預金取扱金融機関を対象としたCSSAは今後他業態に展開へ

　初のCSSAとなった今回は、日本銀行と金融庁、さらにはFISCによる共同調査の形態を採った上で、地域金融機関におけるサイバーセキュリティ対応態勢の自己診断を目的に、地銀99先、信用金庫254先、信用組合145先を対象に実施された。

　なお、本件調査ではメガバンクは対象外とされたが、メガバンクでは、かねて米国版CSSAとも言うべき米連邦金融機関審査会議（FFIEC）が公表する「Cybersecurity Assessment Tool（CAT）」に基づく自己診断がすでに実施されてきたことが理由であろう。

　FFIECのCATに興味をお持ちの諸氏は、金融庁の受託研究としてNTTデータ経営研究所の筆者らのチームが米国にて実施した調査結果が金融庁Webサイトにおいて公表されているので、別途参照いただきたい。

　なお、今回の調査では預金取扱金融機関のみが対象とされたが、すでに金融庁ではサイバーセキュリティ演習（Delta Wall）がほぼすべての業態が参加する中で実施されており、各業態に共通する課題も数多確認されていることもあり、来事務年度以降、預金取扱金融機関以外の業態、具体的には証券、保険業態にも展開するとしている。

　証券、保険業向けには多少なりともCSSAの設問項目のカスタマイズが必要であり、預金取扱金融機関向けとは異なる要件となることには留意いただきたい。

金融当局が認識する2つの課題

　本レポートは21ページからなるが、通底する当局の認識課題は大きく2つに整理できる。1つはサイバーセキュリティ人材の確保・育成である。地域金融機関における主要システムの開発・運用は、業態毎に提供される共同システムに集約されてきた。

　主として各金融機関における各種費用の削減を目的とした取組みの結果でもあるが、この過程において、かつて金融機関内部で抱えられていたシステム人材に期待されてきた機能の多くが共同システム側に（人材とともに）移管されることとなったのは事実だ。

　そのため、現在の地域金融機関におけるシステム部門（事務管理部門）は、規制当局のルール変更などを踏まえた新たな業務要件の定義や共同システムのモニタリング、さらには必要な場面における意思決定、といった「業務寄りの機能」が中心となっている。

　エンジニア色の濃い人材はすでに金融機関側には数少ないのが実態であり、こうした人材が担うべき機能は共同システム側に依存しているのだ。

人材コスト削減から積極的な人的投資へ

　他方、共同システム側も原則として金融機関の意思決定に基づく開発・運用を実施しているというのが本音であろう。

　すなわち、技術色の濃いテーマともなるサイバーセキュリティの要件や実装レベルなどは、金融機関側でコントロールのイニシアティブを握る必要があり、これを実現するためには高度IT人材を内部で確保しない限り、金融庁が期待する「現状の評価」はおろか、「課題の特定」もままならない可能性がある。

　かねて金融庁はFISCを通じてサイバーセキュリティ人材の確保に関するガイドラインを公表するなど、こうした実態へ警鐘を鳴らしてきた。ただし、サイバーセキュリティ人材を外部から確保するにしても、すでに市場では当該人材の奪い合いの様相を呈しているのが実態で、一般的なIT人材に比して高給で処遇する必要もある。

【次ページ】クラウド利用につきまとうサードパーティリスク