日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点 | ScanNetSecurity
2024.03.29(金)

日銀がG7策定の金融産業におけるサードパーティのサイバーリスク管理の基礎を公表、サプライチェーン管理にも焦点

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。

 サイバーリスクへの対応の一助としては、2016年10月に「金融セクターのサイバーセキュリティに関する G7 の基礎的要素」が、2017年10月には「金融セクターのサイバーセキュリティの効果的な評価に関する G7 の基礎的要素」が公表されていたが、金融セクターにおけるサードパーティのサイバーリスクマネジメントへの取組みをさらに支援するために、G7では 2018年に「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関する G7 の基礎的要素」を公表した。

 G7では、2018年以降の業界の進展に対応するために基礎的要素を改訂。サードパーティとの関係の管理のみならず、ICTサプライチェーン管理にも焦点を当て、さらに脅威が絶えず変化する環境に対応するために、広範な情報共有と透明性の大切さを強調している。また、金融セクターにおけるサードパーティの役割がますます重要になっていることに注意喚起するために、新たな基礎的要素として要素7を追加している。

 G7は、金融機関及びサードパーティは自身のサイバーリスクマネジメントのツールキットの一部として、本基礎的要素を活用し、金融機関とサードパーティとの関係の規模や特性、対象、複雑性及び潜在的な金融システムにとっての重要性を考慮した相応のアプローチをとるべきであるとしている。

 金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素は下記の7つ。

要素1:ガバナンス
 金融機関のガバナンス組織は、サードパーティのサイバーリスクマネジメントの効果的な監視及び実行に関する責任を有すること

要素2:サードパーティのサイバーリスクに対するリスクマネジメントプロセス
 金融機関は、サードパーティのリスクマネジメントのライフサイクル全体を通じ、サードパーティのサイバーリスクを管理する有効なプロセスを有すること

要素3:インシデント対応
 金融機関は特に重要なサードパーティを含むインシデント対応計画を策定し、演習を実施すること

要素4:コンティンジェンシープランと出口戦略
 金融機関は、サードパーティがサイバー関連のパフォーマンスの期待要件を満たさない場合又は金融機関の許容範囲を超えるサイバーリスクをもたらす場合に備えて、適切なコンティンジェンシープランと出口戦略を有しておくこと

要素5:潜在的なシステミックリスクのモニタリング
 金融セクター全体にわたるサードパーティとの取引がモニタリングされるとともに、潜在的にシステミックな影響を及ぼす可能性を有するサードパーティのサイバーリスクの要因が評価されていること

要素6:セクター横断的な調整
 セクターを跨るサードパーティへの依存に関連したサイバーリスクは、それらのセクター間で特定のうえ、管理されていること

要素7:金融セクターのサードパーティ
 金融機関と契約するサードパーティは、金融機関のリスク管理要件が、サービス・物品の提供に影響を及ぼす可能性を認識すべきである

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る