第1回 金融サイバーガイドラインの公開から1年が経過、現場で見えた変化と課題

2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン^（※）（以下、金融サイバーGL）」を公表しました。公表から1年が経過し、金融機関の取り組みは着実に進む一方、経営陣の関与、脆弱性管理、サードパーティリスク管理など、実務面での課題も浮き彫りになっています。本連載では、金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官の牧野秋恵氏と、金融ISAC 理事 兼 三菱総合研究所 客員研究員／三菱総研DCS顧問の大日向隆之氏を迎え、金融サイバーGLの狙いや現場での浸透状況、そして金融機関が直面する課題と実効性ある対応のあり方を、3回にわたり深掘りします。

^※ 金融分野におけるサイバーセキュリティに関するガイドライン：2024年10月に金融庁が公表した、日本の金融機関がサイバー攻撃から金融システムと顧客資産を守るために実施すべき具体的なセキュリティ対策を体系的に示した指針
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

第1回では、金融機関がどのような姿勢で金融サイバーGL対応に取り組んでいるのか、その現在地を整理します。経営陣の意識変化、サードパーティリスク管理や優先順位付けなど、現場が直面する課題を踏まえながら、今求められる対応の方向性について議論します。

座談会参加者

• 牧野 秋恵氏
  金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官
• 大日向 隆之氏
  一般社団法人金融ISAC 理事
  株式会社三菱総合研究所 客員研究員、三菱総研DCS株式会社 顧問
• 小林 由昌
  PwC Japan有限責任監査法人 パートナー

※本対談は2026年1月に実施されました。法人名、役職などは対談当時のものです。

真剣に取り組む現場、変わりつつある経営

小林：
金融庁が金融サイバーGLを公表してから1年以上が経ちました。金融機関をはじめ、関連団体や金融サービス事業者からは、どのような反応が寄せられているでしょうか。

牧野：
金融サイバーGLを踏まえた規程類の整備や勉強会などが関連各所で行われています。勉強会は金融庁も講師として呼ばれることがありますが、その際には金融機関から非常に多くの質問が寄せられます。こうしたやり取りからも、金融機関が自社や業態を守るため、真剣にサイバーセキュリティ対策に取り組むという意思を感じています。

小林：
金融サイバーGLへの取り組み状況はCSSA（サイバーセキュリティセルフアセスメント）にも反映され、一定の把握が進んでいると伺っています。この1年での金融機関の取り組み状況をどのように評価していますか。

牧野：
各金融機関の取り組みはさまざまで一概には言えませんが、金融機関の経営陣の意識は変化してきているのではないかと思います。

金融サイバーGLでも、冒頭に「サイバーセキュリティは、IT・システム部門の問題に止まらないことは明らかであり、経営責任が問われかねない問題である」「経営陣の主体的な関与が求められる」など、経営陣が果たす役割の重要性を記載していますし、外部講演などでもこの点は強調しています。従来はIT部門中心だった対応から、取締役会レベルでの議論や予算配分を含む全社的な態勢整備が進みつつあると考えています。

CSSAについては、2025年秋に業態・規模別の平均値や分布と自社スコアを比較できるベンチマーキングシートを業界にフィードバックしています。その分析では、経営陣の関与やリスク評価の重要性が改めて示唆されました。一方で、脆弱性管理や情報資産管理など、基本的な事項についても対応に課題が残っている状況がうかがわれます。今後、各金融機関は他の金融機関と比較した自社の状態等も参考に、対策の十分性について検証し、有効な対策の強化に取り組むことが重要だと考えています。

小林：
PwC Japan有限責任監査法人では金融サイバーGLに基づく第三者評価を多数支援していますが、例えば、「基本的な対応事項」のうち、適切に整備できていると判断できる項目が半数程度ないしは半数未満という地域金融機関も多く見られます。現場からは「何から着手すべきか分からない」という声も聞かれますが、この状況を大日向さんはどのように見ていますか。

大日向：
「基本的な対応事項」と言われると一見ハードルが低く感じられますが、実際には資産管理、ID・アクセス管理、脆弱性管理といった、いわば全ての基礎となる管理策を徹底することが求められますので、そのような結果になることに違和感はありません。ここを固めるには相応の時間と労力が必要です。基礎づくりでは、時に従来のやり方を根本から見直す必要もあります。健康管理に例えるならば、日々の生活習慣を振り返り、課題を克服して病気に負けない強靭な体を作ることです。これと同様に、金融サイバーGLも5年、10年といった長いスパンで腰を据えて取り組む必要があるでしょう。

まず押さえておきたいのは、客観的な評価等を通じて自社で「できていないこと」を正確に認識することです。その上で、理想形（To-be）に向けて段階的に取り組んでいく。「今年は三合目、来年は五合目」というように、ステージを明確にしながら前進させることが重要です。そのためには、「何がリスクで、何を最優先すべきか」の見極めが欠かせません。

小林：
経営陣の関与という観点では、金融サイバーGLの中で特に意識すべき領域はどこでしょうか。

大日向：
経営陣が意識すべき領域としては「2.1.1 基本方針・規程類の策定等」が挙げられます。金融サイバーGLの各論に入るより前に、まず自社のサイバーレジリエンスに関する経営陣の考え方を整理することが重要です。サイバー攻撃を受けた際に守るべき業務やサービス、最低限維持すべき一線を経営陣が組織全体に具体的に明示することで、対応の基本方針や優先順位のよりどころになります。

ガイドラインの一行一行まで経営陣が読むことは難しいと思いますが、「自社にどのような事態が起こり得るか」「備えは十分か」を問い直すことは経営の本質です。「こんな最悪な事態は避けたい」という姿を具体化できれば、そのために必要な管理策の優先順位やリソース、人材が明確になり、組織全体の取り組みが動き出します。

サイバー対策の優先順位とサードパーティリスク管理の難しさ

小林：
金融サイバーGLは幅広い領域をカバーしています。しかし実務の現場では、自社のセキュリティ強化が優先され、外部リスクへの対応は後手に回る傾向もあります。こうした現場の動向を踏まえ、特に注目しているポイントはありますか。

牧野：
近年、サイバー攻撃はさまざまな形で多発しています。証券口座への不正アクセス・不正取引による被害や、オンラインバンキングなどへのDDoS攻撃、金融機関の業務委託先などサードパーティへのランサムウェア攻撃などが挙げられます。

その上で現場の動きを見ると、まずは自社のセキュリティ向上に着手している金融機関が多く、サードパーティリスク管理に関してはこれまで重視できていなかった金融機関も少なくないのではないかと捉えています。金融機関の業務委託先などサードパーティへの依存が増大するとともに、サプライチェーンは拡大・複雑化し、金融機関にとってそのリスク管理の重要性と難度はともに高まっていると認識しています。

「2025事務年度 金融行政方針^（※）」に記載しているとおり、金融庁においてもサードパーティリスク管理などの強化について検討を進めています。また、サードパーティリスク管理に関しては、個社での取り組みにとどまらず、業界全体で共助の取り組みをより一層発展させていくことが必要ではないかと考えています。

^※ 2025事務年度 金融行政方針
https://www.fsa.go.jp/news/r7/20250829/strategic_priorities_2025_main.pdf

小林：
大日向さんは金融ISACの理事として、多くの金融機関と接点をお持ちです。金融サイバーGLへの対応状況をどのように見ていますか。

大日向：
多くの金融機関は金融サイバーGLの内容を理解し、初回のギャップ分析までは完了している認識です。解釈が難しい箇所については、金融ISACの会員有志によるワーキンググループがテンプレートやガイドを提供したり、意見交換会を開催したりして、各社の取り組みを支援しています。

小林：
牧野さんから、業界全体での共助の取り組みが必要というお話がありました。その共助の中核を担う金融ISACには、現場からどのような相談が寄せられていますか。

大日向：
現場から寄せられる相談で特に多いのは、優先順位の付け方、十分性の判断、経営陣の関与の引き出し方、そしてリソースや人材不足です。やるべきこと自体は把握しているものの、一度に全ては進められません。その中で、どのように時間軸を描き、段階的に進めていくかという「ロードマップの描き方」について、明確な方針を示せていない金融機関が多いと感じています。

システムの重要度評価とグループ全体で進める体制強化

小林：
金融サイバーGLは特定のシステムだけを対象とするものではない一方、全てのシステムに一律で対応するのは現実的ではありません。金融機関は、どのシステムから優先順位を付けて取り組むべきか、どのような考え方で整理すればよいでしょうか。

牧野：
金融サイバーGLでは、金融機関自らを取り巻く事業環境や経営戦略、リスク許容度等を踏まえサイバーリスクを特定・評価し、それに見合った低減措置を講ずる「リスクベース・アプローチ」が求められるとしており、リスクに応じた優先順位付けを行い、各システムに必要な対応を講じていただきたいと考えます。例えば、業務継続や顧客保護に重大な影響を及ぼすシステム、VPN（Virtual Private Network）機器、インターネットバンキングなど、外部からのサイバー攻撃を受ける可能性が高いシステムについては優先的な対応が求められるのではないでしょうか。

特に見落としがちな点として、内部セグメントに配置されたシステムであってもサイバー攻撃の標的となり得ることに留意する必要があります。外部から他のシステムを経由してアクセス可能な場合には、攻撃が横展開して被害を受けるリスクがあります。「インターネット接続がないから大丈夫」とはせずに、サイバーリスク評価の対象として適切に位置付けていただきたいと思います。

小林：
近年は、親会社だけでなくグループ会社やIT子会社を含めたサイバーセキュリティ体制の強化も求められています。金融サイバーGLでも、規模や特性を踏まえてグループとして取り組むよう示されていますが、グループ全体で対応を進める上でのポイントや留意すべき点はどのようにお考えでしょうか。

牧野：
金融サイバーGLでは、傘下グループ会社及び拠点の規模・特性による違いを踏まえ、グループとして整合性のある態勢を整備することにより、グループ全体のサイバーセキュリティを確保することを求めております。

グループ全体で対応を進めるにあたっては、グループ各社の規模や業務内容、システムの接続状況等を踏まえ、グループ全体としてリスクの所在や影響範囲を整理していくことが有用と考えられます。その上で、親会社が中心となって、グループ全体の基本的な方向性を示す、共通の基準等を定め一定のセキュリティ水準を維持する、システムを共通化する、インシデント発生時の連絡体制を整備するといった対応が考えられます。一方で、グループ会社が「受け身」になり、サイバーセキュリティを自分ごととして捉えにくくなる弊害も考えられます。具体的な体制や対応の在り方については、各金融機関においてグループの実情を踏まえつつ、経営陣の関与の下取り組んでいただきたいと考えています。

小林：
地域金融機関では、「基本的な対応事項」への対応だけでも相当な負荷になるケースがあります。リソースが限られる中で「対応が望ましい事項」とどのように向き合い、優先順位を付けていくべきでしょうか。

牧野：
金融機関によって状況は異なるので一概には言えませんが、「基本的な対応事項」は金融機関等が一般的に実施する必要のある基礎的な事項ですので、まずはここへの対応から着実に進めていくことが重要と考えられます。ただし、「基本的な対応事項」だけやればよいとはせず、「対応が望ましい事項」のうち、自社の規模やリスク特性などに応じて重要度・緊急度の高いものから段階的に取り組んでいただければと考えています。

先行組の高度化が業界全体を底上げ―期待される役割とは

小林：
大手金融機関や大手金融グループでは、金融サイバーGL公表前からグローバル基準でサイバー対策の高度化を進めているケースもあります。こうした先行する金融機関に対しては、どのような期待をお持ちですか。

牧野：
グローバル水準を踏まえた高度なサイバーセキュリティ態勢の整備を先行的に進めている先には、その知見や取組をぜひベストプラクティスとして、業界内で共有していただきたいと考えています。

また、そうした金融機関やグループ自身は、「対応が望ましい事項」への対応にとどまることなく、CRI Profileなど国際的なフレームワークに取り込まれた最新の対応策や、製品ごとに公表されているベストプラクティスガイド等を参照し、日々変化するサイバー脅威に対応した態勢の高度化を継続的に進めていただきたいです。併せて、業界内での情報共有や演習への積極的な参加を通じて、こうした取組の知見が他の金融機関にも波及していくことが望ましいと考えています。

小林：
セキュリティ対策はセキュリティ製品を導入するにとどまらず、既存の環境が堅牢かどうかも重要です。製品ごとのベストプラクティスというお話がありましたが、例えばCIS Benchmarksなどを用いてOSやネットワーク機器などの設定や状態をチェック・検証し、セキュアな設定に改善するような施策は、金融庁GLにも書かれている「サイバーハイジーン」の確保には有効です、実はこうした取り組みは、大手金融機関のみならず、地域金融機関のサイバーセキュリティ強化のPDCAにおいて進められているケースを比較的多く見かけます。

大日向さんに伺います。実務の現場を深く理解されている元CISOの立場から、金融機関が金融サイバーGLに取り組む上で特に意識すべきポイントや、現場に伝えたいアドバイスをお聞かせください。

大日向：
金融機関へのアドバイスは大きく2点あります。

1点目は金融サイバーGLを「コンプライアンスチェックの道具」にせず、「実効性」を常に意識することです。例えば、冒頭お話ししたID・アクセス管理、脆弱性管理といった全ての基礎となる管理策の実効性を高めるためには、集中化・自動化・可視化によって管理状況を定量的に把握し、継続的に検証できる状態が理想です。成熟度モデルでいえば、Level 3（プロセスが定義されている状態）ではもはや十分とはいえず、Level 4（定量的に管理されている状態）を目指すことが必要な時代になっていると思います。

2点目は「リスクベース」の意味を改めて捉え直すことです。自組織と社会にとって「本当に大切なものは何か」を明確にし、優先順位に反映していくことが欠かせないでしょう。サイバーレジリエンスの考え方が参考になると思います。

小林：
ありがとうございました。次回は「実効性のある対応」をテーマに、脆弱性管理やサードパーティリスク管理など、現場が直面する具体的な課題について、さらに議論を深めていきます。