第2回 サイバー対応の実効性を高める実践的アプローチとは

金融庁の牧野秋恵氏と金融ISACの大日向隆之氏を迎え、「金融分野におけるサイバーセキュリティに関するガイドライン^（※）（以下、金融サイバーGL）」の浸透状況と実効性ある対応のあり方を深掘りする本連載。第2回では、サイバー対応の“実践”に焦点を当てます。脆弱性管理やパッチ適用の考え方、サードパーティリスク管理の具体策に加え、一線・二線の役割分担や人材育成など、実務で直面するテーマについて議論します。

^※ 金融分野におけるサイバーセキュリティに関するガイドライン：2024年10月に金融庁が公表した、日本の金融機関がサイバー攻撃から金融システムと顧客資産を守るために実施すべき具体的なセキュリティ対策を体系的に示した指針
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

座談会参加者

• 牧野 秋恵氏
  金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官
• 大日向 隆之氏
  一般社団法人金融ISAC 理事
  株式会社三菱総合研究所 客員研究員、三菱総研DCS株式会社 顧問
• 小林 由昌
  PwC Japan有限責任監査法人 パートナー

※本対談は2026年1月に実施されました。法人名、役職などは対談当時のものです。

金融サイバーGL対応は「完璧を目指す」より「重要なところから手を付ける」

小林：
最初に脆弱性管理について伺います。金融機関にとって脆弱性管理は悩みの種の一つです。多数の製品・機器を抱える一方でリソースは限られ、日々新たな脆弱性への対応が求められます。参考になる取り組みや事例をお聞かせください。

牧野：
個社が特定されるような事例のお話は難しいのですが、金融分野に限らず実際にサイバー攻撃を受けて被害が発生している事例等を見ると、VPN（Virtual Private Network）装置のパッチ適用が不十分だったなど、基本的な脆弱性管理が十分行われていないケースが見受けられます。

脆弱性管理で聞く悩みとしては、「管理対象となる資産台帳が十分に整備できておらず、そこから着手する必要がある。金融サイバーGLに記載されているような脆弱性管理プロセスをPDCAで回せるようになるまで時間がかかってしまう」といったものがあります。

理想的には、脆弱性管理手続きを整備し、脆弱性情報を入手した際は台帳に基づき体系的に対応を進めることが望ましいと考えられますが、リスクベースの考え方に従い、まずは自社にとって優先度の高い領域から対応を進めることも一案だと考えます。

例えばサイバー攻撃の被害を受けやすい外部公開機器（VPN 機器、ファイアウォール、リモートアクセス機器等）や、初期侵入後の横展開に利用され得る ID・認証基盤（Active Directory 等）について台帳を整備し、当該システムから脆弱性管理プロセスを運用することで重要なシステムに対する一定の防御水準を確保する仕組みを構築することが考えられます。その上で、対象範囲を拡大していくことが期待できます。金融サイバーGL記載の事項をはじめから100%実施することにこだわるのではなく、サイバーリスクを低減できる実効的な進め方を検討してほしいと思います。部分的でもクイックウィンが見えれば経営陣の理解も得やすくなり、次はこの領域、その次はこの領域と優先度に応じてステップ・バイ・ステップで脆弱性管理の高度化を図っていくアプローチもあり得ます。

小林：
優先順位を考える上では、従来の「境界防御」の前提も見直す必要がありますね。

牧野：
そうですね。先ほど、初期侵入後の横展開に利用され得る ID・認証基盤（Active Directory 等）に触れましたが、内部環境であることを理由に、脆弱性管理の優先度を低く考えるべきではありません。外部公開機器は突破されることを前提とし、内部環境についてもリスクベースの考え方に基づいて、適切に脆弱性対応を実施する必要があります。

今年度のDelta Wall演習^（※）では、従来の境界型防御の限界を踏まえた内部への侵入可能性を想定した対策や、その前提となるゼロトラストの意識の向上を図ることを演習シナリオの目的の一つとして、内部不正などのシナリオを取り入れました。「内部だから安全」という前提を見直す意識付けも狙いの一つです。

^※ Delta Wall：金融庁が主催する金融業界横断的なサイバーセキュリティ演習。サイバーセキュリティ対策の鍵となる「自助」「共助」「公助」の3つの視点（Delta）と防御（Wall）に由来する。
https://www.fsa.go.jp/news/r7/sonota/20251014/deltawall2025.html

パッチ適用は「止める勇気」と「止めない備え」

小林：
次に、脆弱性パッチ管理について伺います。パッチの早期適用は重要ですが、適用時はサービス停止が必要になるケースや、拙速に行えば障害発生リスクも伴います。金融機関はどのように判断すべきでしょうか。

大日向：
判断の鍵は「システム障害とセキュリティ侵害のどちらがより深刻か」という比較です。実際、侵害リスクが高く、パッチ適用や一時的なサービス停止が待ったなしとなるケースは年に数回あります。こうした事態に備え、特に可用性が重要なサービスでは、停止時間を最小化する仕組みや、停止時の影響を抑える事前の備えが不可欠です。そのためにも日ごろからサービス可用性の必要な業務と、それを支えるシステムを明確にする必要がありますし、業務を所管する部門とセキュリティ部門の間では、役員や現場レベルでの風通しのよいコミュニケーションも不可欠です。

小林：
デジタルトランスフォーメーション（DX）の進展に加え、SaaS（Software as a Service）や人工知能（AI）など外部サービスの活用も広がっています。内部環境も含めて守る範囲が広がる中、「利便性」と「統制（ガバナンス）」のバランスはどのように取るべきでしょうか。

大日向：
DXが進むほど扱う技術が増え、セキュリティにとどまらない幅広いテクノロジーリスクが生じます。さらに、技術の多様化と進化に伴いサードパーティへの依存も確実に拡大し、特にAIでは信頼性や品質といった新たなリスクにも向き合う必要があります。もはや従来のセキュリティ管理だけでは不十分で、テクノロジーリスクとサードパーティリスクを一体で捉えたガバナンスの仕組みが不可欠です。その際には、自社で推進する施策の特性と外部依存を最もよく知る一線（業務部門）のリスクオーナーシップがこれまで以上に重要になるでしょう。

サードパーティリスク管理の課題と実践

小林：
次にサードパーティリスク管理（TPRM）について伺います。金融サイバーGLでも独立したカテゴリとして取り上げられており、PwC Japan有限責任監査法人でも以下のようなインサイトを公表していますが^（※）、牧野さんから見て金融機関が直面している主な課題は何でしょうか。

^※『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識

（1）従前の「外部委託先管理」の限界を認識する

（2）「外部委託先管理」から「サードパーティリスク管理」への変化を捉える

（3）重要な観点を理解する：集中リスクとオペレーショナル・レジリエンス

牧野：
ご承知のとおり、委託先がランサムウェアに感染したことで、金融機関が委託先に預けていた顧客情報が漏えいする事案が複数発生しています。これらの事案の中には、委託先等においてサイバー攻撃への対策が十分に講じられていなかったケースが見受けられます。例えば、2025年6月に当庁ホームページ上で公表した「金融分野におけるITレジリエンスに関する分析レポート」に記載している事例では、委託先等がランサムウェアに感染した直接的な要因として、委託先等でのVPN接続における多要素認証等のセキュリティ対策不足、パスワードポリシーの脆弱さ、特権アカウントの管理不備といった、いわゆる基本的な対応事項が徹底されていなかった点を挙げています。

一方、委託元の金融機関においても、従来のTPRMはチェックリストを用いた形式的な確認によることが多いと考えられる中、リスク管理を実効的なものとしていくことが重要です。加えて委託先との既存契約について、責任範囲の明確化や監査権の確保等の観点から問題がないかを確認することも重要なポイントとなります。特に、自社にとって重要な業務や情報を委託している先については、その重要性に応じた評価や確認を行う体制・プロセスを構築することが重要と考えられます。

実効的な取り組みとしてはさまざまな方法がありますが、委託先との関係性を日頃からしっかりと構築しておくことが重要だと考えます。例えば、委託先のオフィスを訪問し、自社が預けている情報を取り扱う業務プロセスを確認することで、委託している資産が適切に管理されているかを把握することが考えられます。また、有事の際に迅速に連携を取れる連絡体制を構築しておくことも重要です。

さらに、業務委託の規模や内容等によりますが、サードパーティリスクを一元的に管理する統括部署の設置や関係部署間の連携の他、業務委託に係る契約前のリスク評価からデューデリジェンス、期中のモニタリング、出口戦略に至る「ライフサイクル管理」を適切に行うことも効果的と考えられます。コンティンジェンシープランを整備する際は、さまざまなシナリオの下で、サードパーティのリスクも考慮しておく必要があります。

大日向：
委託先の評価をどれだけ徹底しても、サイバー被害を完全に防ぐことはできません。だからこそ重要なのは、自社の重要業務がどのサードパーティにどれだけ依存しているかを整理し、依存度の高い委託先の固有リスクを把握することです。リスクが高い場合は、踏み込んだ確認も必要になるでしょう。また、その委託先が被災した場合は、自社に何が起きるのか、具体的に整理してリスク認識を共有しておく必要があります。

その上で、サイバーレジリエンスの観点からリスク軽減策を明確にし、リスクの高い委託先とは平時から緊密にコミュニケーションを取ることが大切です。こうした取り組みを実効的に進めるためには、組織横断で対応できる体制が欠かせません。

小林：
TPRMの負担軽減策として、業界共通の評価スキームや情報共有の仕組みが注目されています。一方で、「他社がOKと言っているから自社もOK」と短絡的に判断してしまうリスクもあります。こうした「共助」の仕組みと、自社で主体的に評価する「自助」を、どのようにバランスさせるべきでしょうか。

牧野：
共助が特に有効なのは、チェックすべき観点の標準化や情報共有など、業界全体で効率化できる部分だと考えます。一方で、委託先のリスクが自社に与える影響は金融機関ごとに異なるため、最終的にどこまで踏み込んだ評価・検証を行うかも含めて、リスク判断や管理の責任は「自助」として自社が負うべきものである点は変わりません。

大日向：
おっしゃるとおりです。共助でできるのは、評価項目や他社の知見など「判断材料」の共有までです。しかし、それを踏まえて自社の業務やシステムに照らし、どの程度のリスクを許容し、どのような対策を講じるかは自社が負うべき責任です。ここを誤解しないことが大切です。

二線・一線、組織と人材が支える実効性

小林：
ここからは「リスク管理部門」の役割について伺います。金融サイバーGLではシステム部門やセキュリティ部門に対し、二線の立場から監視・牽制することが求められています。リスク管理部門にはどのような役割が期待され、どのような取り組みが効果を上げているのでしょうか。

牧野：
金融サイバーGLでは、「サイバーセキュリティ管理態勢が有効に機能しているかについて、業務部門等から独立した立場から監視・牽制を行うこと」「サイバーセキュリティ管理の実施状況について、リスク管理担当役員（CRO等）及び取締役会等に報告すること」を求めています。

これはサイバーセキュリティ固有の話ではなく、リスク管理全般に言えることであり、他のトップリスクで既に実施している管理の枠組みをサイバーセキュリティにも適用していくことが現実的ではないかと考えます。ただし、金融機関の規模や特性はさまざまであり、一律の組織体制を求めるものではないと考えます。

リスク管理部門が監視・牽制の役割を果たすには、自社の管理状況だけでなく、脅威環境の変化や各種フレームワーク・ガイドラインについても理解しておく必要があると考えています。

大日向：
二線のリスク管理部門については、専門人材が十分とは言えず、サイバーリスクを実効的に監視・牽制できるのかという課題に直面している金融機関も少なくありません。実効性ある二線機能の確立には相応の時間がかかると思います。

もっとも、二線の役割は単なる「監視役」にとどまりません。例えば、サイバー攻撃発生時に想定される業務影響やレジリエンスの観点から一線に問いを投げかけ、経営や関連部門を巻き込んだ横断的な議論を促すことも重要な役割です。また、AIやクラウドの活用が前提となった現在では、サードパーティ依存や事業継続を含むテクノロジーリスク全体を俯瞰し、全社的な管理の枠組みを整備することも求められます。その上で、利用実態を客観的に評価し、必要な是正を促しつつ、過度に萎縮させることなく利活用とのバランスを取る。この「かじ取り」は二線の本質的な役割とも考えられます。

こうした取り組みを通じて、組織全体の安全・安心と持続的な価値創造に貢献する存在を目指すという形もあるのではないでしょうか。

小林：
最後に、セキュリティ人材の育成・採用について伺います。非IT人材の育成や中途採用者の定着に向けて、どのような取り組みが有効でしょうか。

大日向：
一番難しいテーマですね。まず重要なのは、経営として「なぜそのプロファイルの人材が必要なのか」を明確にすることです。ここが曖昧だと、人材費が高いという話だけで議論が止まってしまいます。「この業務にはこうした人材が必要である」という基本方針を明確にしなければ、適切な処遇や具体的な定着策は検討できません。

さらにセキュリティ人材の問題は人事評価制度や報酬体系にも関わるため、人事部門を巻き込んだ全社的な取り組みが必要です。人材が定着し活躍するには、仕事のやりがいや成長の実感が欠かせません。大切なのは組織が目指す目標を共有して共感を得ること。そして、一人一人の特性や希望を踏まえたキャリア形成の対話を重ねることが鍵だろうと考えています。

小林：
ありがとうございました。次回は、経営・取締役会の役割やCISOの位置づけなど、経営としてサイバーセキュリティにどう向き合うべきかを取り上げます。