{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
ニューヨーク州金融サービス局(New York State Department of Financial Services:NYDFS)は2023年11月、サイバーセキュリティ規制(23 NYCRR Part 500)の改正版を正式に適用しました。本稿では、NYDFSサイバーセキュリティ規制の改正版の概要について解説します*1。
NYDFSサイバーセキュリティ規制の概要
本規制の対象となるのは、ニューヨーク州で銀行法、保険法または金融サービス法に基づく免許、登録、定款、証明書、許可、認定または類似の認可の下で事業を営む事業者、または営むことを要求される事業者です。なお、ニューヨーク州に本社・拠点がある場合に限定されると考えてしまいがちですが、ニューヨーク州で金融サービスを提供している全ての金融サービス企業が対象となるため、本社・拠点がニューヨーク州にない場合でも、NYDFSの許認可を得てサービスを提供している限り、対応の義務が生じる可能性があります。
NYDFSサイバーセキュリティ規制の改正版の構成
本規制の構成は、図表2のとおりです。規制は25個の項目で構成されていますが、法律的文言や定義を省いた実質的なセキュリティ規制に係る項目は、項番500.02から500.17の16項目となります。また各項目に含まれるセキュリティの要求事項数は全部で75件あり、なかでも500.03のサイバーセキュリティポリシーが最も多く14件。次に500.02のサイバーセキュリティプログラムと500.11の外部委託先に対するセキュリティポリシーがともに9件です。
主な変更点の概要
NYDFSが発表した主な変更点は、図表3に記載した5点です。リスクや実態に応じて要求事項を定義し、取締役会や委員会などの監督機能を含むガバナンス要件の強化が求められたほか、侵入を前提とした内部環境の対策強化となるサイバーハイジーン*2の強化や被害発生時の対応・復旧のための実効性確保を含むセキュリティの高度化や教育に関する事項が強調されているのが特徴です。
①追加的な対応が要求される重要な企業、本規制から免除される企業に関する区分の追加
本規制により、追加的な要求事項を課せられる「クラスA企業」*3という区分が追加されました。また、本規制から免除される中小企業の水準が引き上げられました。
クラスA企業は従前より本規制の対象となっていた企業のうち、一定規模以上の企業が該当します。サイバーセキュリティの確保が社会インフラとしてより重要な、一定規模以上の企業に追加的な対応を要求するために、クラスA企業の分類が導入されました。したがって、本規制が適用される企業のうち、クラスA企業ではない企業に要求されるサイバーセキュリティ管理が簡素化されたり、軽減されたりするわけではありません。
クラスA企業には本規制の通常の対象企業に要求される事項に加えて、下記のようなクラスA企業特有の事項が求められます。
- リスクアセスメントの結果に基づいて決定された頻度で、サイバーセキュリティプログラムの独立した監査を実施
- 以下を含む特権的アクセス活動のモニタリング
(1)特権アクセス管理ソリューション
(2)一般的に使用されるパスワードを自動ブロックする機能の実装、またはCISOによる少なくとも年1回、実行不可能であることおよび合理的に同等またはより安全な代替管理の使用に関する書面承認
- ラテラルムーブメントを含む異常な活動の監視のためのエンドポイント検出のほか、応答ソリューションの実装や、ロギングとセキュリティイベントのアラートを一元化するソリューションの実装
ただし、ニューヨーク州において金融サービスを提供している企業のうち、特定の条件を満たす中小規模の企業については、例外的に本規制の一部の要求事項が免除されます*4。
②サイバーセキュリティに対する経営者の関与の強化および取締役による監督機能の強化
CISO・役員は、より深く現場を管理監督し、監査当局であるNYDFSへの説明責任を果たすことが求められますが、本規制により、CISO、上級統治機関、取締役会・委員会に対応が求められる事項が追加されました。
本規制により新たに定義される上級統治機関とは、「対象事業者の取締役会(またはその適切な委員会)または同等の統治機関、またはそのいずれもが存在しない場合、対象事業者のサイバーセキュリティプログラムに責任を負う対象事業者の上級役員」を指します。そして本規制により、上級統治機関に相当する上級役員による所定の対応の内容や頻度が具体化されました。
NYDFSへの説明責任を果たすため、経営層にはより強固なオーナーシップを持ったサイバーセキュリティへの関与が求められます。また、CISOが上級統治機関に対して、「重要」な不備に関する是正計画やサイバーセキュリティに関する「重要」な問題について報告を行うことが求められます。なお、本規制は「重要」な不備や問題を明示的に定義していないものの、組織として重要な不備や問題を識別できるよう、重要性の定義を確立する必要があると考えられます。
加えて、企業はサイバーセキュリティイベントが発生したと判断した際、判断時点から72時間以内にNYDFSに通知する必要があります。また、NYDFSからの要求に応じて情報提供を実施する義務を負います。特に第三者のサイバーセキュリティイベントに関しても自社への影響が識別される場合には、当局への通知および情報提供が必要です。また、身代金支払時には、支払から24時間以内にNYDFSに通知し、支払から30日以内に「支払いが必要だった理由」「検討した支払いの代替案」「支払いの代替案を見つけるために行った全ての努力」「外国資産管理局を含む適用される規則や規制を確実に遵守するために行った全ての努力」について書面で説明することが求められます。
③侵入されることを前提としたセキュリティの高度化
多様化するサイバー攻撃への備えとして、内部からの不正アクセスや不正プログラムの侵入を前提としたセキュリティの高度化が要求されます。
セキュリティ高度化が新たに要求されるポイントは、「1.認証」「2.アカウント管理」「3.リモートアクセス」「4.モニタリング」「5.暗号化」に集約されます。下図のシステム構成例において各ポイントを図解しています。
「1.認証」については、業界水準を満たすパスワードポリシーの導入に加えて、クラウドを含む第三者から提供されるアプリケーションや自社システムへのリモートアクセス時、特権アカウントによるアクセス時に多要素認証を実施することを新たに求めていることが特徴です。「2.アカウント管理」については、全アクセス権の定期的な見直しが少なくとも年1回以上求められ、また特権アカウントの制限、退職後のアクセス権の速やかな削除も明示的に求められるようになりました。「3.リモートアクセス」の項目は新たに本規制に追加されました。リモートアクセスに関するポリシーおよび手順の文書化、プロトコルの適切な設定も求められます。「4.モニタリング」については、内部ネットワークへの侵入後のラテラルムーブメントの監視をクラスA企業への具体的な要求事項に含めている点に特に注目する必要があります。加えて、悪意のあるコードからシステムやデータを保護する管理策の整備も新たに求められるようになります。「5.暗号化」については、例えばTLS1.3など、業界で標準とされている水準に沿って暗号化を実装することが求められることと想定されます。こうした内外環境を含めたサイバーハイジーン*5の確保はNYDFSのみならず日本を含む多くの当局が取り組みを促しており、本規制への対応に関わらず強化すべき共通的なテーマとなっています。
④危機管理に関する手順の策定、資産目録の作成、脆弱性管理手法・頻度の具体化
インシデントや事業継続に関する危機対応では、計画を文書化し、未然に資産を特定し、より具体化された頻度・手法によりテストを実施することが求められています。特に脆弱性管理に係る手順の策定、追加の観点を含んだインシデントレスポンスプラン、事業継続・災害復旧(Business Continuity and Disaster Recovery Plan:BCDR)計画の策定が要求されています。また、新たに資産目録の作成も求められています。
加えて、年2回の実施が求められてきた従来の脆弱性診断の要求事項が更新されました。具体的には、少なくとも年1回、独立した有資格者によって境界内外からのペネトレーションテストを行う必要があります。また、リスクアセスメントの結果に応じた頻度での脆弱性のスキャンが求められるようになります。
⑤セキュリティ教育に含めるべき具体的項目の追加
セキュリティ教育をより実践に即した形で実施するため、教育に関する要求事項が詳細になり、またBDCR計画に関する研修の実施も求められるようになりました。
教育の内容にはソーシャルエンジニアリングの訓練を含めることが求められます。ソーシャルエンジニアリングとは、人間の「脆弱性」を突く攻撃手法を指します*6。具体的には社内の人員を装った者からのメールなどの攻撃に対応する訓練が対応事例として考えられます。
BDCR計画に関する研修については、BCDR計画の実施に責任を持つ全従業員を対象とし、役割や責任に応じた対応計画を理解させるための教育が求められます。
今後日本の金融サービス企業に求められる対応
本規制の更新事項を踏まえ、今後日本の金融サービス企業に求められると対応についてまとめます。
1. 対応が必要な要求事項の特定およびスケジューリング
Q. 自社がクラスA企業に該当するか、自社が対応すべき要求事項について把握していますか。 A. まず、自社がクラスA企業に相当するかどうかを確認したうえで、順守が必要な要求事項を特定し、対応優先度の決定とスケジューリングを行うことが重要です。クラスA企業に分類される場合は、より高度な要求事項が追加的に課されるため、まずはクラスA企業に該当するか否かの確認が欠かせません。そのうえで、必要な要求事項を特定し、影響度の大きい要求事項から優先度を考慮して対応するスケジュールを決定することが必要です。 クラスA企業に分類される場合、「主な変更点の概要①」に記載のとおり、ラテラルムーブメントを含む異常な活動を監視するためのエンドポイント検出のほか、応答ソリューションの実装、ロギングとセキュリティイベントのアラートを一元化するソリューションの実装などが2025年5月1日までに求められています。そのためには、監視対象を定める必要があり、先んじて情報資産管理台帳を整備することが不可欠です。このように、タイムラインに合わせて他の要求事項との優先度を考慮しながら対応を進めることが重要と考えられます。 特に重要と考えられる事項と期日について下記のフロー図にまとめましたので、参照ください。 |
参考:PwC US 'Time’s up! New York cyber changes are final’ (December 2023)
2. 重要性の定義
Q. 重要性に基づいて対応することが求められる項目について、重要性を定義・説明できるように準備を進めていますか。 A. 本規制で対応が必要な要求事項の一部には、重要性の定義が必要な場合があることに言及しました。そうした事項は、サイバーセキュリティの観点で重要性を明確に定義し、文書化することが肝要です。また、日本の金融サービス企業の中には複数の事業体からなるグループ制を採用している企業も数多くあります。そうした企業は銀行・証券会社などの構成主体ごとに重要性の定義が異なることに特に留意する必要があります。例えば、グループ本体と銀行が本規制の対応を主導する場合、証券会社など他の事業体が重要と考えている対象を見逃してしまうような事態を避けなければなりません。 |
3. サイバーセキュリティインシデント通知関連のコンプライアンスの強化
Q. 外部委託先でサイバーセキュリティインシデントがあった場合も含め、本規制で求められるNYDFSへの通知フローを所定の期日までに実行できるように準備を進めていますか。 A. 本規制の対象となる企業は所定の期日までにNYDFSにインシデントを通知する必要があります。特に今回の改定で追加された、自社に影響のある第三者起点でのインシデントについても、発生を認識した時点から72時間以内にNYDFSに通知できるよう、外部委託先との円滑な情報連携や当局連携部署との調整を行い、迅速に当局へ通知できるフローと体制を整備する必要があります。 |
4. 利害関係者との調整
Q.自社内の要員や外部の関係者は、本規制の更新に伴うセキュリティの高度化などの要求事項に対応できますか。 A. 本規制はさまざまな利害関係者に影響を及ぼします。例えば、「主な変更点の概要②」についてはCISOや上級統治機関などの経営層の関与が必要であり、「主な変更点の概要③」のセキュリティの高度化では、委託先も巻き込んだ対応が発生する場合があります。加えて、内部の関連部署との連携の必要性や、BDCR計画のトレーニングを含めた従業員教育などへの広がりを踏まえて、セキュリティ部門内だけで自社の対応が完結するものではないことに留意すべきです。 |
5. CEOによる準拠証明書署名に伴っての証拠収集力の向上
Q. CEOは準拠証明書に署名するうえでコンプライアンスに対する心証を得られる準備を行っていますか。 A. 本規制ではCEOが準拠証明書に署名する際にデータや文書といった客観的な証拠をもとにコンプライアンスに対する心証を得ることが求められており、証拠収集に関するガバナンスの関与が重要になると考えられます。CEOはコンプライアンスに関する署名を受動的に行うのではなく、データや文書化された証跡をもとにコンプライアンスの心証を得る必要があると想定されます。加えて、その前提としてルールや手順の文書化を行うことや、統制の有効性を担保するために文書化された証拠を収集可能な形で保全することにも注意が必要と考えられます。 |
*1 本コラムは下記のNYDFS規制(Part 500)を基に作成しています。規制に関する詳細は下記リンクを参照ください。https://www.dfs.ny.gov/industry_guidance/cybersecurity
*2 PwCのサイバーハイジーンサービスについては下記のリンク先の記事をご参照ください。
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/cyber-hygiene.html
*3 クラスA企業は下記の(1)を満たし、かつ(2)または(2)’のいずれかを満たす企業と定義されています。
(1)対象事業者およびその関連会社の本州での事業運営による過去2事業年度の年間総収入が2,000万米ドル以上
(2)従業員(所在地に関係なく、対象事業者とその全ての関連会社の従業員を含む)の数が過去2会計年度の平均で2,000人を超える
(3)所在地に関係なく、対象事業者とその全ての関連会社の全ての事業活動における年間総収入が、過去2会計年度のそれぞれにおいて100万米ドル以上
*4 下記の条件を満たす中小企業に限り、例外的に所定の申請により一部要求事項の免除対象となることがあります。
(1)個人契約社員を含み、20人未満の社員で構成されている事業者
(2)直近3年間の各会計年度において、対象事業者の全ての事業活動とその全ての関連会社の本州における全ての事業活動の年間総収入が7500万米ドル未満の事業者
(3)一般に認められた会計手法に従って計算し、全ての関係会社の試算を含め、年度末の総資産が1,500万米ドル未満の事業者
*5 PwCのサイバーハイジーンサービスについては下記のリンク先の記事をご参照ください。
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/cyber-hygiene.html
*6 ソーシャルエンジニアリングの特徴を整理した記事として下記があります。
https://www.pwc.com/jp/ja/knowledge/journal/security-new-age07.html
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
