金融庁 金融分野におけるサイバーセキュリティに関するガイドライン（案） (2024.06.28)

こんにちは、丸山満彦です。

金融庁が、「主要行等向けの総合的な監督指針」等の一部改正（案）とともに、「金融分野におけるサイバーセキュリティに関するガイドライン」（案） を公表し、意見募集をしていますね...

文書の構造的には、米国のサイバーセキュリティフレームワークに似ていますね...

内容としては、【基本的な内容】ふつうするやろという内容と、【対応が望ましい事項】社会的にやっとかなあかんのちゃうのん、とか、先進的な対応という内容の２つがありますが、両方とも、リスクベースで金融機関が考えて実施してください、ということです。

---

「基本的な対応事項」は、いわゆるサイバーハイジーンと呼ばれる事項その 他の金融機関等が一般的に実施する必要のある基礎的な事項を指す。「対応が望ましい事項」は、金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組みや、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき 優良事例を指す。金融機関等の規模・特性は様々であることから、「基本的な対 応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの 許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスク に見合った低減措置を講ずること（いわゆる「リスクベース・アプローチ」を採 ること）が求められることに留意が必要である。

---

 

あと、金融機関っぽいなぁと思えたのは、

---

2. サイバーセキュリティ管理態勢
2.1. サイバーセキュリティ管理態勢の構築
2.1.1. 基本方針、規程類の策定等

【対応が望ましい事項】

d. 経営陣は、少なくとも１年に２回、以下の報告を担当部署等に求めること。
・ サイバーセキュリティにかかるパフォーマンス指標（KPI）15及びリスク指標（KRI）16

15 KPI の例：標的型メール訓練の報告率、脆弱性対応率、情報資産棚卸進捗率、トレーニング受講率等。
16 KRI の例：サイバー攻撃試行件数、監査指摘件数、インシデント件数、未対応の脆弱性件数等。

---

と書いているところですかね...

もちろん、リスクベースで実施の是々非々は各企業ごとに考えるのでしょうが、やらないならやらない理由を考える必要もあるということになるかもですね。。。

人材についても、どういう人材の確保が必要かということを、書いていますね。。。

色々と参考になりますね...

 

● 金融庁

・2024.06.28 「主要行等向けの総合的な監督指針」等の一部改正（案）及び「金融分野におけるサイバーセキュリティに関するガイドライン」（案）の公表について

・[PDF] 「金融分野におけるサイバーセキュリティに関するガイドライン」（案）

 

　目次...

1. 基本的考え方
1.1. サイバーセキュリティに係る基本的考え方
1.2. 金融機関等に求められる取組み
1.2.1. サイバーセキュリティ管理態勢
1.2.2. 経営陣の関与・理解
1.3. 業界団体や中央機関等の役割
1.4. 本ガイドラインの適用対象等

2. サイバーセキュリティ管理態勢
2.1. サイバーセキュリティ管理態勢の構築
 2.1.1. 基本方針、規程類の策定等 
 2.1.2. 規程等及び業務プロセスの整備
 2.1.3. 経営資源の確保、人材の育成
 2.1.4. リスク管理部門による牽制
 2.1.5. 内部監査
2.2. サイバーセキュリティリスクの特定
 2.2.1. 情報資産管理
 2.2.2. リスク管理プロセス
 2.2.3. ハードウェア・ソフトウェア等の脆弱性管理
 2.2.4. 脆弱性診断及びペネトレーションテスト
 2.2.5. 演習・訓練
2.3. サイバー攻撃の防御
 2.3.1. 認証・アクセス管理
 2.3.2. 教育・研修
 2.3.3. データ保護
 2.3.4. システムのセキュリティ対策
2.4. サイバー攻撃の検知
 2.4.1. 監視
2.5. サイバーインシデント対応及び復旧
 2.5.1. インシデント対応計画及びコンティンジェンシープランの策定
 2.5.2. インシデントへの対応及び復旧
2.6. サードパーティリスク管理

3. 金融庁と関係機関の連携強化
3.1. 情報共有・情報分析の強化
3.2. 捜査当局等との連携
3.3. 国際連携の深化
3.4. 官民連携

---

 

金融庁のサイバーセキュリティに関するページ

・金融分野におけるサイバーセキュリティ対策について

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.22 金融庁 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書

・2023.10.20 金融庁 金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅷ）

・2023.07.07 金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂（案）に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

・2022.02.21 金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）