香港金融管理局によるサイバーセキュリティ対応強化の取り組み

香港の銀行業界の監督当局である香港金融管理局（Hong Kong Monetary Authority、以下HKMA）は、近年多発しているサイバーインシデントへの対応として、サイバーセキュリティに対する取り組みを強化しています。2015年9月には、インターネットバンキングに関する監督指針（Supervisory Policy Manual）であるTM-E-1を改訂しました。併せて、銀行業界に対して、改訂版TM-E-1を用いたギャップ分析を行い、分析結果と、不備が識別された場合はその改善計画を提出するよう要請しました。

この結果を受けて、HKMAは、銀行業界におけるサイバーセキュリティへの取り組みを強化するための施策としてCybersecurity Fortification Initiative（以下、CFI）を2016年5月にリリースしました。

本コラムでは、このCFIの中で、銀行業界が取り組むべきC-RAFについて、そこで求められる内容と、銀行が対応すべきポイントについてご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

CFIの全体像

CFIは、銀行が自身のリスクプロファイルを分析するCyber Resilience Assessment Framework（以下、C-RAF）と、サイバー攻撃に関する知見を銀行業界で共有するインフラを提供するCyber Intelligence Sharing Platform（以下、CISP）、サイバーセキュリティの専門家としての人材を育成するための教育や資格制度としてのProfessional Development Programme（以下、PDP）の3つから構成されます。

【図表1】 C-RAFを構成する3つの要素

CFIの中で、各銀行が対応すべきものとして、C-RAFを用いたリスクアセスメントがあります。C-RAFは、銀行の香港におけるビジネスにかかわる管理態勢やITインフラが対象となります。

また、アセスメントは、HKMAがThe Hong Kong Institutes of Banks（HKIB）やHong Kong Applied Science and Technology Research Institute（ASTRI）と協力して策定しているPDPにおいて制定予定となっている香港の資格や、グローバルレベルでの資格（例：CISA、CISSP、CISMなど）を保有している要員が実施する必要があります。なお、日本においては、IPAのシステム監査技術者が一般的ですが、HKMAに相談することによって、この資格についても認められるケースがあるそうです。

なお、アセスメントの結果は、所定の様式に金融機関の役員とアセスメント実施責任者によるサインオフ（署名）のうえで、紙面で保管しておく必要があります。このアセスメントの結果は、HKMAが金融機関の監督の一環としてサンプルベースで確認する可能性があると言われています。

C-RAF適用のスコープとスケジュール

香港に拠点を有する銀行の中でHKMAによって選定された30行については、第1フェーズとして2017年にC-RAFを先行して実施しています。C-RAFは、この第1フェーズの結果や、そこで得られたフィードバックを受けて、内容が修正される予定です。その後、その他の銀行については、この改訂版を用いて2018年12月末までに固有リスク評価と成熟度評価を完了させる必要があります。iCASTについては、第2フェーズの結果を考慮して、HKMAがその期限を決定することになっています。

なお、この第1フェーズには、日本の大手地方銀行も含まれています。

【図表2】C-RAF適用スケジュール

C-RAFにおけるアセスメントとは

C-RAFでは、最初に自行に関する固有リスク評価を行い、固有リスクの総合レベルを決定します。次の成熟度評価では、この総合レベルに基づいて評価します。

固有リスク評価

固有リスク評価は、HKMAから公開された評価テーブルを用いて、自社のネットワークに接続されたインターネットサービスプロバイダーの数や、支店の数、クラウドコンピューティングの利用状況などを定量的に評価するものです。評価表に記載された基準に基づいて判断した結果により、3つの選択肢から回答を選択することで、結果（High、Medium、Low）を決定します。

設問は、テクノロジー、チャネル、製品およびサービス、ビジネスの規模や組織の特徴、サイバー攻撃の規模や種類に関する実績の5つのカテゴリに分けられた54個の質問事項です。あくまで定量的な観点での評価となるため、客観的に判断可能な内容となっています。

【図表3】固有リスク評価テーブル

なお、ここで得られた固有リスク評価の結果に基づいて、次の成熟度評価において使用する、自社が達成すべき成熟度のレベルが決定します。

【図表4】固有リスク評価結果と最低限達成すべき成熟度レベル

成熟度評価

成熟度評価は、自社のガバナンスや、内部および外部環境について、「ガバナンス」「識別」「保護」「検知」「対応と復旧」「状況把握」「外部接続におけるリスク管理」の7つのドメインにおけるそれぞれのコンポーネントごとに自社の成熟度を評価するものです。

【図表5】成熟度評価におけるドメインとコンポーネント

評価に際しては、固有リスク評価の結果として決定された成熟度が、自社が最低限達成すべき統制規範となります。この統制規範と、自社の現状とのギャップ有無を分析します。この際、少なくとも「Minimum」レベルの統制規範は、全ての金融機関が達成すべきものとされています。また、評価に際しては、自社が達成すべき成熟度のみを対象とするのではなく、対象となる成熟度以下に挙げられた統制規範も全て評価する必要があります。

【図表6】成熟度評価シート

各コンポーネントの成熟度評価が完了したら、その結果をもとに、定められた方式に従って達成度合いを算出します。各コンポーネントには、成熟度によって達成すべき割合が定められており、これに達しているかどうかが最終的な結論となります。ここで未達のコンポーネントがあった場合、金融機関は、適切なレベルに達するための改善ロードマップを策定する必要があります。

iCAST（Intelligence-led Cyber Attack Simulation Testing）

成熟度評価において「Intermediate」または「Advanced」を達成しなければならないとされた金融機関は、iCASTを実施する必要があります。

iCASTは、単一のシステムや環境を対象とした従来のペネトレーションテストとは異なり、実際に発生したサイバー攻撃を模して行われるものです。これには、技術的脆弱性の検知だけではなく、サイバーインシデントへの対応も含まれます。

iCASTの実行は、以下の5つのフェーズから構成され、この一連の流れを通して、最終的に経営陣への報告が行われます。

スコーピング（Scoping）
脅威の分析（Developing threat intelligence analysis）
テストシナリオの作成（Developing testing scenarios）
テスト（Test）
報告（Reporting）

C-RAFでは評価者（assessors）とテスター（testers）の2つのサイバーセキュリティの専門家としての役割が必要とされます。固有リスク評価と成熟度評価は評価者によって行われますが、iCASTはテスターによって行われる必要があります。また、このテスターについても、iCAST管理者（iCAST manager）、iCAST専門家（iCAST specialist）、iCASTテスター（iCAST tester）で役割分担がされます。特に、テスターについては、評価者に一定の資格要件が求められるのと同様に、そのための専門資格が必要となる点に注意が必要です。

C-RAFの実施に向けて

上述のとおり、香港に拠点を有する銀行は、フェーズ1の結果を受けてHKMAが今後アナウンスする予定となっている内容に従ってC-RAFを実施することが求められます。この期限は2018年末ですが、そのための体制構築や、場合によってはセキュリティ人材の採用、育成が必要となることから、早期の着手が望まれます。実際、香港に限らず、グローバルにおいてセキュリティ人材が不足しているため、C-RAF対応を実施できる人材、さらには、その支援を依頼する外部業者も今後は不足することが予想されます。また、サイバーセキュリティにかかわる脅威は日々増大していることから、制度対応としての取り組みに限定することなく、自社におけるサイバーセキュリティ対応、特に、本店側からはなかなか目の届かない海外拠点においては、その状況自体が高リスクであると認識し、自発的な対応が求められます。

なお、C-RAFにおける固有リスク評価と成熟度評価の内容は、米国連邦金融機関検査協議会（FFIEC）が公表したCybersecurity Assessment Tool（CAT）とほぼ同じものです。これらの取り組みを参考に、自行におけるサイバーセキュリティへの取り組みを進めることで、その結果をC-RAFに流用するのも一案です。特に、金融庁もサイバーセキュリティに際してはFFIECのCATを参考として挙げていることから、日本の銀行がサイバーセキュリティ対応を進めるにあたっては、HKMAのアナウンスを待つことなく、FFIECのCATを参考とすることが望まれます。

※Cyber Security Fortification Initiative（2016年12月21日）[English][PDF 86KB]

※FFIEC Cybersecurity Assessment Tool（2017年5月）[English][PDF 369KB]