金融庁の「セルフアセスメントツール」が需要された背景

　サイバー攻撃はその手法が複雑化・高度化し、金融機関や取引先企業にとっての脅威になりつつある。事業所内のIT環境やPC、ネットワーク環について健全な状態に維持するサイバー衛生（サイバーハイジーン）に向けては定期的なサイバーセキュリティの現状評価や、認識された瑕疵への手当、といった継続的な対応が必須と言える。

　こうした中で金融庁は、サイバーセキュリティの強化に向けた旧取組方針（VER2.0）を受けた施策として、地域金融機向けに、「ペネトレーションテストの実施」「演習への定期的参加」「監視に係る対策強化」を進めてきた。

　ただし、金融庁としては、これらの取組のみでは「直近のサイバー攻撃の変化に金融機関が適応できるか」判断できず、さらなる金融機関の実態把握が必要という問題意識を抱いたであろうことが想定される。そこで、現在公表されている取組方針「VER3.0」では、“モニタリングの強化”、“新たなリスクに向けた対策に係る追加の要請事項”が追加されている。

　これは金融機関の実態把握により重きを置いていくことが示されたとも読み取ることができよう。実際、預金取扱金融機関に対して、この2022年8月末を期限に「サイバーセキュリティ・セルフアセスメントツール」が配布され、各金融機関はこれによる自己評価の実施が「実質的に義務付けられる」に至った。

先行した米国の「CAT」に抜け落ちている評価ポイント

　米国には連邦金融機関審査評議会（FFIEC）が提供するCybersecurity Assessment Tool（CAT）と呼ばれる同様のセルフアセスメントツールが存在し、かつて、筆者らのグループが実際に渡米し、当局関係者に当該ツールの設定目的や活用実態などについて調査を実施した経緯がある。

　ただし、このCATツールは評価項目が極めて多岐に亘り、評価作業に相応の時間を要するのみならず、実際の使い勝手の面では我が国金融機関に幅広く実用を促すにはほど遠い存在であったように受け止めている。

　実際に当時の日本の金融機関の一角でも、メガバンクのみが実際にCATを利用した自己評価を実施する例はみられたものの、地銀をはじめとした地域金融機関が実用化するには「負担感が著しく高い」ものであったと言わざるを得ない。

　さらに言うならば、あまりにも技術的な観点での評価手法を中心とした自己評価ツールであることで、いわゆる「非物理的対応」の視点が抜け落ちている点が課題ともなっている。これが日本で広く一般利用されるに至らなかった最大の理由でもある。

サイバーセキュリティ・セルフアセスメントツールの構造

　金融庁が毎年実施しているサイバーセキュリティ演習「Delta Wall」はこの2022年で7回目を迎えるが、各回で継続して確認されているのは、単なる技術的対処レベルのみならず、内部連携手順の定義を踏まえた組織的な対応態勢であったり、外部機関との連携手順の確認そのものでもある。


　これがいわゆる非物理的対処である。そこで金融庁では今般、FFIECのCATに含まれる「物理的対処」項目に加え、金融庁がこれまで推進してきた「非物理的対処」要件も付加することで、CATツールよりもコンパクトかつ実用的な要件を今次セルフアセスメントツールに実装してきたものと筆者はみている。

【次ページ】「新たなデジタル技術の評価」とは？