{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
金融分野で深化するサプライチェーン・サイバーリスクマネジメント(金融庁)
2023-04-03
サプライチェーン・サイバーリスクマネジメントの注目度が高まっています。その背景には、企業が複数社とのコラボレーションやDX(デジタルトランスフォーメーション)に取り組むにあたり、外部との連携を前提としたビジネススタイルへの変革や、企業システムのクラウド化を推進していることが挙げられます。本鼎談では金融庁総合政策局リスク分析総括課においてサイバーセキュリティ対策に取り組む齊藤剛氏をお迎えし、金融機関におけるサプライチェーン・サイバーリスクマネジメントの概況と、金融庁の具体的な取り組みについて伺いました。(本文敬称略)
登壇者
金融庁
総合政策局 リスク分析総括課
サイバーセキュリティ対策企画調整室 室長
齊藤 剛 氏
PwCあらた有限責任監査法人
パートナー
綾部 泰二
PwCあらた有限責任監査法人
ディレクター
小林 由昌
(左から)綾部 泰二、齊藤 剛 氏、小林 由昌
グローバルで危機感が高まるサプライチェーン・サイバーリスク
綾部:
近年は企業への攻撃の入り口として、セキュリティ対策が弱いサプライチェーン先が狙われています。サプライチェーン全体の複雑化に伴うサイバーセキュリティリスクに対し、金融庁ではどのような取り組みをされているのでしょうか。
齊藤:
金融機関が導入しているシステムやソフトウェアの構成は、複雑化の一途をたどっています。そのような状況においては、サードパーティに対する依存度が高まり、サプライチェーンに内在するサイバーリスクも高くなっています。
こうしたリスクの変化に対して金融庁は、「金融分野におけるサイバーセキュリティ強化に向けた取組方針Ver. 3.0」や、金融庁の年次計画である「金融行政方針」などを公表し、金融機関に対応を促しています。
また、グローバルでもサードパーティやサプライチェーンに対するサイバーリスクの関心は高まっています。「G7サイバー・エキスパート・グループ(Cyber Expert Group)」は2022年10月に、「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」(以下、「G7基礎的要素」)の改訂版を公表しています。
改訂前の文書では、サードパーティに対するサイバーリスクだけが注目されていました。しかし今回の改訂版では、ICTサプライチェーンに内在するサイバーリスクにも焦点が当てられています。なお、G7の議論には日本の金融庁も含めた、G7各国の金融当局が参加しています。
金融庁 総合政策局 リスク分析総括課 サイバーセキュリティ対策企画調整室 室長 齊藤 剛 氏
PwCあらた有限責任監査法人 パートナー 綾部 泰二
サプライチェーンの脅威シナリオにみる、対策の課題と解決策
綾部:
サプライチェーンのサイバーリスクが顕在化した事例のうち、齊藤さんが注視されている事例はありますか。
齊藤:
実際に日本で発生した事例を2つ紹介します。1つ目は委託先が管理しているシステムの脆弱性が攻撃され、業務が停止した事例です。2つ目は深刻な脆弱性が公表された際に、影響を受けるシステムやソフトウェアの特定が困難だったことから、迅速な対応ができなかった事例です。金融機関が導入しているシステムやソフトウェアの構成は複雑化が進んでいますから、こうした事例は今後も発生する可能性があると考えています。
綾部:
サプライチェーン・サイバーリスクとして想定されるシナリオは複数ありますよね。例えば「システム開発委託での脅威シナリオ」は開発を委託したシステムのコードに脆弱性があり、本番稼働後にそれが顕在化してしまうものです。また「OSS(Open Source Software)の脅威シナリオ」は、システムやソフトウェアの構成要素の把握が困難になったことに起因する脅威です。そのほか、「マネージドサービスの利用時の脅威シナリオ」や「ソフトウェア・ハードウェアの製品調達時関連の脅威シナリオ」などが挙げられます。
サプライチェーンにおけるサイバーリスクのマネジメントで“厄介”なのが、脅威シナリオが1次先だけではなく、その先の関連企業もマネジメントの対象になることです。ただし、現実的にこうした関連企業の情報を直接収集することはできないため、リスクの可視化は困難な状況です。こうした“n次先”の関連企業に対しては、どのような管理が必要だとお考えでしょうか。
齊藤:
先ほどご紹介したG7基礎的要素では、サードパーティの台帳に、提供する機能・サービスだけではなく、サードパーティのアクセスレベル、データの機密性や場所の情報を盛り込むことを推奨しています。そして、そうした情報を踏まえて重要なサードパーティを特定し、必要なサイバーセキュリティ要件の遵守を求めていくことを推奨しています。
また、サードパーティのリスク評価は、契約前のリスク評価だけではなく、契約期間中にも継続的にリスクを評価するよう推奨しています。具体的には、セキュリティ要件が守られているかを評価するために立ち入り調査を行ったり、第三者によるセキュリティ評価を行ったりすることなどを要求しています。
さらに、サードパーティとの契約に自社が求めるセキュリティ水準として、技術的な対策はもちろん、脆弱性管理やデータの保管場所とその方法、インシデント報告、再委託先の管理といった要件を盛り込むことも推奨しています。
加えて、サードパーティのサイバーリスク管理だけではなく、サプライチェーンのサイバーリスク管理も考慮する必要があります。例えば、重要なハードウェア・ソフトウェアを調達する際には、サイバーセキュリティの観点も織り込まねばなりません。
ユースケースで考える、1次先契約時に金融機関が押さえておくべき留意点
小林:
ここからは、具体的な管理アプローチについて深掘りしていきます。2つの具体的なケースを想定しました。
1つ目は、マネージドサービスプロバイダーが提供するSOC(Security Operation Center)サービスを、金融機関が専用線接続する形式で利用するケースです。マネージドサービスプロバイダーはサービスを提供するにあたり、必要なハードウェアやソフトウェア機器を自前で調達し、脆弱性管理などを含めて運用管理をしています。また、金融機関から集めたログは、分析や保管のためクラウドサービスを利用しデータを格納しています。さらに、このプロバイダーはSOC機能の機能開発をするために、2次先に委託しています。かなり複雑なケースです。
2つ目は、金融機関が契約し、用意したIaaS(Infrastructure as a Service)上に委託開発が新しいアプリケーションを構築するケースです。アプリケーションの開発には3次先までの委託企業を使い、さらに開発するアプリケーションの一部にはOSSの利用も想定しています。
いずれもあり得るケースかと思いますが、金融機関がn次先までを直接管理することは難しいですよね。これらの場合、1次委託先を選定して契約する段階、あるいは定期的な点検・評価を行う段階において、金融機関はどのような点に留意すべきでしょうか。
齊藤:
1つ目のケースはG7基礎的要素が参考になると考えます。G7基礎的要素では重要なサードパーティの特定に関して、サードパーティのサプライチェーンリスクの評価を行うことを推奨しています。また、同書では金融機関だけではなく、サードパーティに対しても金融機関のサイバーリスク管理要件を認識すべきであり、サードパーティも自らのサードパーティ管理のために基礎的要素を参考にすべきだと指摘しています。
2つ目のケースでは、委託先におけるアプリ開発の状況や委託先のサプライチェーンをスコープに入れて、企画段階からセキュリティの観点を組み込んで開発を進めるという、セキュリティ・バイ・デザインの実践が重要ですよね。
さらに言えば、サイバーリスク対応はIT部門やシステム開発部門だけが行うものではありません。各事業部門やリスク管理部門を含めた組織的な対応が必要です。例えば、外部との連携サービスでセキュリティ・バイ・デザインを実践するには、企画部門や外部委託先管理部門などとの連携が必要です。
綾部:
今後は外部に依存する割合もますます高まるでしょうし、サプライチェーンのリスク管理は簡単ではないと思います。定型化された点検票の確認に留まったり、2次先以降との関係性を意識しなかったりする場合は、リスクの識別や管理は困難になると考えますが、いかがでしょうか。
齊藤:
サードパーティ自身のサプライチェーンに関するサイバーリスクも考慮に入れる必要がありますね。形式的なチェックに留まらないように、リスクや重要性に応じた対策を検討することが必要だと考えます。
PwCあらた有限責任監査法人 ディレクター 小林 由昌
(左から)綾部 泰二、齊藤 剛 氏
グローバルにおけるレジリエンス強化の潮流と日本の動向
小林:
サイバー脅威が高まり、サプライチェーンの複雑化が進む昨今の現状を考えると、 インシデントの発生を前提とした対策や準備が非常に重要ですよね。グローバルではその対策として、サイバーレジリエンスやオペレーショナル・レジリエンスに係る規制を強化する動きが見られます。
例えば、EUでは2022年11月に「デジタル・オペレーショナル・レジリエンスに関する規制(Digital Operational Resilience Act)」法案が採択されました。これは、欧州の金融機関に対するデジタルセキュリティに関する統一的な規制を強化すると同時に、金融分野で活動する重要なICTプロバイダーをオペレーショナル・レジリエンスやサイバーレジリエンスの観点から金融当局が規制することを可能にする法律です。また英国政府も2022年7月、議会に対して同様の法案を提出しています。
日本の金融分野においても、こうした規制強化の動きはあるのでしょうか。
齊藤:
金融庁は2022年12月、「オペレーショナル・レジリエンス確保に向けた基本的な考え方(案)」というディスカッションペーパー(たたき台レポート)を公表しています。また2022年6月には「金融機関のシステム障害に関する分析レポート」も公表しています。これらのレポートではサードパーティ・リスクやサプライチェーンの複雑化を踏まえ、外部からの侵入やインシデント発生を前提としたうえで、サイバーハイジーンの徹底とレジリエンス強化の重要性を指摘しています。
また、インシデント対応への備えとしては、サードパーティやサプライチェーン経由のインシデントも想定したシナリオベースのリスク評価や、具体的なシナリオ下での訓練および演習の実施を含めたインシデント対応計画が必要だと思います。サードパーティやサプライチェーンのセキュリティ対策の重要性が高まっていることを踏まえ、金融庁主催のサイバーセキュリティ演習である「Delta Wall」では、今事務年度は金融機関のインシデントだけではなく、外部委託先への攻撃を想定した、より高度なシナリオを用いて実施しました。
綾部:
諸外国ではサイバーインシデントが発生した際の当局への報告ルールについて、サプライチェーン・サイバーリスクを踏まえて見直しが進められています。日本の金融分野におけるサイバーインシデントの報告ルールは、現状どのようになっているのでしょうか。
齊藤:
金融機関の顧客や業務に影響がある場合はもちろん、サイバー攻撃により障害が実際に発生していなくても、顧客や業務に影響が生じる可能性が高いと認められる場合には、速やかに報告することが求められます。また、発生要因が金融機関自身であっても、またはサードパーティ・サプライチェーン由来であっても、金融機関経由で報告を求めることにしています。
複雑化するサプライチェーン・サイバーリスク対応へのポイント
綾部:
お話を伺って、改めてサプライチェーン・サイバーリスクマネジメントは奥が深く、考慮すべき点が多い、また今後も変化するテーマだと再認識しました。最後にまとめをお願いできますか。
齊藤:
サードパーティ・サプライチェーンの拡大と複雑化に伴い、サイバーリスクへの対策が以前にも増して求められています。そのため、まずはサードパーティに対するリスク管理の枠組みにサイバーセキュリティの視点が組み込まれているかを確認する必要があります。加えて、ハードウェア・ソフトウェアの調達を含めて、サプライチェーンのサイバーリスクもリスク管理の視野に入れる必要があります。その際、サードパーティ・サプライチェーンのサイバーインシデントが顧客・業務に与える影響の重大さやリスクを踏まえ、対策をとることが必要となります。
また、サードパーティ・サプライチェーン経由のサイバーインシデントの発生を想定しておく必要もあります。IT部門だけではなく、関連部署や委託先が参加して演習を実施するなど、サードパーティ・サプライチェーンを考慮したインシデント対応の備えがインシデント対応能力の強化には有効です。
綾部:
金融庁はサプライチェーン・サイバーリスクマネジメントを重要な課題と認識し、さまざまな取り組みをされていることを理解しました。本日はありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
