銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」～ 金融庁レポート

　金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表した。

　同レポートは、同庁が2023年度に金融機関から報告書を受領したシステム障害の傾向、2018年7月から2024年3月までに報告書を受領したシステム障害のうち代表的な事例の事象、原因及び対策についてまとめたもの。

　同レポートでは主な障害傾向のうち「サイバー攻撃・不正アクセス等の意図的なもの」として、マルウェア感染に関わる事案、DDoS攻撃に関わる事案について、事案の概要や対応、課題について紹介している。さらに新規事例として「外部委託先のランサムウェア感染によるサービス停止」「マルウェア感染による個人データ流出」「 DDoS 攻撃による決済不可」「外部委託先が提供するサービスへの DDoS 攻撃」を紹介している。

　また同庁では、銀行等におけるペネトレーションテスト（TLPT：Threat-Led Penetration Testing）の実施事例を収集し、主な好事例と課題を整理し、匿名化・一般化したうえで、その結果を銀行と共有している。同調査で銀行等から提供された事例を分析した結果認められたTLPTとして望ましい事例と不十分な事例の概要は下記の通り。

・脅威インテリジェンス
　望ましい事例：自組織に特有の脅威インテリジェンスを導出し、シナリオ選定している。
　不十分な事例：脅威インテリジェンスが一般的な脅威情報の分析にとどまっている。

・評価
　望ましい事例：ブルーチームに対して事前予告せずにTLPTを実施し、その検知・対応能力を評価している。
　不十分な事例：TLPTの計画を事前にブルーチームに伝えたことで疑似攻撃の発生を把握しているため、その検知・対応能力が適正に評価されていないおそれがある。

・経営陣への報告・経営陣の対応
　望ましい事例：サイバーセキュリティ担当部署は、TLPTの結果から判明した全社的な影響を生じさせ得るリスクを経営陣に報告している。
　不十分な事例：TLPTによって検出された課題のうち、金融機関の経営に重要な影響を及ぼし得るものついて経営陣に報告したり、具体的なリスクについて報告したりせず、単に「良好な結果であった」と報告している。

・発見事項の活用
　望ましい事例：サイバーセキュリティ担当部署は、TLPTで検出された課題と同様の課題がTLPTの対象でなかったシステムでも認められないかどうかを確認し報告するよう、社内の他のシステム担当者及びグループ会社のシステム担当者に指示している。
　不十分な事例：TLPTで検出された課題が他のシステムでも認められないかどうかを確認しておらず、その結果、それ以降に他のシステムに実施したTLPTでも類似した課題が検出されている。