金融庁が2024年10月4日に制定した、銀行・保険・証券・資金決済など広範な「金融機関等」を横断的に対象とするサイバーセキュリティの監督上の着眼点集。従来の監督指針等(システムリスク管理規定)を補い、ガバナンス・特定・防御・検知・対応・復旧・サードパーティリスク管理を一貫した枠組みで具体化した、より詳細な実務基準である。
概要
根底にある問題意識は、サイバーインシデントによる業務中断が顧客に大きな影響を与え、金融機関ひいては金融システム全体の信頼を毀損しかねない「経営課題」だという点にある。したがってサイバーセキュリティはIT・システム部門だけで確保できるものではなく、経営陣の主体的関与のもと、企画・広報・コンプライアンス・リスク管理・監査など各部門が連携する組織全体のガバナンスとして構築することを求める。内容は各論点ごとに、一般的に実施すべき「基本的な対応事項」と、規模・特性に応じて参照すべき「対応が望ましい事項」の二層で記載される。一律の水準を課すのではなく、自らのリスクを評価して優先順位をつける「リスクベース・アプローチ」を前提とし、形式的遵守ではなく実質的・効果的な対応を期待する。グループを形成する場合は海外拠点を含め整合的な態勢を整える必要がある。
ガイドラインの位置づけと基本的な考え方
銀行・生命保険・損害保険・証券・資金決済の各分野は、サイバーセキュリティ基本法上の重要インフラ事業者に指定されており、サービスを安定的・適切に提供する責務を負う。本ガイドラインは、この責務と各業法(業務の健全かつ適切な運営の確保)を背景に、監督指針等とは別に策定された、より詳細な指針である。対象は主要行等、中小・地域金融機関、保険会社、金融商品取引業者、資金移動業者、暗号資産交換業者、清算・振替機関等、金融商品取引所など、監督指針等にサイバーセキュリティ管理の定めがある広範な「金融機関等」に及ぶ。
最大の特徴は二層構造である。基本的な対応事項は、IT資産の適切な管理やパッチ適用など、いわゆるサイバーハイジーンとして一般的に実施する必要のある基礎的事項を指す。一方対応が望ましい事項は、地域社会・経済に大きな影響を及ぼしうる先で実践が望ましい取組みや、海外当局・金融機関との対話で把握した先進的取組みなど、大手金融機関や主要な清算・振替機関等が参照すべき優良事例である。いずれも一律対応を求めるものではなく、各社が事業環境・経営戦略・リスク許容度を踏まえてリスクを特定・評価し、重要性・緊急性とリソース制約に応じ優先順位をつけて低減措置を講じることが眼目となる。金融庁の検査・モニタリングもこのリスクベースの観点で行われる。
経営陣の役割と責務
本ガイドラインは経営陣の関与を繰り返し強調する。取締役等の役員は会社法・各業法上の責務を負うため、規模・特性やリスクに照らして管理態勢が不十分なことに起因して自組織や第三者に損害が生じた場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得るとされ、サイバーセキュリティは「経営責任が問われかねない問題」と明示される。これが現場任せを許さない根拠である。経営陣・取締役会等に求められる主な事項は以下のとおり。
- 基本方針の策定:取締役会等がサイバーセキュリティを組織全体のリスク管理の一部と位置づけ、対策の目的・方向性、関係主体(顧客・地域社会・株主・当局等)や法規制への対応、経営陣のコミットメントを盛り込んだ基本方針を定める。
- 年次レビュー:管理態勢について少なくとも年1回(必要に応じ外部専門家を含む)レビューし、十分な検証・議論を行う。担当部署には年1回以上、リスク状況・リスク評価結果・取組計画の進捗を報告させる。
- 体制と責任者:早期警戒のための情報収集・共有・分析体制、SOC等の監視体制、報告・広報体制やCSIRT等の危機管理態勢を整備し、統括責任者(CISO等)を経営陣の責任で任命する。役割・責任・権限を明確化し、退職・異動でも知見が途切れない人員配置を行う。
- 戦略・取組計画:基本方針に基づき、具体的施策・スケジュール・実施体制を含む戦略と取組計画(複数年計画を含む)を策定し、年次および重要な変更時に見直す。
- DXとの同時推進:新たな金融商品・サービスの導入やDX推進にあたっては、企画・設計段階からセキュリティ要件を組み込むセキュリティ・バイ・デザインを同時に進める。
- 資源配分と人材:専門人材の配置と必要予算の配分、人材育成計画(採用・教育研修・訓練、退職者の代替育成を含む持続可能な人事政策)を整備する。経営陣自らも研修・訓練に積極的に参加する。
望ましい事項としては、3線防衛態勢、リスク選好度(リスクアペタイト)と耐性度(リスクトレランス)の設定、取組みの対外公表、CISOが経営トップに日常的に直接レポートできる立場の確保などが挙げられる。ここでいう「重要な業務」とは、中断が金融機関の業務・利用者・金融システムに著しい悪影響を及ぼすおそれのある金融サービスを指し、対策の優先順位づけの起点となる。
管理態勢の全体像:特定・防御・検知・対応・復旧
第2節は管理態勢を「特定・防御・検知・対応・復旧」の機能で整理し、各機能に基本的・望ましい対応事項を割り当てる。まず全体像を示す。
| 機能 | 主眼 | 求められる主な取組 |
|---|---|---|
| 特定 (Identify) | 守るべき資産と弱点の把握 | 情報資産の台帳化・重要度分類、脅威/脆弱性情報の収集分析、年1回以上のリスク評価、脆弱性診断・ペネトレーションテスト |
| 防御 (Protect) | 侵入・被害の未然防止 | 多層防御、最小権限・多要素認証、教育研修、暗号化・改ざん耐性バックアップ、セキュリティ・バイ・デザイン |
| 検知 (Detect) | 攻撃の早期発見 | アノマリ/IoC監視、IPS/IDS、クラウドの監視、SIEM・24時間365日監視(望ましい) |
| 対応 (Respond) | 被害の最小化と統制 | 攻撃種別別の対応計画、トリアージ・封じ込め・根絶、当局報告、金融ISAC/JPCERT等への共有 |
| 復旧 (Recover) | 重要業務の早期再開 | コンティンジェンシープラン、RTO/RPO・復旧水準、原因対応確認後の再開、事後の態勢見直し |
特定(Identify)
守るべき対象と弱点を把握する機能である。情報資産(情報システム・外部サービス、ハードウェア・ソフトウェア、データ、ネットワーク)をライフサイクルに沿って管理し、重要度(機密性・完全性・可用性)で保護の優先度を分類する。これらやサポート期間・バージョン、データフロー図・ネットワーク図を台帳化して最新状態を網羅的に把握する(望ましい事項としてシャドーIT特定やソフトウェア部品表(SBOM)整備)。あわせて脅威・脆弱性情報を公的機関・情報共有機関・サードパーティから収集・分析し、少なくとも年1回(重大な脅威・脆弱性の判明時や新商品提供時にも)リスクを評価する。評価では境界防御の突破や内部不正も考慮し、結果に基づきリスク対応計画(回避・軽減・受容・移転)を策定する。脆弱性管理では深刻度・重要度に応じた対応期限とパッチ適用実績を管理し、外部公開サイト・モバイルの脆弱性診断を定期実施する。望ましい事項として、本番環境で防御側に予告せず行う脅威ベースのペネトレーションテスト(TLPT)が示される。
防御(Protect)
境界・内部・情報漏洩対策を組み合わせた多層防御が基本である。アクセス管理では権限を必要最小限に絞り、職務分離・アカウント棚卸を行い、特権アカウントや重要システムへのリモートアクセスには多要素認証を用いる。なりすまし対策としてメール送信ドメイン認証(SPF/DKIM/DMARC)も求められる。教育・研修は経営陣を含む全役職員、サードパーティ担当者、さらに顧客への注意喚起にまで及ぶ。データ保護では重要度に応じた分類・暗号化・鍵管理・媒体管理を行い、バックアップは隔離・整合性検証・復旧テストを伴う。特にランサムウェア攻撃を想定し、改ざん耐性バックアップやネットワークから切り離した複数環境での保管が明記される。システム面では必要機能のみの構成、サポート切れ(EOL)の計画的更改、マルウェア対策、ログ管理、企画段階からのセキュリティ・バイ・デザイン、境界の分離やファイアウォール、クラウドの責任共有モデル理解と設定ミス点検が求められ、望ましい事項としてネットワークセグメント細分化によるラテラルムーブメント(水平移動)の阻止が挙げられる。
検知(Detect)
攻撃の端緒を早期に捉える機能である。アノマリ(異常値)やIoC(侵害の痕跡)を監視・分析・報告する手続を整備し、責任分界に応じてクラウドも監視対象に含める。対象は、未承認機器・ソフトウェアや改ざん・不審挙動、IPS/IDSによる不正侵入やDDoSの異常、役職員や外部委託先(保守等)の不審なアクセス、データセンターへの物理的出入りにまで及ぶ。端緒がインシデントに該当するかを影響範囲・重要度を含めて分析し速やかに責任者へ報告するとともに、アラート基準・閾値の妥当性を定期検証する。望ましい事項として、おとりアカウント・サーバの活用、24時間365日の常時監視、SIEMによる相関分析が示される。
対応・復旧(Respond / Recover)
攻撃種別ごとに対応計画とコンティンジェンシープラン(復旧計画を含む)を策定し、対応の優先順位・目標復旧時間(RTO)・目標復旧水準を定める。対応はトリアージ、証跡保全に基づく分析、顧客対応・連携・広報、封じ込め、根絶、復旧の各フェーズからなり、復旧時は原因への対応を確認してから業務を再開し、事後に態勢を見直す。運用面の詳細は次節で扱う。
サードパーティ/委託先管理
外部委託・クラウド・API連携への依存が増し、サプライチェーンが拡大・複雑化する中、その由来のインシデントで多大な影響を受ける事例が生じている。本節もリスクベースの対応を前提に、サプライチェーン全体を考慮した態勢整備を求める。方針の策定、一元的な統括部署の設置と役割・責任の明確化、規程の整備を行ったうえで、サードパーティを特定し、自組織業務での位置づけ・役割・重要度、重要情報の取扱い、システム接続状況を踏まえてリスク評価し、リスクに応じた対応をとる。
- 台帳整備:名称、提供する商品・サービス、自組織システムへのアクセスレベル、保持・処理するデータの種類・機密性・所在を管理項目とする台帳を維持する。
- デューデリジェンス:取引開始時に、潜在的リスクや脆弱性、求めるセキュリティ要件の充足状況、過去のインシデント対応状況を評価する。第三者保証報告書や第三者認証の活用も含む。特に重要なサードパーティには管理態勢・対応計画・コンティンジェンシープランも評価する。
- 契約・SLA:役割分担・責任分界、監査権限、再委託手続、実施すべきセキュリティ対策、インシデント発生時の対応・報告、脆弱性診断や演習の実施、データの所在・保管・移転・廃棄、契約終了時の取決め、外部評価等を明記する。
- 継続管理と出口戦略:リスクの重大性に応じて契約履行状況を継続モニタリングし、取引終了時のデータ廃棄・アクセス遮断を整備する。望ましい事項として、集中リスク・地政学リスク・フォースパーティ(再委託先)の考慮、撤退・契約終了に備えた代替手段のテストと出口戦略が挙げられる。
あわせて、サードパーティ側も金融機関が必要な情報を利用できるようにする支援を行うべきとされ、金融当局は業法に基づき外部委託先への報告徴求命令や立入検査の権限を有する点も示されている。
インシデント対応・コンティンジェンシープラン・演習・情報共有
対応・復旧の運用面を担う中核である。対応計画とコンティンジェンシープランは、DDoS・Webサイト改ざん・マルウェア/ランサムウェア・脆弱性の悪用・不正送金など攻撃種別ごとに策定する。望ましい事項として、決済インフラの障害やデータセンター・クラウド等のサードパーティが長期間利用できない大規模インシデントに備えたプランの整備も求められる。
- 初動と分析:監視・顧客問合せ・外部組織からの連絡でインシデントを検知し、トリアージのうえCISO・経営陣へ報告する。分析は事前にログ等の証跡を保全したうえで行い、対応の経緯を記録する。
- 顧客対応・報告・公表:二次被害のおそれがある顧客へ影響範囲・対処法を伝達し、法令等に従い規制当局へ速やかに報告する。必要な場合は判明事実を適切かつ速やかに公表する。
- 封じ込め・情報共有:通信遮断やシステム停止は判断権限者を事前に明確化し、封じ込めと証拠保全のいずれを優先するかを状況に応じて判断する。攻撃者のTTP(戦術・技術・手順)など他機関にも有効な攻撃技術情報は、機密情報を除いて金融ISACやJPCERT/CC等に共有する。
- 演習・訓練:対応計画とコンティンジェンシープランの実効性を定期検証する。経営陣・CISO・業務部門の責任者が自ら関与し、顧客に深刻な影響を与えうる現実的なシナリオで実施する。望ましい事項として、実機を用いた復旧訓練でのRPO/RTOの妥当性確認、金融システム全体に波及する大規模シナリオ、業界横断・当局主催の演習の組合せが挙げられる。
3線防衛と態勢の継続的高度化
態勢は作って終わりではなく、平時から能動的に見直すことが求められる。リスク管理部門は業務部門から独立した立場で態勢の有効性を監視・牽制し、リスク管理担当役員(CRO等)や取締役会に報告する。内部監査部門は、必要に応じ外部専門家を活用しつつリスクベースで監査計画を策定し、整備・運用状況、対応・復旧、法規制遵守、サードパーティリスク管理を対象に監査を行い、重要な指摘は遅滞なく代表取締役・取締役会へ報告して改善状況を把握する。継続的改善として、リスク評価プロセスと管理態勢の有効性を少なくとも年1回評価・改善し、演習・脆弱性診断・監査・実インシデントから得た教訓を反映する。さらにKPI・KRIを測定・評価して経営陣に報告する仕組みを整えることで、変化し続ける脅威に追随する循環を回す。
- サイバーセキュリティは善管注意義務違反・損害賠償責任に直結しうる経営課題であり、本部長自身が基本方針・複数年の取組計画・年次レビュー・演習に主体的に関与する必要がある。CISOの任命とリソース配分は経営の責任で行い、現場任せにしない。
- 限られた予算はリスクベースで配分する。「重要な業務」を特定して優先順位をつけ、まずサイバーハイジーン(基本的な対応事項)を全社で徹底したうえで、規模・特性に応じてTLPT・24時間365日監視・SIEM等の「望ましい事項」を段階的に導入する。
- 新サービス・API連携・クラウド移行は企画・設計段階からセキュリティ要件を組み込む「セキュリティ・バイ・デザイン」を徹底する。クラウドは責任共有モデルを正しく理解し、設定ミスの点検を運用に組み込む。
- 委託先・クラウド・API連携先を台帳で可視化して重要度を評価し、デューデリジェンスと契約・SLAでインシデント報告・監査権限・データ取扱い・出口戦略を担保する。集中リスクや再委託(フォースパーティ)まで視野に入れる。
- インシデントは「起こり得る」前提で備える。攻撃種別別の対応・コンティンジェンシープランを整備してRTO・復旧水準を定め、ランサムウェア対策として改ざん耐性・オフラインのバックアップを確保する。経営陣も参加する実戦的演習で実効性を検証し、金融ISAC・JPCERT/CC等との情報共有を活用する。