日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素(原題:G7 Fundamental Elements of Ransomware Resilience for the Financial Sector)」について発表した。
同文書は、金融機関にランサムウェアの脅威に対処するためのハイレベルな構成要素を提供するもので、G7メンバー全体を通じて実施されている現在の政策アプローチ、業界へのガイダンス及びベストプラクティスを取り込むことを意図している。主に民間セクターの金融機関と重要なサードパーティプロバイダに焦点を当てる一方で、金融当局が自らの内部におけるランサムウェアによる被害を低減する活動や金融セクターのレジリエンスを高めるための取組みにも利用できる。
同文書では基礎的要素として、下記の8つを挙げている。
要素1:サイバーセキュリティ戦略及びフレームワーク
ランサムウェアに対するレジリエンスを金融機関のサイバーセキュリティ戦略及びフレームワークに組み込むこと
要素2:ガバナンス
実効的なガバナンス態勢を通じ、ランサムウェアが組織に及ぼす広範な影響に対する実効的な連携を確保すること
要素3:リスク及び統制策の評価
ランサムウェアリスクに対する統制策を確実に実践すること
要素4:モニタリング
潜在的なランサムウェアの挙動に係る一連の兆候をモニタリングすること
要素5:インシデント対応
ランサムウェアインシデントに対応するために策定した計画を実践すること
要素6:インシデントからの復旧
ランサムウェアによるインシデントで損なわれた可能性のある機能を回復するための手順を実践すること
要素7:情報共有
ランサムウェアのインシデント及び情勢に関するデータ、情報、及び知識を組織内外の必要な関係者と共有すること
要素8:継続的な知見獲得
過去のインシデントから知見を得ることで、ランサムウェアに対するレジリエンスを高めること
