『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（2）

近年、金融機関が導入するシステムやソフトウェアは複雑になり、これに伴ってサプライチェーンも複雑化しています。また、こうした金融機関のサプライチェーンを標的としたサイバー脅威も増加の一途をたどる状況であり、そのリスク管理は難易度が上昇しています。

こうした背景から昨年金融庁が公表した『金融分野におけるサイバーセキュリティに関するガイドライン¹』（以下、本ガイドライン）では、新たにサードパーティリスク管理について明記されています。

シリーズ3回の初回である前稿では、本ガイドラインにおいてサードパーティリスク管理が重要視されていること、および従前の「外部委託先管理」が限界を迎えている現状とその理由について解説しました。

これらを踏まえ本稿では、サードパーティリスク管理が、従前の外部委託先管理とどのように異なるのか、その変化に焦点を当てて整理します。

「サードパーティ」の定義

最初に、本ガイドラインにおいて明示されている「サードパーティ」の定義について確認します。ガイドライン中の注釈に記載されている「サードパーティ」および「外部委託先」の定義は以下の通りです。

サードパーティとは、自組織がサービスを提供するために、業務上の関係や契約等を有する他の組織をいう（例：システム子会社やベンダー等の外部委託先、クラウド等のサービス提供事業者、資金移動業者等の業務委託先、API連携先）。外部委託先とは、業務を委託している組織をいう（金融機関等が金融サービスを提供するために外部委託システム（共同センター等を含む）のベンダーなど。形式上、外部委託契約が結ばれていなくともその実態において外部委託と同視しうる場合や当該外部委託された業務等が海外で行われている場合も含む）。

つまり、本ガイドラインにおいて言及されている「サードパーティ」とは、金融業務を委託している外部委託先に限定されず、業務において利用するクラウドサービスやファイルの送受信サービス、通信事業者など、金融業務に関わる組織全般を指す表現であることが分かります。サプライチェーンをターゲットとしたサイバーインシデントの増加に伴い、金融機関が管理すべき対象組織は大きく広がりました（図表1）。

図表1：サードパーティリスク管理における管理対象の拡大

^{出典：金融庁『金融分野におけるサイバーセキュリティに関するガイドライン』『オペレーショナル・レジリエンス確保に向けた基本的な考え方』などを基にPwCが作成}

外部委託管理からサードパーティリスク管理へ

ここからは、管理対象が従前の外部委託管理から拡大し、サードパーティリスク管理へと移行する上で捉えるべき重要な観点を整理します（図表2）。

図表2：サードパーティリスク管理における重要なキーワード

^{出典：金融庁『金融分野におけるサイバーセキュリティに関するガイドライン』を基にPwCが作成}

「リスクベース・アプローチ」を意識した管理

本ガイドラインにおいて重要視されているのが「リスクベース・アプローチ」です。サードパーティリスク管理における「リスクベース」を意識した管理について、本ガイドライン内では以下のように記載されています。

【2.6.④】
サードパーティを特定し、サードパーティやサードパーティが提供する商品・サービスの自組織業務における位置づけ・役割・重要度、重要な情報（個人情報や営業機密等）の取扱いの有無、組織内システムへの接続状況（インターネット接続等の外部からのアクセスの容易さ）などをふまえ、サードパーティのリスク評価を行い、そのリスクに応じた対応をすること。

では具体的に、リスクベースでサードパーティリスク管理を行うことはどういうことなのでしょうか。

まず重要なのは、「サードパーティに関連する固有リスク」を把握することです。これを捉えることで、固有リスクの大きさに応じた管理を行うことができます。サードパーティに関連する固有リスクの程度を判断する要素の一例として、一般的には以下のような観点が考えられます。

• 機密情報の取り扱いの程度
• ネットワークの直接接続の有無や接続形態
• オペレーショナル・レジリエンス観点による「重要なサードパーティ」への該当有無
• 経済安全保障推進法（経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律）における特定重要設備や構成設備の供給者、または重要維持管理等の委託先としての該当有無
• 集中リスクや地政学リスクの程度
• フォースパーティ等に対する重要な業務の再委託の有無
• エマージングテクノロジー（AIやブロックチェーン技術など）の活用状況
• 過去の取引実績の状況（国内同業他社との実績を含む）

そして、上記のような固有リスクの大きさと、セキュリティ対策レベルを踏まえ、残余リスク（エクスポージャー）が高いと考えられるサードパーティには深度のある点検手法を実施する一方で、そうでないサードパーティに対しては相対的に効率性や負荷を考慮した手法での点検を行うなど、それぞれのサードパーティへ濃淡をつけた管理を行う（図表3）ことが、「リスクベース」のサードパーティリスク管理の一つの手法と考えられます。

図表3：サードパーティに関連する固有リスクとセキュリティ対策レベルに応じたモニタリング実施例

ここでポイントとなるのは、サードパーティによって濃淡を付けてモニタリングを実施することが前提とはいえ、以下のポイントを見逃していては、効果的な管理ができないという点です。すなわち、効果的な「実地調査の実施」のために事前準備を行うこと、「外部評価サービスの活用」をしたうえで最終判断を自社内で行うこと、「書面回答の受領」をしたらセキュリティ専門家による精査を実施することが重要です（図表4）。

図表4：サードパーティモニタリングにおける重要ポイント

^{出典：PwC作成}

また、モニタリング優先度の定期的な見直しも必要です。いずれのモニタリング方法を適応するかにかかわらず、各サードパーティが図表3の4象限のいずれに該当するのかを、定期的にまたは必要に応じて都度見直します。委託業務内容の変更に伴う機密情報取り扱いの開始や新たな脅威の出現、インシデントの発生など、サードパーティに関連する固有リスクや残余リスクは常に変化します。こうした点を踏まえ、最新のリスクの大きさを適宜評価し、モニタリング方法を見直すことが必要です。

サードパーティとの契約上における「ライフサイクル」を意識した管理

サードパーティリスク管理における「ライフサイクル」は図表5の通りです。「契約前」「契約期間中」「契約終了」の各段階を意識した管理を行います。

図表5：サードパーティリスク管理フレームワーク

^{出典：PwC作成}

「契約前」段階においては特に、「デューデリジェンス」と「契約交渉―契約やSLAにおける必要事項の明記」が重要です。1点目では、サードパーティの潜在的なサイバーセキュリティリスクや脆弱性の評価、過去のインシデント発生状況の確認など、事前に定めた規程等に基づき取引予定のサードパーティに対してデューデリジェンスを行います。また、2点目では、契約内容について十分な交渉を行ったうえで、責任分界や監査権限、実施すべきセキュリティ対策や報告に関する取り決めを、あらかじめ契約書またはSLA（Service Level Agreement：サービス提供者と利用者の間でサービスの品質やレベルに関する合意を文書化したもの）等に明記します。

「契約後」段階においては「継続的モニタリングの実施」が望ましいと考えられます。リスクの重大性に応じ、サードパーティにおける契約の履行状況やサイバーセキュリティ対策の実施状況、集中リスクを含めた委託先の管理状況などを定期的に確認します。（「集中リスク」に関しては、シリーズ第3回の次稿の『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（3）―重要な観点を理解する：集中リスクとオペレーショナル・レジリエンスにて概説します。）また、「契約終了を想定した対応」と「実際の契約終了時に行うべき対応」の2点を検討しておくことも重要です。1点目では、サードパーティの事業撤退や業務停止を想定したコンティンジェンシープランや出口戦略の策定を行います。2点目では、契約が終了した際のデータ廃棄やアクセス遮断措置など、取引終了時の管理プロセスを整備します。

特に「契約後」段階における取引終了にかかる管理は、旧来の外部委託先管理において軽視されることが多かった観点ですが、本ガイドラインの主な参照元の一つである「CRI Profile²」ではこれらが重要視されています。この背景には、取引終了時の対応漏れにより情報漏えい等のインシデントが多数発生しており、適切なデータ廃棄やアクセス権限の抹消が求められるようになってきているという現状があります。CRI Profileに関する詳細は、過去記事「金融分野の新サイバーセキュリティ評価ツール「CRI Profile」の意義と活用術」「規制対応から見たCRI Profileの有用性と国内外での活用動向」をご参照ください。

「実効性」を意識した管理

サードパーティリスク管理においては、その実効性も重要視されています。具体的には、サードパーティに対し、脆弱性が発見された際の対応手順やインシデントが発生した際の報告プロセス、演習・訓練の実施についてまで確認することが推奨されます。これはサードパーティにおけるサイバーセキュリティ対策が形式的なものに留まらず、サイバーインシデントやその懸念となる事案が発生した際にも、その「対応」まで適切に実施できる態勢かどうかを確認することが重要であることを示しています。金融機関は、こうした実効性の確認まで意識し、サードパーティリスク管理を行う必要があります。

実効性に関して、金融庁は特にクラウドサービス事業者におけるサイバーセキュリティへの対応状況の把握を重要視しています。2025年6月に金融庁が公表した『金融分野におけるITレジリエンスに関する分析レポート³』では、「クラウドサービス事業者との対話」と題して一つの章を構成していることからも、このことが窺えます。金融機関はクラウドサービスの特性に由来するリスクを考慮した上で、障害発生時にも迅速な状況把握と対応が実施できるよう、あらかじめクラウドサービス事業者においてインシデント計画の策定・演習の実施・コンティンジェンシープランの整備等が実施されているかどうかを確認することが求められています。

まとめ

金融機関がサードパーティリスク管理を行う上で、従前の外部委託先管理から何が変化しているのか、何を意識すべきなのかを明確に把握する必要があります。「サードパーティ」という表現が指す管理対象範囲だけでなく、サードパーティリスク管理において重要となる、「リスクベース」「ライフサイクル」「実効性」を意識した対応を行うことが欠かせません。

シリーズ最終回となる次稿では、サードパーティリスク管理を行う上で顕在化した重要なリスクである「集中リスク」、および本稿でも少し触れた「オペレーショナル・レジリエンス」とサードパーティリスク管理の関係性に着目し、私たちの考え方をご紹介します。

¹ 金融庁，2024.「金融分野におけるサイバーセキュリティに関するガイドライン」（2025年6月25日閲覧）https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

² CRI(Cyber Risk Institute)，2024. “CRI Profile.” （2025年7月1日閲覧）
https://cyberriskinstitute.org/the-profile/.

³ 金融庁，2025.「金融分野におけるITレジリエンスに関する分析レポート」（2025年7月1日閲覧）
https://www.fsa.go.jp/news/r6/sonota/20250630-2/20250630.html