日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点 | ScanNetSecurity
2024.07.27(土)

日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

調査・レポート・白書・ガイドライン

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

 サイバーリスクへの対応の一助としては、2016年10月に「金融セクターのサイバーセキュリティに関する G7 の基礎的要素」が、2017年10月には「金融セクターのサイバーセキュリティの効果的な評価に関する G7 の基礎的要素」が公表されていたが、金融セクターにおけるサードパーティのサイバーリスクマネジメントへの取組みをさらに支援するために、G7では 2018年に「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関する G7 の基礎的要素」を公表した。

 G7では、2018年以降の業界の進展に対応するために基礎的要素を改訂。サードパーティとの関係の管理のみならず、ICTサプライチェーン管理にも焦点を当て、さらに脅威が絶えず変化する環境に対応するために、広範な情報共有と透明性の大切さを強調している。また、金融セクターにおけるサードパーティの役割がますます重要になっていることに注意喚起するために、新たな基礎的要素として要素7を追加している。

 G7は、金融機関及びサードパーティは自身のサイバーリスクマネジメントのツールキットの一部として、本基礎的要素を活用し、金融機関とサードパーティとの関係の規模や特性、対象、複雑性及び潜在的な金融システムにとっての重要性を考慮した相応のアプローチをとるべきであるとしている。

 金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素は下記の7つ。

要素1:ガバナンス
 金融機関のガバナンス組織は、サードパーティのサイバーリスクマネジメントの効果的な監視及び実行に関する責任を有すること

要素2:サードパーティのサイバーリスクに対するリスクマネジメントプロセス
 金融機関は、サードパーティのリスクマネジメントのライフサイクル全体を通じ、サードパーティのサイバーリスクを管理する有効なプロセスを有すること

要素3:インシデント対応
 金融機関は特に重要なサードパーティを含むインシデント対応計画を策定し、演習を実施すること

要素4:コンティンジェンシープランと出口戦略
 金融機関は、サードパーティがサイバー関連のパフォーマンスの期待要件を満たさない場合又は金融機関の許容範囲を超えるサイバーリスクをもたらす場合に備えて、適切なコンティンジェンシープランと出口戦略を有しておくこと

要素5:潜在的なシステミックリスクのモニタリング
 金融セクター全体にわたるサードパーティとの取引がモニタリングされるとともに、潜在的にシステミックな影響を及ぼす可能性を有するサードパーティのサイバーリスクの要因が評価されていること

要素6:セクター横断的な調整
 セクターを跨るサードパーティへの依存に関連したサイバーリスクは、それらのセクター間で特定のうえ、管理されていること

要素7:金融セクターのサードパーティ
 金融機関と契約するサードパーティは、金融機関のリスク管理要件が、サービス・物品の提供に影響を及ぼす可能性を認識すべきである

《ScanNetSecurity》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. 1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

    1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

  2. ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

    ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

  3. 世界中の警察官が考える現在/未来の脅威「インターポール世界犯罪動向2022」公表

    世界中の警察官が考える現在/未来の脅威「インターポール世界犯罪動向2022」公表

  4. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  5. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  6. 2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査

  7. 取締役や幹部への罰金 禁固 罷免 解雇 ~ サイバー攻撃後の被処罰最多は APJ 地域

  8. 「無料求人広告」無料期間終了後 高額請求、法人間のトラブル事例

  9. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×