クラウド固有リスクやPQ暗号移行も言及 金融庁2025年版ITレジリエンス報告書
finbridge_admin金融庁は6月30日、「金融分野におけるITレジリエンスに関する分析レポート」を公表した。2019年から毎年示してきたシステム障害分析を、地政学リスクとサイバー攻撃の急増を背景に再構成したもので、金融機関のITリスク管理と事業継続の実効性を横断的に検証している。
第2編では、2024年度に発生したシステム障害を分類・分析した。標的型ソーシャルエンジニアリングによる暗号資産流出、委託先発送業者からの顧客情報漏えい、金融機関に対するDDoS攻撃、セキュリティソフト更新不具合、証券口座への不正アクセスによる不正売買など、意図的攻撃と運用起因双方の事例を列挙。サプライチェーンを含む多層的リスクが顕在化し、障害は発生する前提で備える必要性が強調された。
第3編は、2024年10月策定の「金融分野におけるサイバーセキュリティに関するガイドライン」を解説する。経営陣のリーダーシップ、基本対策の徹底、侵入を前提とした対応強化、サードパーティリスク管理、業界全体の共助を五本柱とし、実効性向上の鍵として脅威ベースペネトレーションテスト(TLPT)の活用を推奨。2023〜2024年度に実施されたTLPTを分析した結果、攻撃シナリオの精緻化と経営層への報告体制が有効性を左右するとの示唆が得られた。
クラウド利用が拡大する中、第4編ではパブリッククラウド固有のリスクと留意事項を整理。可用性確保、権限管理、マルチクラウド戦略など、金融機関とサービス事業者が協働して対応すべき論点を提示している。第5編では、改正監督指針に基づくモニタリング結果を基に、オペレーショナル・レジリエンスの先進事例と課題事例を紹介し、ガバナンス、人材投資を含む体制の不断の見直しを求めた。
補論では豊富なシステム障害事例集を収録するとともに、耐量子計算機暗号(PQC)への移行の必要性を解説。さらに、金融庁が日本銀行や金融情報システムセンターと共同で行うサイバーセキュリティセルフアセスメント(CSSA)による地域金融機関の成熟度評価や、情報共有・演習を通じた公助の強化も盛り込まれた。
金融庁は「自助・共助・公助」の枠組みでレジリエンス向上を促進するとし、金融機関の経営層に対し、ITリスクをトップリスクとして位置付け、迅速かつ継続的に対策をアップデートするよう求めている。
添付画像一覧
