銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート | ScanNetSecurity
2024.07.25(木)

銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート

 金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表した。

調査・レポート・白書・ガイドライン

 金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表した。

 同レポートは、同庁が2023年度に金融機関から報告書を受領したシステム障害の傾向、2018年7月から2024年3月までに報告書を受領したシステム障害のうち代表的な事例の事象、原因及び対策についてまとめたもの。

 同レポートでは主な障害傾向のうち「サイバー攻撃・不正アクセス等の意図的なもの」として、マルウェア感染に関わる事案、DDoS攻撃に関わる事案について、事案の概要や対応、課題について紹介している。さらに新規事例として「外部委託先のランサムウェア感染によるサービス停止」「マルウェア感染による個人データ流出」「 DDoS 攻撃による決済不可」「外部委託先が提供するサービスへの DDoS 攻撃」を紹介している。

 また同庁では、銀行等におけるペネトレーションテスト(TLPT:Threat-Led Penetration Testing)の実施事例を収集し、主な好事例と課題を整理し、匿名化・一般化したうえで、その結果を銀行と共有している。同調査で銀行等から提供された事例を分析した結果認められたTLPTとして望ましい事例と不十分な事例の概要は下記の通り。

・脅威インテリジェンス
 望ましい事例:自組織に特有の脅威インテリジェンスを導出し、シナリオ選定している。
 不十分な事例:脅威インテリジェンスが一般的な脅威情報の分析にとどまっている。

・評価
 望ましい事例:ブルーチームに対して事前予告せずにTLPTを実施し、その検知・対応能力を評価している。
 不十分な事例:TLPTの計画を事前にブルーチームに伝えたことで疑似攻撃の発生を把握しているため、その検知・対応能力が適正に評価されていないおそれがある。

・経営陣への報告・経営陣の対応
 望ましい事例:サイバーセキュリティ担当部署は、TLPTの結果から判明した全社的な影響を生じさせ得るリスクを経営陣に報告している。
 不十分な事例:TLPTによって検出された課題のうち、金融機関の経営に重要な影響を及ぼし得るものついて経営陣に報告したり、具体的なリスクについて報告したりせず、単に「良好な結果であった」と報告している。

・発見事項の活用
 望ましい事例:サイバーセキュリティ担当部署は、TLPTで検出された課題と同様の課題がTLPTの対象でなかったシステムでも認められないかどうかを確認し報告するよう、社内の他のシステム担当者及びグループ会社のシステム担当者に指示している。
 不十分な事例:TLPTで検出された課題が他のシステムでも認められないかどうかを確認しておらず、その結果、それ以降に他のシステムに実施したTLPTでも類似した課題が検出されている。

《ScanNetSecurity》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. 1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

    1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

  2. 2022年 日本人のサイバー犯罪被害総額 1千億円超、最多遭遇犯罪はフィッシング

    2022年 日本人のサイバー犯罪被害総額 1千億円超、最多遭遇犯罪はフィッシング

  3. ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

    ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

  4. 迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表

  5. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  6. ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開

  7. JIPDEC「個人情報取扱い事故報告」2022年版、最多原因「手順やルールに違反した作業や操作」

  8. CrowdStrike、ウクライナ関係機関への破壊的オペレーションについて予測

  9. 拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か

  10. 敵対的 AI 対抗で「侵入前提」から「予防優先」に転換

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×