サイバーレジリエンスの構築に向けた推進上のポイント―オペレーショナルレジリエンスにおけるサイバーリスクへの対応―

影響許容度の設定におけるポイント

オペレーショナルレジリエンスでは、顧客、利害関係者（株主など）、市場全体の重要なビジネスサービスという視点から、妥当な影響許容度（Impact tolerance）を設定できているかが重要と考えられます。影響許容度は、ビジネス側から出てくるもので、現実的に甘受可能な許容水準を検討・設定することが求められます。サイバーの観点では、非現実的な「zero tolerance」に必ずしも拘泥するのではなく、想定されるサイバー攻撃などによる影響が、その影響許容度に収まるよう対策を行っていく必要があります。対策を行う中で、ポイントとなるのが目標復旧時点（Recovery Point Objective：RPO）と目標復旧時間（Recovery Time Objective：RTO）です。

「地震」や「感染症」などの被災シナリオを想定し、2014年に日本銀行金融機構局が金融機関に対して実施した「業務継続体制の整備状況に関するアンケート調査」の結果によると、優先復旧する「重要業務」のうち、特に、最優先で復旧する「重要業務」のRTOは、外国銀行・外国証券・国内大手銀行では、9割以上が「4時間以内」と回答しています^*8。しかしながら、ランサムウェアなどサイバー領域の脅威シナリオにおいては、この目標が現実的ではない場合も考えられるため、サイバー領域固有の観点からの対策や検討が必要となります。

影響許容度の範囲に収まるRPOを実現するためには、重要業務を適切に見極め、バックアップ対象のデータの選別、バックアップ頻度、バックアップの取得形式（フルバックアップ、増分バックアップ、差分バックアップなど）、バックアップの保存先（論理的・物理的なネットワークからの分離方法を含む）などを検討してバックアップを行うことが重要です。

海外の先進的な金融機関では、バックアップがランサムウェアなどによって暗号化されたことを人工知能（AI）や機械学習（ML）によって検知する機能が搭載されたソリューションをバックアップツールとして導入することで、ランサムウェア感染の疑いがあるユーザのファイルアクセスを速やかにロックアウトすると共に、汚染されていないバックアップデータとして一番最新のリストアポイントを速やかに把握できるようにしています。

影響許容度の範囲に収まるRTOを実現するためには、定期的なシナリオテストによる対応力の高度化を継続的に行うことが重要です。海外の先進的な金融機関では、復旧までに要する時間がビジネス上設定されたRTOを満たせないことを想定した対応として、重要なビジネスサービスを顧客に継続して提供できるよう、第三者へ対応を依頼するなどの代替手段の導入を進めています。

またランサムウェア感染時におけるインフラの代替を実現するソリューションとして、Infrastructure as Codeを使用して、攻撃を受けた後に従来と同等の環境を迅速にクラウド上に再現できるようにしている事例もあります。このように最新のテクノロジーをうまく活用することも、オペレーショナル・レジリエンスを実現する上で大きなポイントになっていくと考えられます。

シナリオテストの実施におけるポイント

シナリオテストを実施する際には、深刻かつ起こり得るシナリオを検討することがポイントです。国内の事例では、独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」^*9にて2021年から4年連続で一番の脅威になっているランサムウェア感染をシナリオとして想定している事例が見られます。この事例におけるランサムウェア感染の被害レベルとしては、社内の重要システムに感染の疑いがあり、広範囲にわたって重要性の高い業務の継続に影響が出る場合を想定しています。シナリオテストの実施では、システム的な影響が理解できるシステム担当者のみならず、業務（顧客）への影響も考慮し、業務側の担当者も含めたテストを実施することを予定しています。

海外の先進的な金融機関では、サイバーリスクシナリオとしてランサムウェア感染、サードパーティへのサイバー攻撃など、複数のシナリオを用意してシナリオテストを実施しています。またサイバー攻撃を受けた際にサイバーセキュリティ担当者、システム担当者、法務担当者などがそれぞれ講じるべき対策や、どのように対応するべき事項をまとめた「Cyber Recovery Playbook」を用意しています。Cyber Recovery Playbookの詳細については、「Cyber Recovery Playbookの必要性 ―サイバーインシデント発生時の迅速な対応の実現に向けて―」にて解説しています。

参考文献

*1：Bank of England, 2021, PS6/21 | CP29/19 | DP1/18 Operational Resilience: Impact tolerances for important business services, 2024/4/1閲覧,
https://www.bankofengland.co.uk/prudential-regulation/publication/2018/building-the-uk-financial-sectors-operational-resilience-discussion-paper

*2：FCA, 2017, Operational Resilience, 2024/4/1閲覧,
https://www.fca.org.uk/firms/operational-resilience#revisions

*3：Bank of England, 2023, Cyber risks and operational resilience: getting prepared − speech by Elisabeth Stheeman, 2024/4/1閲覧,
https://www.bankofengland.co.uk/speech/2023/october/elisabeth-stheeman-speech-at-the-london-school-of-economics-conference

*4：BCBS, 2021, Principles for operational resilience, 2024/4/1閲覧,
https://www.bis.org/bcbs/publ/d516.htm

*5：CPMI and IOSCO, 2016, Guidance on cyber resilience for financial market infrastructures, 2024/4/1閲覧,
https://www.bis.org/cpmi/publ/d146.htm

*6：金融庁, 2023, オペレーショナル・レジリエンス確保に向けた基本的な考え方, 2024/4/1閲覧,
https://www.fsa.go.jp/news/r4/ginkou/20230427/02.pdf

*7：金融庁, 2023, 地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果（2022年度）, 2024/4/1閲覧,
https://www.fsa.go.jp/news/r4/cyber/20230418.html

*8： 日本銀行金融機構局, 2015, 業務継続体制の整備状況に関するアンケート（2014年9月）調査結果, 2024/4/1閲覧,
https://www.boj.or.jp/research/brp/ron_2015/data/ron150123a.pdf

*9：独立行政法人情報処理推進機構（IPA）, 2024, 情報セキュリティ10大脅威 2024, 2024/4/1閲覧,
https://www.ipa.go.jp/security/10threats/10threats2024.html