日銀・金融庁が地域金融機関のサイバーセキュリティ点検ツール―2022年度の集計結果を公表

 日本銀行と金融庁が日本の地域金融機関のサイバーセキュリティへの取り組みを自己評価するための点検票を作成し、地域金融機関の2022年度の評価結果を集計し公表しました。地域金融機関の約72%がサイバーセキュリティ人材が十分確保できていないと考えているようです。

20%が監視・分析組織を設置していない

※「地域金融機関におけるサイバーセキュリティ
セルフアセスメントの集計結果(2022年度)」より

 警察庁によると、昨年1年間に都道府県の警察から警察庁に報告のあったランサムウェア被害は2021年の146件を大きく上回る230件で、地域金融機関を取り巻くサイバー脅威は厳しさを増しています。日本銀行・金融庁によると、大手金融機関におけるサイバーセキュリティへの取り組みは米国連邦金融機関検査協議会が策定したサイバーセキュリティアセスメントツールなど国際的なフレームワークを活用して評価が行われていますが、国内の地域金融機関のサイバーセキュリティへの取り組みについてはこれまで評価するためのツールがなかったということです。そこで日本銀行・金融庁は地域金融機関を対象とした自己評価ツール(点検票)を整備し、2022年度に地域金融機関498(地域銀行99、信用金庫254、信用組合145)に自己評価を依頼、その集計結果をこのほど明らかにしました。

 それによると、約77%の地域金融機関が経営トップの関与のもと経営方針としてサイバーセキュリティの確保を掲げ、その実現のための計画を策定しているとしたものの、サイバーセキュリティの確保を掲げていてもその実現のための計画を策定していない地域金融機関が約16%あり、サイバーセキュリティの確保を今後掲げる、あるいは掲げる予定はないという無関心な地域金融機関も約7%ありました。

 63%近くの地域金融機関がセキュリティ関連の監視・分析等を24時間365日行う組織を外部委託含めて設置していましたが、約20%の地域金融機関は監視・分析組織を設置していないということです。職員が使用している端末へのサイバー攻撃対策としては、仮想ブラウザなど論理的な手法によるものも含めて端末のネットワークとインターネットを分離しているとした地域金融機関が94%、端末への外部記憶媒体の接続を制限している地域金融機関は約91%、端末にパターン検知型マルウェア対策製品を導入している地域金融機関は約88%だったということです。

72%「セキュリティ人材、確保できていない」

「地域金融機関におけるサイバーセキュリティ
セルフアセスメントの集計結果(2022年度)」より

 さらに脆弱性に対する診断については、90%近くの地域金融機関がインターネットバンキングのシステムに対して定期的かつシステム導入時や大規模更改時に検査しているとし、ネットバンキングシステムの脆弱性への意識の高さを伺わせる一方、Webサイトのプラットフォームの脆弱性診断について同様に行っている地域金融機関は約半数、さらにWebサイトのアプリケーションに対する脆弱性診断について同様に行っている地域金融機関は約22%にとどまっています。サイバーセキュリティに関するリスク評価が可能な人材の確保については、自組織のみで要員を十分確保できている地域金融機関は約16%、外部組織の活用を含めて要員が確保できているとした地域金融機関は約12%で、約72%の地域金融機関は十分に確保できていないと評価したということです。

 日本銀行・金融庁による地域金融機関に対するこうした取り組みは今回初めて行われたもので、23年度以降も継続して実施していくということです。日本銀行・金融庁は「最近では未知のマルウェアの侵入可能性は完全に排除できないとの前提のもと、性悪説に立って、組織のネットワーク内部も含め、 多層的に対策を講じていくとの傾向が窺われる。こうした傾向を踏まえ、例えば、振舞検知型マルウェア対策製品(EDR を含む)や端末ログイン時の多要素認証の仕組みといった対策の導入に加え、SOCによる監視機能 やID・アクセス権管理、脆弱性対策の高度化を計画的に推進していくことが期待される」としています。

■出典

https://www.fsa.go.jp/news/r4/cyber/20230418.html

最新情報をチェックしよう!