金融分野におけるサイバーセキュリティに関するガイドライン対応に向けた評価・監査支援

2024年10月4日に金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン（サイバーセキュリティガイドライン）」では、監督指針において原則的な記載にとどまっていたサイバーセキュリティ管理の着眼点が具体化されました。本ガイドラインへの対応においては、サイバーセキュリティリスクをビジネス上のトップリスクと捉えて体制を整備し、計画を立て、全社的に取り組むことが重要です。そのための最初のステップは、本ガイドラインの示す点と実態とのギャップや課題を明確にし、計画的に改善することです。

PwC Japan有限責任監査法人は、金融機関が現状と課題を客観的に把握できるよう、「金融分野におけるサイバーセキュリティに関するガイドライン」に基づく評価・監査を支援します。

「金融分野におけるサイバーセキュリティに関するガイドライン」とは

サイバーセキュリティガイドラインとは、金融機関がサイバー攻撃の脅威と脆弱性に対応する上で必要なポイントが示されたもので、金融サービスの安心安全とレジリエンスを顧客や社会に提供することを目的として金融庁より策定されました。サイバーの脅威に国境はないことから、サイバーセキュリティガイドラインでは「CRI Profile（米国Cyber Risk Instituteによるサイバーセキュリティ評価ツール）」などの海外の動向が強く意識されており、国内の金融機関に対してもグローバル水準が求められていると言えます。

本ガイドラインへの対応、すなわち高度化するサイバー脅威への対応は、単年度で終えられるものではなく、中長期的かつ継続的な投資と経営陣のリスク認識が求められます。専門家の視点からの客観性のある第三者評価あるいは監査を通じて、経営陣が人的・組織的・技術的な課題を正しく識別し組織全体で問題意識を醸成すること、つまりサイバーセキュリティ対策への経営層のコミットメントが必要不可欠です。

図表1：サイバーセキュリティガイドラインの全体構成

デジタル社会の変革期において金融機関に求められる姿勢

本ガイドラインでは、金融機関等がサイバーセキュリティ対策に向き合う姿勢として以下のような点が求められています。

1. ステークホルダーに対する社会的責任の重さを再認識すること

• 重要なインフラ事業者として、サービスの安定的かつ適切な提供のため、取締役会等や経営陣がサイバーセキュリティの重要性への関心と理解を深め、自主的・継続的に確保に努める
• 国や他の重要社会基盤事業者等と連携し、積極的にサイバーセキュリティ施策を推進する
• 取締役等の役員は、関連法の規定に基づく責務を負うため、サイバーセキュリティ管理態勢が不十分なことに起因して自組織や第三者に損害が生じた場合は、善管注意義務違反などにより損害賠償責任を問われ得る

2. グループ全体を意識した管理態勢の構築を意識すること

• 金融機関グループ（海外拠点等含む）全体で、規模・特性に応じた整合性のあるサイバーセキュリティ管理態勢を構築する
• グループ全体のセキュリティを確保するため、傘下グループ会社・拠点も含めた体制整備を行う

3. 経営陣の責任において経営陣が主導する全社的な取り組みとすること

• サイバーセキュリティ担当部署だけの活動とせず、経営陣を含む多岐にわたる部署が協働・連携し、組織全体で管理態勢を構築し実現する
• 経営陣の主体的な関与の下、必要なリソース（人・予算など）を適切に配分・投下する
• インシデント発生時のみならず、平時から能動的に態勢を見直し、受け身ではなく先手の対応を徹底する

4. 形式ではなく実質を重視し計画的かつ継続的な取り組みとすること

• 変化し続ける脅威に対応するため、組織的・技術的な対応態勢を機動的に見直すことを常とする
• 形式的なガイドライン順守にとどまらず、関係法令・監督指針等の趣旨を踏まえ、実質的・効果的なリスク管理態勢を構築する
• 関連する他のガイドラインも参照し、最新の動向やベストプラクティスを取り入れる

図表2：ガイドラインで示されている着眼点

金融機関はリスクベースで取り組むことが重要

サイバーセキュリティガイドラインは、各社の経営環境やリスク特性に応じた対応を求めています。ガイドラインの項目は多岐にわたり、金融機関は業務やシステムも多数保有しています。こうした中で短期間に改善を目指すと形式的な対応にとどまってしまい、実質的なリスク低減につながらないおそれがあります。

特に、完了期日ありきでの改善対応は、インターネット上のシステムのみを対象とした対応に限定されたり、形だけの文書整備や態勢構築が目的化し、運用や実効性が伴わない結果を招きがちです。そのため、自社にとって影響の大きいリスクは何か、どこから手を打つべきかを把握し、明確にした上で、計画的にPDCAを回しながら改善・高度化していくことが重要です。

PwCのアプローチ

PwC Japan有限責任監査法人では、金融機関の1線または2線部門向けの支援として金融庁サイバーセキュリティガイドラインへの対応状況について客観的なアセスメントを行い、課題の識別と提言を行います。必要に応じてアクションプラン案の策定や、管理体制の改善・高度化といった各種支援の提供も可能です。

また、3線部門に対しては監査支援（アウトソース、コソース含む）として、監査計画の策定、監査手続きの実施、リスクを踏まえた監査結果の取りまとめなどの支援を行います。

金融庁サイバーGLを用いた第三者評価サービス

金融庁サイバーGLを用いた監査支援サービス

なお、第三者評価および監査支援では、組織の状況や目的に合わせたアプローチの提案が可能です。本ガイドラインは、多くの金融機関および金融機関に対するサービス提供企業において有益なものですが、形式ではなく実質的なリスク対応が求められます。そのため、その時々の脅威や組織が抱える脆弱な領域、仮説課題などを踏まえ、目的に応じた評価・監査を実施することが重要であり、結果として効果的な改善と成熟度の高い組織を目指すことにつながります。

サイバーセキュリティガイドラインを活用した評価・監査支援のアプローチ例

• ガイドラインの特定の領域のみを対象として対応状況を評価・監査
• クイックアセスメントとして、方針・規程・基準のような文書類とガイドラインとのギャップ状況を評価・監査
• 特定のシステムを対象に文書類の整備状況を評価・監査するとともにそれらに基づく運用状況やシステム設定の妥当性を評価・監査
• 金融機関の重要な外部委託先やサードパーティを対象としたガイドラインへの対応状況を評価・監査
• 自社でアセスメントを実施した後の改善対応状況についてのフォローアップ評価・監査など

PwCのサービスを活用するメリット

1. 金融分野に特化した専門性と豊富な実績

• 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」やCRI Profile等のグローバル基準に基づく、大手金融機関への豊富な支援実績があります。そのため、金融機関の規模や特性に応じた柔軟な支援アプローチの提案が可能です。
• 金融分野の内外環境やITリスク、サイバーセキュリティリスクに精通した専門家が多数在籍し、現場の実態や規制対応まで幅広くサポートします。

2. 当局動向・規制要件に精通した高度な知見

• 金融当局の最新動向や規制要件に精通した専門家が在籍しており、現場で得た知見などを生かし、最新の動向や実務的な観点を踏まえたアドバイス・業務提供が可能です。

3. 実効性・実践性を重視した一貫支援

• 形式的な評価にとどまらず、現場の実態や経営課題を踏まえた「本質的なギャップ」の抽出と、実効性あるアクションプランの策定を重視します。
• アクションプランの策定だけでなく、体制構築・高度化、経営層の巻き込み、継続的な改善まで一貫して支援します。