- 「2022年度の考査実施方針における重点事項とサイバーセキュリティ管理」
日本銀行 森口 孝志 氏/中井 大輔 氏 - 「フォーティネットが提供する金融DX推進におけるセキュリティ対策」
フォーティネットジャパン合同会社 登坂 恒夫 氏/山田 麻紀子 氏 - 「なぜ確実な本人確認と顧客体験の向上の両立が金融DXの成功の鍵を握るのか」
Nok Nok Labs, Inc. 大久保 勇次 氏 - 「サイバーエクスポージャー管理とは〜事例から学ぶ新時代の脆弱性管理~」
テナブルネットワークセキュリティジャパン株式会社 花檀 明伸 氏 - 「つながる時代の脅威~顧客、取引先をサイバー攻撃から守るために取るべき対策~
日本プルーフポイント株式会社 増田 幸美 氏 - 「コンコルディア・フィナンシャルグループにおけるサイバーセキュリティ戦略」
株式会社横浜銀行 佐藤 大悟 氏
「2022年度の考査実施方針における重点事項とサイバーセキュリティ管理」
- 基調講演
【講演者】
- 日本銀行
金融機構局考査企画課長
森口 孝志 氏
-
【講演者】
- 金融機構局システム・業務継続グループ長
中井 大輔 氏
<はじめに>
デジタル化を含め、金融システムを取り巻く環境は変化が続いている。それも踏まえたうえで、本日は考査における重点調査ポイントを紹介する。また、考査とオフサイト・モニタリングの連携強化、金融庁との連携強化などについても触れる。そのうえで、近年重要度の増しているサイバーセキュリティ管理について、留意点や事例などを取り上げながら説明する。
<環境の変化と課題>
考査をめぐる環境の変化としては、「金融・経済のグローバル化の一層の進展等を背景とした、金融機関のリスク・プロファイルの複雑化」「新型コロナ感染症の影響や地政学的リスクの高まり」「脱炭素化やデジタル化への対応など新たな課題」の3つが挙げられる。
1つ目は金融機関自体の変化、2つ目は外生的なリスクの変化、3つ目は金融機関を含む社会・経済全体の在り方に関する変化といえる。
こうした環境の変化のもとで、日本銀行は課題として2つのことを意識している。具体的には、「金融機関の健全性やリスク管理の実態のより迅速かつ継続的な把握」「金融システム全体としての変化のタイムリーな把握」の2つだ。ミクロのレベルで個々の金融機関の実態を把握すると同時に、マクロのレベルで金融システム全体を俯瞰することが重要である。
<考査とオフサイト・モニタリングの一体的運用の強化>
考査は、通常、期間を区切って金融機関への立入り調査を行う(新型コロナの影響もあり、現状は物理的な立入りを原則として控えており、WEB面談等のリモート手法を活用している)。考査には、個々の金融機関について深堀りした調査が行えるというメリットがある。
一方、考査とは別に、継続的なオフサイト・モニタリングも行っている。オフサイト・モニタリングには、業態ごとに横串を刺して全体を俯瞰できるというメリットがある。異なるメリットを有するそれぞれの調査で判明した事項を、相互にフィードバックすることで「木も見る、森も見る」ことが可能となる。これまでも考査部署とオフサイト部署は情報共有の深度を上げたり、共同で調査プロジェクトを行ったりと、一体的運用の強化に努めてきたが、今後も継続的に一体的運用を強化していく。
<金融庁との共同調査の拡充>
金融庁と日本銀行が共通して関心のある重要なテーマについては、通常の考査から切り出して、複数の金融機関に横串を刺す形で共同調査を行っている。具体的なテーマとしては、「一斉ストレステスト」「サイバーセキュリティ管理」「外貨流動性リスク管理」「気候変動シナリオ分析」が挙げられる。共同調査で対象になったテーマは、金融庁検査や日銀考査の際に重複して調査されないので、トータルでみて金融機関の負担軽減につながる。
<2022年度 考査実施の重点項目~収益力・経営体力~>
1つ目のポイントは、「持続可能なビジネスモデル」だ。現状、総じて金融機関は充実した自己資本をもち、金融仲介機能を円滑に行っている。もっとも、人口減少などの構造要因や低金利環境の長期化により、基礎的収益力が低下する方向にある。こうした中、各金融機関は、構造変化や環境変化に対応し、より持続可能性の高いビジネスモデルを構築すべく、収益力の強化や経営効率化、デジタライゼーションの活用などに取り組んでいる。考査においては、それらの状況を点検する。
2つ目のポイントは、気候変動問題関連だ。日本においても気候変動問題に対する金融面の関心が高まっており、TCFD(気候関連財務情報開示タスクフォース)の提言に賛同する金融機関も増えている。考査においても、「気候関連金融リスクの把握・管理」「情報開示の質や量」「取引先企業の脱炭素化の取り組み支援の対応状況」について対話を深める。
<2022年度 考査実施の重点項目~信用リスク~>
新型コロナ感染症の影響も含めた債務者の実態把握ができているか、また、感染症に限らず、物価上昇等の影響により経営支援が必要となる債務者に対して実効的な支援・管理ができているか、といった点を、考査において点検していく。
<2022年度 考査実施の重点項目~市場リスク~>
国内の低金利環境が長期化するもとで、金融機関においては、利鞘確保のためにリスクテイクの積極化・多様化が続いている。考査では、リスクテイクに見合ったリスク管理体制が構築されているかを点検する。足もとでは、米ドル金利上昇などの大きな動きもあるため、特に注意してみていく。また、昨年度には、機関投資家向けプライムブローカレッジ・ビジネスにおいて損失が発生した事例があった。今年度の考査では、このビジネスに関するリスク認識についても点検する。
<2022年度 考査実施の重点項目~オペレーショナルリスク~>
昨年度の考査では、サードパーティやグループ会社における情報セキュリティ管理やクラウド事業者に対する委託先管理などが不十分な事例があったため、今年度も、引き続きこの点について点検する。また、ランサムウェアなど、サイバー脅威が高まっていることを踏まえ、障害・インシデントの未然防止策の有効性および発生時の復旧体制の実効性などを点検する。
< 2022年度における金融庁との連携強化>
金融庁との共同調査は2022年度も継続する。新たな試みとして、地域金融機関のサイバーセキュリティ管理態勢について、金融庁と共同でセルフアセスメントを実施する。このほか、マネー・ロンダリング対策についても、金融庁と問題意識や視点を共有しながら、金融機関における体制整備の状況を点検していく。
<2022年度における考査運営面の取り組み>
現在、リモート手法を活用した、物理的な立入りなしの考査を原則としているが、状況に応じて、部分的に立入りも再開している(リモートと立入りのハイブリット型)。また考査運営面の新たな試みとして、一部の地域金融機関に対して「短期考査」を行う。通常よりも調査範囲を絞り考査期間も短縮化することで、金融機関の負担軽減と考査運営の一層の効率性向上を図る。
以下、中井G長お願いします。
<2022年度のサイバーセキュリティ面の点検ポイント~サイバー脅威動向等の情報収集や情報共有の適切性~>
日常的に報告されるソフトウェア等の脆弱性情報に加え、他産業も含めてサイバー攻撃事例を収集し、自身のITシステムへの影響を確認することが重要だ。また、グループ会社間での情報共有に加え、システムベンダーからの情報提供を待つのではなく、自ら情報収集にあたることが重要だ。
<2022年度のサイバーセキュリティ面の点検ポイント~顧客情報など重要データへのアクセス管理の妥当性~>
近年では、API連携やFinTech(フィンテック)企業とのシステム連携を進める中で、重要な顧客情報を渡すケースがある。必要最低限のアクセス管理となっているか、定期的な検証が必要だ。
<2022年度のサイバーセキュリティ面の点検ポイント~サイバー攻撃への未然防止策と被害抑制策の有効性~>
グループ会社が狙われ、本部のシステムにも影響するケースが見られる。グループ会社のサイバー攻撃への施策も確認する必要がある。脆弱性に対するパッチ適用をベンダー任せにせず、自身で確認・管理することも重要なポイントだ。
<2022年度のサイバーセキュリティ面の点検ポイント~サイバー攻撃からの完全な防御は困難である前提での対策~>
「体制・コンティンジェンシープランの実効性」「演習の実施状況と管理体制の見直し状況」を確認しておきたい。従来、被災想定の多くが自然災害やシステム障害に関するものが中心だった。
一方、サイバー攻撃では、バックアップシステムやデータの利用が困難になる事例があるため、計画的にコンティンジェンシープランの整備を通じて実効性を高めることが大事だ。
<クラウド利用におけるリスク管理面の留意点>
金融機関の責任範囲については自身で適切にリスク管理を行い、クラウド事業者の責任範囲は委託先管理の枠組みで適切にリスク管理を行えば、必ずしもオンプレミスと比べリスクが高い訳ではない。実際に金融機関におけるクラウドサービスの利用は拡大しており、重要度の高い勘定系システムをクラウドに構築するケースも出てきている。
過去のクラウドサービスへの不正アクセスや情報漏えいの多くは、利用者側の設定ミスによるものが大半だ。設定不備による情報漏えい事案として、クラウドベンダー側の機能追加によりアクセス権限の設定が初期化され、外部からのアクセスが可能になったケースがある。「クラウドサービスの仕様変更」によって生じる影響についても、金融機関は十分認識しておくことが重要だ。
クラウドではサービス仕様変更について、WEB告知が一般的であることから能動的に情報収集を行うだけでなく、重要業務の仕様変更を見逃さないためにもマネージドサービスの活用やクラウドベンダーとの特別な契約締結が必要だろう。
「アクセス権限、ネットワークの設定管理」は専門知識が必要となる。自社では対応が難しい場合には、CSPMの利用や第三者の診断サービスの活用も一案だ。「不正な操作や通信に関する監視」について、SaaSの利用においてはリアルタイムでの把握が難しい。事後的に管理できるよう、ログの取得や保存期間を確認しておく必要がある。
「データの管理」においては、データの所在地をデータセンターのリージョン単位で管理しておきたい。暗号化鍵については、生成・利用・廃棄までの流れを管理する。クラウド利用を可視化するCASBを活用するなどして、「シャドーIT対策」も必要だ。
「クラウド事業者の責任範囲」はベンダーごとに異なることから、SOC2レポートや監査報告書等を活用して確認するべきである。極めて重要度の高い勘定システムなどのクラウド事業者に対しては、立入監査権の確保を推奨したい。
クラウドのメリットを享受しつつセキュリティを確保するためにも、「人材の育成」が重要だ。研修の参加や資格取得を奨励して内部人材を育成したり、有識者の派遣を利用するなどして外部人材を採用したりするのも一案といえる。
<さいごに>
サイバーセキュリティの分野では日々新たな攻撃手法が生まれており、従来のモニタリングの内容と非連続的な点があることは、ご容赦いただきたい。皆様との意見交換を通じて、より納得性の高い調査を実現していきたいと思う。
クラウドサービス利用の本格化を検討されている場合、クラウド人材の育成あるいは確保の強化が必要だ。サーバーセキュリティ同様クラウドも進化が著しい分野なので、皆様との意見交換をベースに調査をブラッシュアップしていく所存だ。