昨今、規制当局は金融機関に対してサプライチェーンのサイバーリスク管理を強化することを求めており、日本の金融機関も委託先のリスク管理策をアップデートする必要があります。サプライチェーンのサイバーリスク管理を怠ると、情報漏洩やシステム停止といった影響だけでなく、レピュテーションや顧客ロイヤリティなどへの中長期的なビジネス影響が発生する可能性があります。
しかし、金融機関が資本関係のない委託先やその先のサプライチェーン企業に対して、どこまでリスク管理を求めるべきか、効率的かつ実効的に管理するにはどのような手法を採用すべきか、といった課題を持つセキュリティ責任者の懸念が多々生じています。そこでPwCコンサルティング合同会社では、国内金融機関のセキュリティ責任者への示唆を得るために、海外金融機関の有識者に先進事例に関するインタビューを実施しました。
本レポートは、国内金融機関のサイバーセキュリティ責任者に対し、サプライチェーンのサイバーリスク管理に関する海外の先進的な取り組み事例を整理し、日本の金融機関が今後実施すべきアクションを提言としてまとめています。
サプライチェーンのサイバーセキュリティに対して先進的な取り組みを行う海外組織の有識者へのヒアリング結果から、国内企業で採用可能な各フェーズにおける主な推奨事項が以下のように明らかになりました。
フェーズ |
推奨事項 |
委託先、サービスなどの選定時のセキュリティリスク評価 |
・公開情報の収集・分析により企業、サービスなどのセキュリティリスクを評価する。外部の評価サービスを利用することで、評価プロセスを効率化できる場合がある。 |
契約時のセキュリティ評価 |
・委託先や外部のサービスを評価するチームには技術的なセキュリティに明るいメンバーも参画させ、トレンドの脅威シナリオに応じて関連する評価を取り入れる。 ・インシデント発生時やその疑いがある場合を想定し、委託先の責任範囲や報告時限をSLA(Service Level Agreement:サービスレベル合意書)に定める。 |
委託先のリスク管理 |
・高リスクなシステムを取り扱う委託先に対しては、委託先の拠点をオンサイト訪問して確認を行う。 ・再委託を行う場合、再委託先のセキュリティ管理は委託先が実施するよう要求する。それ以降の再委託がある場合も同様に、各委託元が自社への要求と同レベルのセキュリティ管理を実施するよう依頼する。 |
ソフトウェア管理 |
・ソフトウェア構成管理は製品などを導入して徹底し、脆弱性管理につなげる。SBOM(Software Bill of Materials:ソフトウェア部品表)の利用も検討する。 ・オープンソースソフトウェア(OSS)の管理にはツールを活用し、選定時の判断や依存関係の洗い出しなどを効率化する。 |
ハードウェア管理 |
・資産管理を徹底し、ファームウェアの迅速なアップデートが可能な体制を整備する。 ・脅威シナリオベースのセキュリティテストを行う。 |
経営層への報告 |
・セキュリティコストについて、技術用語を多用せず、収益、顧客満足度、評判、顧客ロイヤリティへの影響などを踏まえたビジネス用語で整理し、報告する。 ・サイバーセキュリティリスクを経営層へ報告する経路は組織により最適解が異なるため、リスクベース、金額ベース、ITベースなど、各組織に適した経路を検討する。 その際、CIO(Chief Information Officer)とCISO(Chief Information Security Officer)の利益相反が生じない工夫をする。 |
サプライチェーンを悪用したサイバー攻撃の被害は近年頻繁に確認され、懸念が高まっています。具体的には、標的とする組織を直接狙わずに、セキュリティ対策が比較的手薄な関係組織を踏み台とする攻撃や、幅広く使用されるソフトウェアやハードウェア、サービスのサプライヤーを侵害し、そのユーザー企業に被害をもたらす攻撃などが該当します。IPA(Information technology Promotion Agency:独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威1」の「組織」向け脅威においても、「サプライチェーンの弱点を悪用した攻撃」は、2022年は3位、2023年は2位と高位での選出が続いています。組織の関連先ごとに想定されるサイバーリスクには、以下のようなものが考えられます。
関係先 |
想定されるサイバーリスク例 |
業務委託先 |
・委託先従業員の故意・過失による情報漏洩 ・オンラインサービスの不適切なアクセス制御によるソースコードや知財の窃取、漏洩 ・業務委託先で発生したサイバーインシデントの波及 ・業務委託先を経由した不正アクセス |
調達先 (ハードウェア、ソフトウェア) |
・納品前の段階で組み込まれたバックドアからの不正アクセス ・ソフトウェアアップデートが悪用されマルウェア感染 ・脆弱性を悪用した不正アクセス |
サービスプロバイダー |
・ソフトウェアアップデートが悪用されマルウェア感染 ・脆弱性を悪用した不正アクセス |
オープンソースソフトウェア |
・脆弱性を悪用した不正アクセス ・開発時点での不正なコードの埋め込み |
本調査では、以下のようなサプライチェーンを想定し、金融機関にかかわる有識者を対象にサードパーティなどの1次先、またフォースパーティ以降の関係先のサイバーセキュリティリスクへの取り組みに関する調査を実施しました。
海外金融機関におけるサプライチェーンサイバーリスク管理の最新動向は以下のダウンロードフォームよりPDFをダウンロードしてご覧ください。
サプライチェーンにおけるサイバーリスクとは
本調査のスコープ
G7
欧州
米国
英国
シンガポール
委託先、サービスなどの選定時のセキュリティリスク評価
契約時のセキュリティリスク評価
委託先のリスク管理
ソフトウェア管理
経営層への報告
契約における留意事項
