金融分野におけるサイバーセキュリティに関するガイドラインとセキュリティ人材育成

2024年10月、金融庁は金融セクター全体のサイバーセキュリティ強化を目的に、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。
これまで監督指針・事務ガイドラインの中に包含されていたサイバーセキュリティに関する記載を独立させ、より詳細なガイドラインとして策定されたものとなっています。
ガイドラインでは、管理態勢（ガバナンス）、リスクの特定、防御、検知、対応、復旧及びサードパーティリスク管理の各項目について、「基本的な対応事項」が126項目、「対応が望ましい事項」が50項目挙げられています。

金融庁は、これらに「一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずること（いわゆる「リスクベース・アプローチ」を採ること）が求められることに留意が必要」としつつ、サイバーセキュリティの強化の促進を各金融機関に求めています。

サイバーセキュリティ対策をとる以前に、サイバーセキュリティに関する情報を収集するうえでもセキュリティに関する知見が求められます。国内では各監督省庁・業界団体が出しているガイドラインを参照、理解する必要があり、米国国立標準技術研究所（NIST）のCybersecurity Frameworkや、国外で事業を行っている場合には、国外のガイドラインも注視する必要があります。
そのうえで対策を策定するとなると、組織におけるサイバーセキュリティ体制の整備、グループ企業やサードパーティのリスク管理等のスキルが求められる一方で、高度化する攻撃に備え、システムに関する高度に技術的な知識も求められます。

専門的な内容については、外部の専門家からの情報を得たり、業務委託したりする必要もありますが、自社の状況を把握し、組織的な対応を取っていくためには、社内のセキュリティ人材の育成も大切です。金融庁では2023年4月に公表した「オペレーショナル・レジリエンス確保に向けた基本的な考え方」において、高度IT人材の獲得に向けた人事制度についても議論しています。
大和総研では四半期ごとに、IT関連の業務に従事する方が押さえておくべきセキュリティに関する政策・法制度の動向、インシデント等について、冊子を刊行しています（※１）。自社の人材育成の一助にぜひ利用ください。

• （※１）DIR SOC Quarterly

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。