日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点 | ScanNetSecurity
2024.04.14(日)

日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

 サイバーリスクへの対応の一助としては、2016年10月に「金融セクターのサイバーセキュリティに関する G7 の基礎的要素」が、2017年10月には「金融セクターのサイバーセキュリティの効果的な評価に関する G7 の基礎的要素」が公表されていたが、金融セクターにおけるサードパーティのサイバーリスクマネジメントへの取組みをさらに支援するために、G7では 2018年に「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関する G7 の基礎的要素」を公表した。

 G7では、2018年以降の業界の進展に対応するために基礎的要素を改訂。サードパーティとの関係の管理のみならず、ICTサプライチェーン管理にも焦点を当て、さらに脅威が絶えず変化する環境に対応するために、広範な情報共有と透明性の大切さを強調している。また、金融セクターにおけるサードパーティの役割がますます重要になっていることに注意喚起するために、新たな基礎的要素として要素7を追加している。

 G7は、金融機関及びサードパーティは自身のサイバーリスクマネジメントのツールキットの一部として、本基礎的要素を活用し、金融機関とサードパーティとの関係の規模や特性、対象、複雑性及び潜在的な金融システムにとっての重要性を考慮した相応のアプローチをとるべきであるとしている。

 金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素は下記の7つ。

要素1:ガバナンス
 金融機関のガバナンス組織は、サードパーティのサイバーリスクマネジメントの効果的な監視及び実行に関する責任を有すること

要素2:サードパーティのサイバーリスクに対するリスクマネジメントプロセス
 金融機関は、サードパーティのリスクマネジメントのライフサイクル全体を通じ、サードパーティのサイバーリスクを管理する有効なプロセスを有すること

要素3:インシデント対応
 金融機関は特に重要なサードパーティを含むインシデント対応計画を策定し、演習を実施すること

要素4:コンティンジェンシープランと出口戦略
 金融機関は、サードパーティがサイバー関連のパフォーマンスの期待要件を満たさない場合又は金融機関の許容範囲を超えるサイバーリスクをもたらす場合に備えて、適切なコンティンジェンシープランと出口戦略を有しておくこと

要素5:潜在的なシステミックリスクのモニタリング
 金融セクター全体にわたるサードパーティとの取引がモニタリングされるとともに、潜在的にシステミックな影響を及ぼす可能性を有するサードパーティのサイバーリスクの要因が評価されていること

要素6:セクター横断的な調整
 セクターを跨るサードパーティへの依存に関連したサイバーリスクは、それらのセクター間で特定のうえ、管理されていること

要素7:金融セクターのサードパーティ
 金融機関と契約するサードパーティは、金融機関のリスク管理要件が、サービス・物品の提供に影響を及ぼす可能性を認識すべきである

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  4. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

    レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

  5. お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

    お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

  6. デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

    デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

  7. 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

    悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

  8. 北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

    北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

  9. 北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

    北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

  10. 日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

    日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

ランキングをもっと見る