、外部委託先が管理する VPN 機器の脆弱性を悪用したと考えられる不正アクセスにより、ランサムウェアに感染して外部委託先が提供するサービスが利用できなくなる事案が発生していること等から、脆弱性に係る最新情報の把握やパッチ適用の徹底、不正な通信を検知するためのシステム・体制の整備等のマルウェア対策の整備はもとより、重要な外部委託先のサイバーセキュリティ管理態勢のリスク評価実施や強化をすることが課題となっている。

・ 外部委託先を含む金融機関への DDoS 攻撃により、長時間にわたって IB 利用や一部の決済ができなくなる事案が発生していること等から、DDoS 攻撃の軽減対策の強化や、DDoS 攻撃の早期検知・復旧のための態勢を整備することが課題となっている。

・ システム障害(サイバーインシデントを除く。)関連については、過去のシステムの稼働実績を過信することなく、外部委託先の開発におけるレビュー体制の適切性の確認、試験内容の十分性の確認等による外部委託先管理の強化や、プロジェクト固有のリスクを踏まえた BCP の整備、大規模障害を想定した危機管理体制の整備が課題となっている。

冗長構成が意図どおり機能するよう実効性を確保することや、障害発生時の業務継続に係る代替手段の整備が課題となっている。また、新たな傾向として、障害原因の特定に時間を要したことから、原因分析に必要な情報の把握や、情報取得手段の確保に予め備えておくことが課題となっている。

・ スマートフォン等を利用した金融サービスの利用増加に伴う取引量の増加による記憶領域の確保不足や、システム処理能力不足に対して、記憶領域の使用状況の監視やシステム処理能力の事前検証が課題となっている。

・ 作業の誤りや作業手順書の誤りに対して、本番環境を操作することによるリスクを軽視することなく、作業手順書の確認強化や作業実施体制の強化をすることが課題となっている。

・ サイバーインシデントやシステム障害(サイバーインシデントを除く。)関連の障害傾向から、改めて障害が発生するという前提に基づき、経営陣がサイバーセキュリティを含む IT レジリエンスの強化(重要な外部委託先を含む。)を主導すること、その下で、経営上の計画における施策を策定して実施すること、特に、サイバーインシデント対応やシステム障害対応においては顧客目線での対応、インシデントの影響の最小化、重要業務の早期復旧等を実現させるための態勢整備を行うことが引き続き金融業界の重要な課題となっている。また、資金清算機関のシステム障害から、システム障害が発生した場合に備えて、プロジェクト固有のリスクを踏まえた BCP を整備するとともに、訓練による実効性の確保が重要であることが窺える。

 

なお、過去分も...

・2024.06 [PDF] 2023.pdf

・2023.06 [PDF] 2022.pdf

・2022.06 [PDF] 2021.pdf

・2021.06 [PDF] 2020.pdf

・2020.06 [PDF] 2019.pdf

・2019.06 [PDF] 2018.pdf

 

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.07 金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2022.07.05 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」

・2021.07.02 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

 

 

 

2024.06.29 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 |

« 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理 | Main | 経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理 | Main | 経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25) »