適用が開始されたSWIFT Customer Security Controls Frameworkについて

筆者は2014年から3年間、金融庁の監督局総務課（システムリスクモニタリング担当）および総務企画局のサイバーセキュリティ対策企画調整室に在籍し、ITリスク・サイバーセキュリティに焦点を当て金融行政に携わってきました。その中でも印象的であったインシデントの1つが本日取り上げるテーマにかかわるものです。具体的には2015年から2016年にかけ、複数の外国銀行にサイバー攻撃が仕掛けられ、国際的な金融インフラであるSWIFTを悪用した多額の不正送金事案が発生しました。また、これらの事案を重く受け止めたSWIFTは「SWIFT Customer Security Controls Framework」 を構築・導入し、全てのSWIFT利用組織にセキュリティ強化を促す取り組みを開始しました。そこで本コラムでは、この一連の出来事を題材とし、「SWIFT Customer Security Controls Framework」の内容と利用組織に求められる対応について紹介したいと思います。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

SWIFT Customer Security Controls Frameworkの概要

CSFの概要については、以下の通りです。

1. 目的とセキュリティ原則およびそれを実現するコントロール
   CSFは、3つの「目的（Objectives）」と、8つの「原則（Principles）」、27の「コントロール（Controls）」で構成されています。27の統制については、16の必須コントロールと11の推奨コントロールに分類されます。
2. 必須コントロールに対する自己評価（Self‐Attestation）
   16の必須コントロールについて、SWIFT利用組織は年次で対応状況の自己評価を実施しSWIFTへ提出することが求められ、初回の自己評価は2017年12月末までに実施する必要があります。自己評価を提出していない、または必須コントロールが遵守できていない場合、SWIFTは金融当局に通知することが可能です。
3. 自己評価結果の開示によるSWIFTコミュニティの透明性の確保
   SWIFT利用組織間のセキュリティ水準の透明性を確保するために、全ての利用組織は他の利用組織からのリクエストに応じて、自己査定結果を開示すること（他組織に対し閲覧する権利を与えること）ができます。

以降のパラグラフでは、上記1.～3.のうち、関心が高いと思われる1.と2.について、留意すべきポイントを含めて解説します。SWIFTまたはCSFの対応を担当される方々は、合わせてご覧いただければと思います。

必須コントロールに対する年次の自己評価

CSFのもう1つの特徴が、「Self‐Attestation」制度の導入です。本制度は利用組織に対し毎年の自己評価の実施と評価結果の提出を求める内容です。また自己評価が未実施の利用組織や必須コントロールを遵守できていない利用組織について、SIWFTが当局へ通知することが可能となっています。このような制度が特定の情報システムに適用されるケースはまれであり、そのことがCSFの注目度を高める結果となりました。さらに言えば、時を同じくしてNYDFS（ニューヨーク州金融サービス局）が導入した規制「Cybersecurity Requirements For Financial Service Companies」も、SWIFT同様に年次で規制内容への遵守を当局報告させるスキームを採用しており、両者がほぼ同タイミングで施行されたことも注目度を高めるきっかけになったかもしれません。（NYDFSの規制については、また機会があれば別コラムでご紹介したいとおもいます。）

Self‐Attestationの概要は、以下のとおりです。

※SWIFTのホームページなどの情報を基に整理・仮訳

あわせて、いくつかの留意すべき主なポイントを以下で解説したいと思います。

まず、16の必須コントロールへの対応について。
いくつかの必須コントロールに対応するためには、投資を要するものや改善対応に時間を要するものがあります。システムの性質上、IT部門とSWIFTを所管部門が連携して対応を行う必要がでてくると想定されるため、早めの準備・対応が望まれます。しかしながら、初年度の段階では完全に遵守していると回答することが困難な利用組織もでてくると想定されます。その場合は、「KYC Registry Security Application」の該当項目を”Not Comply（遵守できてない）”とした上で、補足説明欄が設けられているため、当該欄にいつまでに改善し遵守する計画であるかなどを記入することが可能です。代替コントロールにより対応する場合も同様にその旨の説明を補足欄に記入します。
なお、上図の”How”に記載のとおり、SWIFTが公表している情報によれば、初年度2017年の自己評価に関しては必須項目を完準に遵守できていない場合でも、自己評価結果を提出さえすれば、当局へ通知される可能性はないものと考えられます。そのため、SWIFTが公表しているQAにも記載されている通り、利用組織は、完全遵守できている／できていないということのみに固執するのではなく、適切な評価を実施し、正確かつ完全な自己評価結果を提出する必要があります。

“It remains each user’s responsibility to submit a correct and complete attestation for all mandatory controls.“

次に、評価基準日の考え方について説明します。Self‐Attestationは、一律の評価基準日は設定されていません。12月末までに評価結果を提出すれば問題ないため、一度早めのプレ評価を実施し未充足事項を洗い出したうえで、改善対応を実施し、12月末までに再評価を行った上で、結果を提出することも可能です。

以上、代表的な留意点を記載しましたが、その他にもSWIFTがユーザー向けに発行されているガイドやポリシーはもちろん、ホームページ上に公開しているQA集にもSelf‐Attestationに関する詳細な情報が記載されているため、関係する方々は目を通してみるとよいと思います。