DX推進下で金融機関に期待されるITガバナンス

　金融庁は2019年、「金融機関のITガバナンスに関する対話のための論点・プラクティス整理」を公表した。ここでは、ITシステム分野における当局におけるチェックの視点に大幅に改訂が加えられた（図1）。従来の検査・監督を大幅に見直す過程において、金融機関の重要インフラであるITシステムの検査・監督基準も併せて見直した格好だ。


　ここで述べられている重要なポイントは2つである。

　1つ目は、ITガバナンスの発揮を主眼においた検査・監督の実施である。ITと経営戦略を連携させ、企業価値の創出を実現させるための仕組みである「ITガバナンス」の発揮について金融機関と対話することを主眼におく、としている。

　2つ目として、システムリスク管理態勢のモニタリングが再定義されている。システムリスク管理では一般的に流通している基準等を活用するとともに、システム統合リスク管理では金検マニュアルに代わる考え方・着眼点を定義している。

　その上で金融庁は金融機関のITガバナンスの実効性を確認する際の、「6つのチェックの視点」を挙げている（図2）。今後、金融機関との対話を通じ、これらの実装程度が個別に確認されていく予定である。


　なお、金融庁はITガバナンスを「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現するための仕組み」として定義している。最近の長官や監督局長によるトップインタビューでは、経営者における認識そのものを問う場面も多いと聞くので、行内におけるこうした概念の整理や職員向けの浸透策も改めて必要となろう。

法人、個人問わず狙われるサイバー犯罪

　DX推進の側面で金融庁によるサイバーセキュリティの高度化要請とITガバナンス強化に向けた取組が奏功し、金融機関における「敵」からの防御態勢は整いつつあるように見える。

　他方、従来は「敵」の攻撃対象とはならなかったようなシーンにもその被害が及びつつある。それは、テレワーク環境である。以前に比べれば緩和傾向にあるものの、金融機関では依然としてテレワークの実践に制限が加わっている。

　ただし、間接部門を中心に徐々に実施に踏み切る金融機関が増えてきた。そこで敵は自宅のルーターなどの脆弱性をついた攻撃を仕掛けている。住宅街を乗用車で徘徊し、周囲から漏れているWi-Fiを察知。脆弱性が低いものに狙いを定めて侵入を試みる、といった手法も確認されている。

　この場合、金融機関職員がターゲットとなるのはあくまで偶然でしかない。しかし、公益性の高い業務や重要性の高い業務に就いていることが敵に知られた場合、あるいは、何らかの手段で職員の自宅（住所）が特定された場合、ターゲットとして認識される可能性があることは否定できない。

　政府職員の一部には暗号化されたモバイル端末などが配布されるなど、通信の保秘に向けた強固な取り組みは見られるものの、これは例外だ。

　多くの一般企業では、ほぼ「社員個人のリテラシー」にこうした取組みが委ねられているのが実態だろう。すでに大手金融機関の一角では積極的にテレワークを活用する、といった動きがみられるが、多くの金融機関が当たり前にテレワークに踏み切る上では、まだまだハードルが高いのだ。

【次ページ】もはや金融機関のセキュリティ高度化のみでは追いつけないサイバー犯罪への対処