金融サービスの高度化やオンライン取引の一般化に伴い、金融機関が直面するセキュリティリスクは年々増大しています。こうした状況を受け、金融庁は2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を定め、各金融機関が確保すべき最低限の対応水準と望ましい取り組みを示しました。
本記事では、ガイドラインの概要と対応策のポイントについて解説します。
金融分野におけるサイバーセキュリティに関するガイドラインの概要
本ガイドラインは、金融機関のサイバーセキュリティ体制を強化するための指針を示しています。ここでは、ガイドラインの目的や適用対象、基本構成について解説します。
公表の背景と目的
ガイドラインが公表された背景には、サイバー攻撃が高度化・巧妙化し、従来の監督指針では十分に対応できなくなった状況があります。あわせて、金融機関ごとにセキュリティ対策の水準にばらつきがあり、業界全体としての対応力向上が課題となっていました。
こうした状況を受け、金融庁は金融機関が最低限守るべき基準と、実施が望ましい高度な対策を整理しました。その結果、金融システム全体の安全性と耐久性を高めることを目的としたガイドラインが策定されました。
適用対象
本ガイドラインは、金融分野に関わる多様な事業者を対象としています。銀行や証券会社、保険会社に加え、クレジットカード会社や決済サービス事業者、暗号資産交換業者も含まれています。
さらに、事業規模にかかわらず、メガバンクから地方金融機関、信用金庫、中小規模の金融関連事業者まで幅広く想定されています。そのため、各事業者は自社の体制や保有するリソースに応じて、適切な形でガイドラインを運用することが求められます。
ガイドラインの基本構成
ガイドラインは、以下の3部構成で整理されています。
- 第1節「基本的考え方」
ガイドラインの策定意図や、リスクベース・アプローチの採用といった根幹となる考え方を定めています。 - 第2節「サイバーセキュリティ管理態勢」
金融機関が実務として取り組むべき内容を網羅的にまとめた、本ガイドラインの中心となる部分です。 - 第3節「金融庁と関係機関の連携強化」
金融庁やCSIRT、ISACといった関係機関との情報共有・連携に関する事項を定めています。
このうち中心となるのは第2節で、金融機関が実務として取り組むべき内容が網羅的にまとめられています。
本ガイドラインは、技術的な進化や環境変化に応じて柔軟に更新されることを前提とした構成になっており、時代に合ったセキュリティ対策を整備できるようになっている点も特徴です。
リスクベース・アプローチの採用
本ガイドラインの特徴のひとつに、リスクベース・アプローチを採り入れている点があります。この考え方では、すべての金融機関に同じ対策を求めるのではなく、事業規模や提供するサービス、想定されるリスクの大きさなどを踏まえて、必要な対策水準を判断します。
金融機関ごとに業務内容や扱う情報、サービスの重要性は異なります。そのため、画一的な対応ではなく、状況に応じた対策が重要になります。リスクベース・アプローチを取り入れることで、過度な負担を抑えながら、見落としのない適切なセキュリティ体制を整えやすくなります。
ガイドラインで求められる対応策のポイント
本ガイドラインの第2節では、取り組むべき対応について「基本的な対応事項」と「対応が望ましい事項」に分けて示されており、合計で約176項目に及びます。ここでは、「基本的な対応事項」と「対応が望ましい事項」のポイントについて、それぞれ解説します。
ポイント①サイバーセキュリティ管理態勢
- 基本的な対応
企業が適切なセキュリティ対策を実施するためには、まず経営層がセキュリティを経営課題として明確に位置づける必要があります。そのうえで、基本方針を策定し、CISOなどの責任者を任命して、人的・予算的リソースを確保します。これにより、組織として一貫したセキュリティ管理が可能になります。
- 望ましい対応
体制の有効性を維持・向上させるため、内部監査や外部レビューを定期的に実施し、課題を把握して改善につなげていくことが望まれます。
ポイント②サイバーリスクの特定
- 基本的な対応
セキュリティ対策の前提として、組織が保有するシステム、データ、外部サービスなどの情報資産を正確に把握し、資産台帳を整備する必要があります。そのうえで各資産の重要度を評価し、特に保護すべき領域や業務の優先順位を明確にすることで、効率的で漏れのないリスク管理が可能になります。
- 望ましい対応
変化する脅威環境に対応するために、脅威インテリジェンスの活用や、最新の攻撃手法やトレンドを踏まえたリスクの見直しをを継続的に実施することが望まれます。
ポイント③サイバー攻撃の防御
- 基本的な対応
攻撃を未然に防ぐために、多要素認証(MFA)の導入やアクセス権限の適切な管理が求められます。また、パッチ未適用のまま放置される脆弱性は攻撃者に悪用されやすいため、定期的な更新作業を確実に行う必要があります。さらに、従業員へのセキュリティ教育を継続的に実施し、ヒューマンエラーによるリスクを減らすことも重要になります。
- 望ましい対応
ゼロトラストは一般論として有効な考え方ですが、金融庁はパブコメ結果で、ガイドラインにゼロトラストの考え方を明示していないと説明しています。一方で、境界防御が突破されるリスクや内部不正なども考慮し、内部ネットワーク上のシステムもリスク評価の対象に含めるといった観点が示されており、侵入を前提とした対策が重要になります。
ゼロトラスト技術については、以下の記事で詳しく解説しています。あわせてお読みください。
次世代のセキュリティモデルとして注目されるゼロトラスト技術、SDPとZTNAの違いとは?
ポイント④サイバー攻撃の検知
- 基本的な対応
インシデントを早期に発見するために、ログの取得・保管・分析を適切に行う体制を整える必要があります。また、SIEMなどの分析ツールを活用し、組織全体のセキュリティイベントを一元的に監視することで、異常な挙動を見逃しにくくなります。
- 望ましい対応
インシデントの早期発見に向けて、継続的な監視体制を整えることが求められます。ガイドラインでは、対応が望ましい事項として、顧客サービスの提供内容を踏まえた常時監視(24時間365日)を挙げています。こうした監視を実現する手段として、SOC(セキュリティ監視センター)の設置や外部委託の活用も選択肢になります。
ポイント⑤サイバーインシデント対応および復旧
- 基本的な対応
インシデント発生時に混乱を避けるためには、IRP(インシデント対応計画)や BCP(事業継続計画)を事前に整備しておくことが不可欠です。さらに、これらの計画が実際に機能するかどうかを確認するため、定期的に演習や訓練を行い、改善につなげることが求められます。
- 望ましい対応
ランサムウェア対策として、バックアップデータを本番環境から物理的または論理的に分離して保管することが望まれます。
ポイント⑥サードパーティのリスク管理
- 基本的な対応
外部ベンダーやクラウドサービスを利用する場合、サプライチェーン全体のリスクを把握し、契約段階で必要なセキュリティ要件を明確にしておく必要があります。あわせて、運用開始後も継続的に状況をモニタリングし、リスクの変化を把握しておくことも重要です。
- 望ましい対応
サプライチェーン全体のセキュリティレベルを保つため、契約条項において外部ベンダーへ自社と同等以上のセキュリティ水準を求める内容を盛り込むことが望まれます。
サプライチェーンのセキュリティについては、以下の記事で詳しく解説しています。あわせてお読みください。
サプライチェーンを狙う攻撃が増加中!企業が今すぐ始めるべきセキュリティ対策とは
2025年7月の改正 について
2025年7月4日に、ガイドラインの一部が技術的・形式的な整理のために改正されました。ここでは、改正の背景や内容について解説します。
改正の背景
この改正は、サイバー対処能力強化法の整備に伴い、関連する組織名称や制度構造が更新されたことによるものです。改正は形式的なものであり、ガイドラインが求める具体的なセキュリティ水準や管理態勢に大きな変更はありません。すでにガイドラインに沿った取り組みを進めている金融機関にとって、追加の大規模な見直しは不要とされています。
改正の内容
改正内容としては、旧・内閣サイバーセキュリティセンター(NISC)が「国家サイバー統括室」へ改組されたことに伴い、名称や引用先の更新が行われました。それ以外の管理態勢やリスク管理、サードパーティ対応、インシデント対応などの骨格は変更されていないため、金融機関の実務に大きな影響はありません。
ガイドラインを活用し継続的な改善を
金融庁が発表した金融分野におけるサイバーセキュリティに関するガイドラインは、金融分野が確保すべきサイバーセキュリティの最低基準と、より高度な取り組みの方向性を示した重要な指針です。
デジタル化が進む中で、金融機関はガイドラインを活用しながら、継続的な改善と体制強化を進めていくことが求められます。