明確化された「規程および業務プロセスの整備要件」

　ガイドラインの基本的な対応事項として、経営陣は、サイバーセキュリティに関する規程および業務プロセスを整備し、少なくとも1年に1回見直しを行うこと、とされた。

　さらに、サイバーセキュリティに関連する規程に含める事項につても以下のとおり明記されたことが興味深い。

＜関連規程に含めるべき事項＞

• 情報資産管理
• リスク評価
• 脆弱性管理
• 脆弱性診断及びペネトレーションテスト（侵入テスト）
• 演習・訓練
• 認証・アクセス管理
• 教育・研修
• データ管理
• ログ管理
• セキュリティ・バイ・デザイン
• 技術的対策（物理的セキュリティ、ネットワークセキュリティ等）
• インシデント対応及び復旧
• サードパーティリスク管理

　上記のほとんどの項目は、これまで金融庁が「金融分野におけるサイバーセキュリティ強化に向けた取組方針」および、2年前から開始された「サイバーセキュリティ・セルフアセスメント」（CSSA）の中で点検項目・管理項目として取り上げられてきたものばかりである。


　すでに金融機関では旧金融検査マニュアルの時代から、金融機関を取り巻くあらゆるリスクへの対応指針を示した「BCP」と、大規模システム障害などへの備えとしてシステムに特化BCPである「IT-BCP（CP）」がマニュアルとして整備されてきた。

　このうち、サイバーセキュリティに特化したIT-BCPの1つの手順として位置づけられるのが、「サイバーセキュリティ対策マニュアル」といった名称で整備されているドキュメントだ。

　ここでは関連規程に盛り込まれるべき要素として「インシデント対応及び復旧」とあり、まさにこれが該当する。すでに全国の信用組合では共通的なサイバーセキュリティ対策マニュアルが整備済であり、地銀や信用金庫の多くで独自のマニュアルが用意されており、特段の目新しさはない。

　ただし、ガイドラインの他の項目での要件などに照らし合わせれば、こうした既存のマニュアルや規程類についても、年に1度の見直しが必要、と解釈されるので注意が必要だ。 【次ページ】リスクベース・アプローチ（RBA）の要件が示したメッセージ