金融庁と日本銀行の調査で明らかに 498の金融機関におけるサイバーセキュリティの現状と課題

金融庁と日本銀行は地域金融機関のサイバーセキュリティ対策に関する自己評価調査結果を公開した。多くの金融機関が対策を進めている一方で課題が浮き彫りとなった。

[後藤大地，有限会社オングス]

　金融庁と日本銀行は2023年4月18日、「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果（2022年度）」を発表した。99の地域銀行に加えて254の信用金庫、145の信用組合を対象に調査したものだ。多くの金融機関がセキュリティ対策を経営上の重要課題と認識している一方で、さまざまな課題があると明らかになった。

地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果（2022年度）（出典：金融庁のWebサイト）

地域金融機関のサイバーセキュリティ自己評価、見えてきた課題

　調査結果の主な注目点は以下の通りだ。

• 経営トップの下でサイバーセキュリティの確保に向けた計画を策定しているのは76.9％
• 経営層の判断のもとでリスク対応方針を決定しているのは43％
• 重要なシステムのサイバーセキュリティに関するリスク評価を定期的に実施しているのは82.7％
• 重要なシステムのサイバーセキュリティに関するリスク評価をシステム導入時や大規模更新時に実施しているのは77.9％
• サイバーセキュリティに関する監査結果の報告先を社長や頭取、理事長、最高経営責任者（CEO）にしているのは76.3％
• サイバーセキュリティに関する監査結果の報告先を取締役会や理事会にしているのは67.9％
• サイバーセキュリティに関するリスク評価が可能な人材を十分に確保していないのは71.7％
• e-learningの対象はシステム所管部署の職員が82.9％と高く、役員含むその他の職員は6〜7割
• OA端末のサイバーセキュリティ攻撃対策としてインターネットとの分離や外部記憶媒体への接続制限、パターン検知型マルウェア対策製品の導入が主流
• セキュリティオペレーションセンター（SOC）は80％が設置している
• システムの脆弱（ぜいじゃく）性診断は多くの組織が相応の頻度で実施している
• 多くの組織がサイバー攻撃別のコンティンジェンシープランを整備している
• サードパーティーに関するリスク管理の半数以上は統括部署にて一元管理されている
• セキュリティの責任分界やリスク管理責任者を定めていない例が少なからず見られる

　調査結果は多くが金融機関でサイバーセキュリティの確保を経営上の重要課題と示している。また、人材の確保や育成が不十分であることやサードパーティーリスクの管理といった課題もある。

　金融庁および日本銀行は金融機関の取り組みの今後も後押しするとしている。