- 会員限定
- 2023/12/15 掲載
「障害を念頭に」、金融庁が公開した「内部システム監査」に必要な視点とは?
大野博堂の金融最前線(68)
記事をお気に入りリストに登録することができます。
昨今、金融機関にまつわるシステム障害が相次いで発生しており、利用者の利便性に影響を与える例も少なくない。こうしたシステム障害の原因はおおよそ少数特定のものに帰結する傾向にある。過去の障害原因などを通じて得られる示唆も多いため、主要な障害発生原因などをひも解きながら、その対応策を整理した。
93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。飯能信用金庫非常勤監事。東工大CUMOTサイバーセキュリティ経営戦略コース講師。宮崎県都城市市政活性化アドバイザー。
(Photo/Shutterstock.com)
金融機関のシステム障害の傾向
2023年6月に金融庁が公表した「金融機関のシステム障害に関する分析レポート」では、2022年度に発生したシステム障害の傾向などが示されている。
(出典:金融庁「金融機関のシステム障害に関する分析レポート(令和5年6月))
金融業態全体的な傾向をみると、「管理面・人的要因」と「ソフトウェア障害」による障害が全体の約7割と太半を占めていることがわかる。
「管理面・人的要因」と「ソフトウェア障害」
「管理面・人的要因」による障害とは、すなわち、外的要因ではなく内部的要因により障害が引き起こされた事例である。金融庁が確認している事例としては、以下2点などが認められたとしている。
▽有識者が適切にアサインされなかった
▽システム開発部門とシステム運用部門の連携ミス
- 設計の各段階やテスト工程におけるレビューそのものの時間が不足していたり、レビューに必要な観点が網羅性を欠いていたことなどで、設計時の誤りを検出できず、障害を発生させた事案
▽システム開発部門とシステム運用部門の連携ミス
- 開発部門と運用部門との間で認識の相違や意識齟齬(そご)が生じ、誤った認識の下で作業を実施し、結果的に障害を発生させた事案
他方、「ソフトウェア障害」については以下のような報告がなされている。
▽設計時の考慮不足
▽有識者が適切にアサインされなかった
- 設計段階で合理的且つ安全な閾値などの設定を怠ったり、誤った設定を行うなどし、その前提仕様でプログラムをコーディングした結果、ソフトウェア障害を引き起こした事案
▽有識者が適切にアサインされなかった
- 対象業務あるいはソフトウェア開発に精通する有識者が適切に配置されなかったことから、テスト時のレビューの観点の網羅性が不十分なものとなり、その結果、必要なテストケースを実施しなかったことに起因するソフトウェア障害などを生じさせた
「設計時の考慮不足」「有識者が適切にアサインされなかった」ことにとより、結果的にATMやIB(インターネットバンキング)の障害が発生したという。
サイバー攻撃など、外部起因のリスクにより生じた障害
内部的因子から生じた障害事例ばかりでなく、サイバー攻撃など、外部起因のリスクにより生じた障害についても2021年度に続き多数報告されている。金融庁が毎年金融行政方針に言及しているとおり、以下2点などが継続して発生している。
▽外部委託先への不正アクセスによる顧客情報の漏えい事案
▽外部委託先を含む金融機関へのDDoS攻撃により、金融機関のWebサイトの閲覧ができなくなる事案
▽外部委託先を含む金融機関へのDDoS攻撃により、金融機関のWebサイトの閲覧ができなくなる事案
重要な外部委託先も含めたサイバーセキュリティ対策などの整備状況の把握およびその実効性の検証といったオペレーショナル・レジリエンスの確保・向上が必要であることがわかる。
そのうえで金融庁は、「IT資産の適切な管理や不審メール受信時の対応といった基本的な対策を実施するための態勢整備」が引き続き課題であるとしている。
要は高度な技術的対策を物理的に実装するのみならず、いわゆる非物理的対処としての職員の対応や組織だった連携態勢の構築が必要だということだ。 【次ページ】金融業界横断的なサイバーセキュリティ演習
関連タグ
関連コンテンツ
あなたの投稿
PR
PR
PR
