なぜ金融システムでは大規模な障害が起きるのか？ 金融庁が分析レポート公開：セキュリティニュースアラート

金融庁は、近年のサイバーリスク増大を背景に2019年以降の金融機関におけるシステム障害を分析し、サイバーセキュリティ強化や新ガイドライン策定、クラウド依存への警鐘を含むレポートを公表した。

[後藤大地，有限会社オングス]

　金融庁は2025年6月30日、2019年以降に発生した金融機関のシステム障害（サイバーインシデントを含む）を分析した「金融分野におけるITレジリエンスに関する分析レポート」を公表した。

　近年の地政学的リスクやサイバーリスクの高まりを受け、政府全体でサイバーセキュリティ対策を強化する中、金融分野においてもサイバーセキュリティおよびオペレーショナル・レジリエンスのさらなる強化が求められている。同レポートはこれを踏まえ、2024年度（2024年4月〜2025年3月）における取り組みおよび分析結果をまとめている。

障害やサイバー攻撃と戦う金融業界　レジリエンス強化の現状と課題

　レポートではまず、2024年度に金融機関から報告を受けたおよそ1800件のシステム障害を分析した。その結果、全体の約7割が「ソフトウェア障害」と「管理面・人的要因」による障害ということが判明している。ATMの利用停止を招いたプログラム修正漏れ、設計書の不備による誤操作、外部セキュリティソフトの不具合に起因する業務端末の障害などが報告されている。金融機関におけるIT活用の拡大と同時に、障害の影響も広範かつ重大になってきていることが浮き彫りとなった。

　レポートでは具体的なサイバーインシデントにも触れており、暗号資産の不正流出や不正アクセス、マルウェア感染、DDoS攻撃といった事案が確認されており、攻撃者の手口は巧妙化し続けている。この他、標的型ソーシャルエンジニアリングを悪用した攻撃では従業員のなりすましを通じて顧客資産が盗まれる事案が発生した。こうした状況に対し、警察庁や内閣サイバーセキュリティセンターとの連携による多層的な防御対策の導入が求められている。

　金融庁は新たにサイバーガイドライン「金融分野におけるサイバーセキュリティに関するガイドライン」を策定し、当庁の監督上の期待を明確化している。ガイドラインでは経営層の関与やリスクベースでの対策の明確化、TLPT（脅威ベースのペネトレーションテスト）の活用が示されている。金融庁では地域金融機関を対象にしたTLPTの実証事業も展開し、サイバー攻撃への対応力の検証と可視化を推進している。

　クラウドサービスの利用拡大もリスク管理の課題を増やしている。セキュリティソフトのアップデートに伴う不具合により、特定製品への依存が業務継続性に影響を及ぼす例がみられた。パブリッククラウドの導入に当たってはサービス提供事業者との十分な対話と障害時の対応体制整備が求められている。

　レポート終盤ではシステム障害に関する分析（事例集）がまとめられている。2021年4月から2025年3月までに報告のあった「障害発生等報告書」の中から主要な事案が紹介されており、金融機関が自己責任の原則に基づき、これらの事例集を参考にすることが期待されている。

　一連の分析を通じて、金融機関にはインシデントの未然防止に加え、発生時の影響緩和と業務継続を見据えた体制構築が求められる。経営層がITリスク・サイバーリスクを最重要課題として捉え、統合的なガバナンス、人材育成、外部委託管理の徹底に取り組む姿勢が、今後の金融システムの安定性に直結するといえる。