『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（1）

近年、金融機関が導入するシステムやソフトウェアは複雑になり、これに伴ってサプライチェーンも複雑化しています。また、こうした金融機関のサプライチェーンを標的としたサイバー脅威も増加の一途をたどる状況であり、そのリスク管理は難易度が上昇しています。

こうした背景から、欧州でのデジタルオペレーションレジリエンス法（DORA）¹の施行や、シンガポール金融管理局（Monetary Authority of Singapore）のガイドライン²公表など、各国の規制当局は関心を高めており、日本においても、金融庁が2024年10月に『金融分野におけるサイバーセキュリティに関するガイドライン』を公表しました。この中で、「サードパーティリスク管理」が新たに重要な観点として明示されています。

これらを踏まえると、金融機関のサードパーティ管理は今後ますます重要視されていくと考えられます。本シリーズ3回のうちまず本稿では、金融機関がサードパーティリスク管理を求められることとなった前段として、従前の外部委託先管理が限界を迎えている現状やその根拠に焦点を当てて整理します。

サードパーティリスク管理と最新の規制動向

サプライチェーンを狙ったサイバーインシデントの増加については、IPA（独立行政法人 情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025³」においても示されており、「サプライチェーンや委託先を狙った攻撃」が第2位に挙げられています。

各国の規制当局もサードパーティ管理への関心を高めています。欧州で今年から施行されるデジタルオペレーションレジリエンス法（DORA）は、ICTサードパーティに関する契約締結前のリスク評価、継続的なリスク管理の強化、当局への報告などを規定しています。また、アジア地域では、シンガポール金融管理局（Monetary Authority of Singapore）がアウトソーシングに関するガイドラインを策定・公表しています。このガイドラインにおいては、サードパーティに対する監督権限の保持や契約期間中の定期的なモニタリング実施、および集中リスクの評価などが含まれています。

（DORAに関する詳細は『デジタルオペレーションレジリエンス法（DORA）の概要―EUの金融業界のレジリエンスに関する新しい規制― | PwC Japanグループ』をご参照ください。）

『金融分野におけるサイバーセキュリティに関するガイドライン』におけるサードパーティリスク管理

こうした中、金融庁は2024年10月、サイバーセキュリティに関する監督指針等の改正案と合わせて、『金融分野におけるサイバーセキュリティに関するガイドライン⁴』（以下、本ガイドライン）を公表しました。「サードパーティ」および「サードパーティリスク管理」は本ガイドラインにおいて新たに明示された重要な観点です。サードパーティリスク管理に特化した2.6章だけではなく、その他の章の複数項目においても言及されています（図表1）。

サードパーティリスク管理の重要性については、2025年6月に金融庁が公表した『金融分野におけるITレジリエンスに関する分析レポート⁵』においても明示されており、サードパーティにおけるソフトウェアアップデートの不具合、金融機関のシステム構成の把握不足、復旧作業手順や体制の整備不足などに起因するサイバーインシデントやシステム障害の多発を懸念していることが伺えます。

図表1：サードパーティについて言及されている項目一覧

^{出典：金融庁『金融分野におけるサイバーセキュリティに関するガイドライン』を基にPwCが作成}

サードパーティリスク管理の重要性は大手金融機関に限った話ではありません。昨年から運用が開始された経済安全保障推進法（経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律）における「基幹インフラ役務を提供する特定社会基盤事業者」は、特定重要設備と構成設備の供給者、重要維持管理の委託先等に関する情報を国へ届け出る必要があります。金融業界の組織再編等で地方銀行がその対象となる事例も発生しており、各金融機関はこうした動向にも目を向け、積極的にサードパーティリスク管理を行う必要があります。

一律に同質な外部委託管理がもたらす課題

現状の外部委託管理の方法として多く用いられているのが、各金融機関において独自に作成したチェックリストによる委託先点検です。これまで多くの金融機関では、膨大な数の外部委託先に対して年に一度チェックリストを配布し、受領した回答を用いて管理してきました。一般的なチェックリストの内容は、契約時点における業務内容からの変更有無やサイバーインシデント発生状況、再委託先の管理状況などです。委託先によって業務内容や取り扱う情報の重要度が異なるにもかかわらず、こうした共通の質問によって一律に同質な対応を行うことに課題を感じている金融機関も少なくありません。

このように一律に同質な外部委託先管理を行うことの問題点は、金融機関の顧客情報を取扱う外部委託先であっても、金融機関がサイバー対策実施状況を把握すべき重要な委託先として認識できず、サイバーセキュリティ対策の不足に気づくことができないことです。金融機関は業務の特性上顧客の機微な情報を多く取り扱うため、サイバーインシデント等による情報漏えいの発生は、たとえそれが外部委託先起因であったとしても、大きな信頼の失墜につながります。

また、顧客情報の漏えいまで至らずとも、脆弱性管理やバージョン管理など外部委託先における基本的なサイバーセキュリティ対応が不足していることで、システム障害の発生を招き、金融業務が滞る可能性も考えられます。金融業務の停止は顧客の混乱を招くだけでなく、社会経済の停滞にもつながる重大事故です。外部委託先において情報漏えいやシステム障害などが発生した際の甚大な影響を考慮すると、金融機関が外部委託先を管理することの重要性が見て取れます。

従来の外部委託先管理が限界を迎えた原因

そもそも外部委託先管理を実施する目的は、各金融機関が業務を滞りなく実施できる環境を整えることにあります。委託業務の実施状況を正しく把握し、金融機関の業務を停滞させる可能性のある事象があれば改善を行うことが重要です。この本質を念頭に置くと、従来の外部委託先管理が限界に達している3つの理由が挙げられます（図表2）。

図表2：従来の外部委託先管理が限界を迎えた理由

チェックリストによる外部委託先管理業務の形骸化

まず言えるのは、毎年外部委託先へチェックリストを配布し、回答を回収する方法によって正しく委託先の業務状況を把握するのは困難な場合が多いということです。この理由は、毎年受診する健康診断をイメージすれば、想像しやすいでしょう。

健康診断の問診票では、同じような質問が毎年繰り返し行われることが多く、内容を深く読み込まずに回答する方もいるでしょう。外部委託先に配布するチェックリストはいわば、健康診断における「問診票」と言えますが、健康診断と同様に、委託先は現状を詳細に確認することなく回答してしまう可能性があります。

この場合、健康診断が問診票だけで終了してしまっては本当に健康なのかが分からず、身体検査を受診するまで安心できません。同様に、外部委託先点検においても、チェックリストを用いた手法だけでは外部委託先の業務実施状況を正しく把握しきれない可能性が高く、本質的でないと言わざるを得ません。

セキュリティ対策の実態把握の難しさ

そもそも、チェックリストの質問からサイバーセキュリティを含む情報セキュリティの観点での状況把握を行うことは難しい、という側面もあります。なぜなら、セキュリティ対策には「答えがない」からです。

セキュリティ対策の欠陥は先述の通りサイバーインシデントにもつながる重要な観点であり、実態を正しく把握することが欠かせません。ただ、セキュリティ対策は「答えがない」ものであるため、チェックリストの質問内容や回答に対してはITやセキュリティの専門家による「適切性」の判断を行うことが望ましいと考えられます。しかし、この判断が十分になされていない場合が多いのが現状です。専門家の不足や有識者が企業のセキュリティ対策プロセスに十分に関与できていない状況などが原因だと考えられます。

専門家による対応が不足していることが原因で、外部委託先の現状を正しく把握できていない不適切なQ&Aの例を紹介します。

例1
Q. 委託業務に使用するシステムにセキュリティソフトを導入しているか
A. 導入している

質問内容が不足している例です。セキュリティソフトを導入しているかどうかだけではなく、そのソフトにおいて適切な機能が有効化されているか、パターンファイルの更新が適宜行われているか、など、より具体的な状況の確認が重要です。

例2
Q. 不正な通信の検知および遮断のため、ファイアウォールやUTM（統合脅威管理）、IDS（不正侵入検知システム）、IPS（不正侵入防止システム）を導入しているか
A. 業務に使用するのは専用線でありインターネットに接続されていない

この質問において、インターネットへの接続有無は関係ありません。金融機関側にも、この回答が不適切であることを判断できる人材が必要だと言えます。

以上の例が示すように、チェックリストの質問を通してセキュリティ対策の現状を把握するには、ITやセキュリティに関する知識を十分に有した専門家による判断が必要です。しかし、実情は、こうした判断ができる有識者の関与がなされず、現場の担当者による形式的な確認で済まされていることが多いため、チェックリストによる現状把握は難しいと言えます。

「サードパーティ」という新たな観点の出現による管理対象・内容の広がり

さらに、本ガイドラインにおいて明示された「サードパーティ」という考え方により、金融機関が管理すべき対象組織や管理内容が広がり、これまでの外部委託先管理の手法はついにその限界を迎えました。

従前の外部委託先管理は、言葉通り「外部委託先」に対する管理を行うというものでした。金融機関にとって外部の委託先と認識しているものが対象であり、逆を言えば、外部の委託先と認識していない組織については管理対象に含められていませんでした。そのため、自行グループ内の組織や通信事業者、機器の調達先や業務提携先などを外部委託先として認識せず、その管理を適切に実施できていない金融機関も多く見受けられました。

今回新たに「サードパーティ」という観点が出現し、金融機関が管理すべき対象は大きく拡大することになります。さらに、「サードパーティリスク」と関連し、「フォースパーティリスク」「集中リスク」「地政学リスク」など、他のリスクも重要性が増しています。

（管理対象の拡大や「集中リスク」に関しては、本シリーズの次号『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（2）―「外部委託先管理」から「サードパーティリスク管理」への変化を捉える、『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（3）―重要な観点を理解する：集中リスクとオペレーショナル・レジリエンスにて概説します。）

先述の通り、「サードパーティ」の管理対象拡大はそれ自体が目的ではなく、金融機関にとって重要なリソースを漏れなく管理し、金融機関が業務を滞りなく実施できる環境を整えるために行われています。そのため、サードパーティリスク管理においては、これらのさまざまなリスクへの対応も必要です。

まとめ

昨今の金融業界におけるサプライチェーンの複雑化、およびこのサプライチェーンを狙ったサイバー脅威の増加を背景に、金融庁サイバーセキュリティガイドラインにおいて「サードパーティリスク管理」の考え方が明示されました。「サードパーティ」という観点の出現により、金融機関が管理すべき対象が広がっただけでなく、新たなリスクが顕在化したことから、管理すべき内容も増加しています。よって、従来の一律に同質な方法による外部委託先の管理は、極めて非現実的な状況になっていると言えます。

次号では、「サードパーティ」という考え方がどの範囲まで管理対象としているのか、「サードパーティリスク管理」において何を意識すべきなのかについて、これまでの外部委託先管理からの変化に着目し、私たちの考え方をご紹介します。

¹ European Union, 2022, REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations, （2025年9月16日閲覧）https://eur-lex.europa.eu/eli/reg/2022/2554/oj

² Monetary Authority of Singapore, 2018, Guidelines on Outsourcing, （2025年9月16日閲覧）https://www.mas.gov.sg/regulation/guidelines/guidelines-on-outsourcing

³ IPA（独立行政法人 情報処理推進機構），2025.「情報セキュリティ10大脅威 2025」（2025年6月25日閲覧）https://www.ipa.go.jp/security/10threats/10threats2025.html

⁴ 金融庁，2024.『金融分野におけるサイバーセキュリティに関するガイドライン』（2025年6月25日閲覧）https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

⁵ 金融庁，2025.『金融分野におけるITレジリエンスに関する分析レポート』（2025年7月1日閲覧）
https://www.fsa.go.jp/news/r6/sonota/20250630-2/20250630.html