【2025年最新】金融機関のサイバーセキュリティガイドライン完全解説 | サードパーティリスク管理の重要ポイント
2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を策定し、金融機関等におけるサイバーセキュリティ対策の強化を促しました。このガイドラインは、金融機関の経営および金融システム全体の安定に関わる喫緊の課題として位置付けられています。
本記事では、金融分野におけるサイバーセキュリティガイドラインの概要、特にサードパーティリスク管理に関連する部分に焦点を当て、金融機関等が対応すべき事項について解説します。
ガイドラインの概要
本ガイドラインは、金融機関等が直面するサイバーリスクに対応するため、以下の3つの節で構成されています。
1. 基本的考え方
サイバーセキュリティに関する基本的な考え方、情報共有機関および業界中央機関の役割、本ガイドラインの位置付けおよび監督上の対応について記載しています。ガイドラインでは、サイバーセキュリティ対策は「費用」ではなく「投資」として捉えるべきという観点が示されています。
2. サイバーセキュリティ管理態勢
ガバナンス、リスクの特定、防御、検知、対応、復旧、サードパーティリスク管理に関する着眼点を規定し、それぞれについて「基本的な対応事項」および「対応が望ましい事項」を明確化しています。NISTのサイバーセキュリティフレームワークを参考にしており、国際的な標準との整合性を図っています。
3. 金融庁と関係機関の連携強化
情報共有・分析の強化、捜査当局等との連携、国際連携の深化、官民連携の推進に関する基本的な考え方を述べています。特に、サイバーセキュリティ対策は単独の金融機関では完結せず、業界全体での協力体制が重要であることが強調されています。
サードパーティリスク管理における対応事項
ガイドライン第2.6節「サードパーティリスク管理」では、金融機関等が外部委託先やクラウドサービス提供者などのサードパーティに起因するサイバーセキュリティリスクを適切に管理するため、以下の対応事項が示されています。
1. サードパーティの特定とリスク評価
基本的な対応事項
- サードパーティおよびその提供する商品・サービスが自組織の業務における重要度を評価
- 重要情報の取扱い有無、組織内システムへの接続状況などを考慮したリスク評価の実施
- サードパーティのリスク評価を踏まえた優先順位付けと管理方針の策定
対応が望ましい事項
- サードパーティの上流調達先(サプライチェーン)も含めたリスク評価
- リスクに応じた階層的なアセスメント手法の採用
2. 契約時のセキュリティ要件の明確化
基本的な対応事項
- サードパーティが遵守すべきサイバーセキュリティ要件を契約に明記
- 役割分担、責任範囲、監査権限、セキュリティ対策レベルの明確化
- インシデント発生時の通知義務と対応プロセスの取り決め
- データ管理方法と契約終了時のデータ消去・返却に関する取り決め
対応が望ましい事項
- 定期的な脆弱性診断や侵入テストの実施権限の確保
- 共同での演習・訓練の実施に関する取り決め
- 再委託に関する詳細な手続きと管理方法の規定
3. 継続的なモニタリング
基本的な対応事項
- リスクの重大性に応じた継続的なモニタリング体制の構築
- サードパーティのセキュリティ対策の有効性評価
- 契約で定めた要件の履行状況の定期的な確認
対応が望ましい事項
- 自動化されたモニタリングツールの活用
- サードパーティの財務状況や組織変更など、間接的にセキュリティに影響を与える要素の監視
- 業界内でのサードパーティに関する情報共有への参加
金融セクターのサプライチェーンサイバーリスク
金融庁は「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」も公表し、ICTサプライチェーンのリスク管理の重要性を強調しています。この報告書では以下の点が指摘されています。
1. ICTサプライチェーンの複雑化
金融サービスのデジタル化に伴い、直接契約しているサードパーティだけでなく、その先のサプライチェーン(Nth-party)まで含めたリスク管理の必要性が高まっています。特に、オープンソースソフトウェアの脆弱性や、ハードウェア部品の供給途絶などのリスクが顕在化しています。
2. 集中リスクへの対応
多くの金融機関が同一のクラウドサービスやITベンダーに依存する「集中リスク」が高まっています。特定のサードパーティでインシデントが発生した場合、金融システム全体に波及するリスクが指摘されています。
3. リスク管理の高度化への期待
サードパーティの共同評価や業界標準の確立、デジタルサプライチェーンマネジメント(DSCM)の導入など、効率的かつ効果的なリスク管理の高度化が期待されています。
実務上の対応ポイント
ガイドラインを踏まえた実務上の対応ポイントとして、以下が挙げられます。
1. サードパーティの包括的な把握
- システム関連だけでなく、業務委託先や物理的なアクセス権を持つ業者なども含めた包括的な把握
- 重要度に応じた分類と管理レベルの差別化
2. リスクベースアプローチの徹底
- 全てのサードパーティを同じレベルで管理するのではなく、リスクの大きさに応じたリソース配分
- 高リスクのサードパーティに対する重点的な監査・モニタリングの実施
3. サードパーティリスク管理の自動化・効率化
- 管理ツールやプラットフォームの活用による効率化
- API連携などによる情報収集の自動化とリアルタイムモニタリング
4. 業界内の情報共有と連携
- 金融ISAC(Information Sharing and Analysis Center)などの情報共有機関への積極的な参加
- 共通のリスク評価基準や評価結果の共有による業界全体の効率化
継続的なモニタリングと改善で金融システム全体の安定・信頼性を確保して健全は発展へつなげることが重要
金融分野におけるサイバーセキュリティガイドラインは、金融機関等が直面する高度化・複雑化するサイバーリスクに対応するための枠組みを提供しています。特にサードパーティリスク管理については、金融機関の業務やシステムの外部依存度が高まる中、重要な管理領域として位置付けられています。
金融機関等は、本ガイドラインに基づき、サードパーティとの関係性の多様化と依存度の高まりを認識し、サイバーセキュリティリスクの管理体制を整備することが求められます。継続的なモニタリングと改善を行うことで、金融システム全体の安定性と信頼性を確保し、最終的には利用者保護と金融市場の健全な発展につなげることが重要です。
Lens RMでは、金融機関向けのサードパーティリスク管理ソリューションを提供しており、ガイドラインへの対応を支援しています。金融分野特有の規制要件に対応したサービスについて、お気軽にお問い合わせください。