日本銀行および金融庁は4月18日、2022年度の「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果」を発表した。
金融機関は、サイバー攻撃の脅威が高まる中で、サイバーセキュリティ管理態勢の整備や実効性の確保が重要な課題となっている。そこで両者は、金融機関が自組織のサイバーセキュリティ管理態勢を他の金融機関と対比することで、自組織の立ち位置や課題となる領域を特定できる自己評価ツールを整備した。
この自己評価ツールを活用したサイバーセキュリティセルフアセスメントを、今回初めて地域金融機関(地域銀行99先、信用金庫254先、信用組合145先)を対象に実施し、その集計結果を公開した。
両者は、地域金融機関がサイバーセキュリティセルフアセスメントを活用し、サイバーセキュリティ管理態勢のさらなる強化に向けた取り組みを後押ししていく方針としている。
調査結果からは、金融機関ならではのセキュリティ意識の高さがうかがえる反面、それが十分ではない組織も一定以上あることが分かる。例えば、「経営トップの関与のもと、経営方針としてサイバーセキュリティの確保を掲げており、実現に向けた計画を策定している」と回答した組織は全体の76.9%だが、「経営方針としてサイバーセキュリティの確保を掲げる予定はない」との回答も2.0%あった。
重要なシステムのサイバーセキュリティに関するリスク評価の実施状況については、「定期的」が82.7%、「システム導入時や大規模更改時」が77.9%と高い割合となっているが、リスク評価を踏まえた対応方針の決定者が「経営層」であるのは43.0%と半数を割っている。多くは「システムリスク管理部署」(36.9%)や「システム所管部署」(17.7%)の判断となっている。
調査結果では、セキュリティ人材の確保に課題を抱えていることも明らかになっている。「新たなデジタル技術導入により生じ得るサイバーセキュリティに関するリスク評価が可能な人材の確保状況」では、71.7%が「要員を十分に確保できていない」と回答しており、「自組織職員のみ(他部署からの配置転換を含む)で要員を十分確保できている」と回答したのは15.9%にとどまった。
一方で、サイバーセキュリティ人材の育成・強化策となるe-ラーニングの対象者は「システム所管部署」が82.9%と最も高く、「サイバーインシデントに対応するための専門組織(CSIRT等)の職員」(68.7%)、「業務部門の職員(システムのユーザー等)」(67.7%)、「役員」(63.1%)、「その他の部署(広報等)の職員」(60.2%)と続いた。
リスク対策については、サイバー攻撃への技術的対策、サイバーインシデントの監視・分析態勢はいずれも高い割合で実施されている。インターネットバンキングシステムへの脆弱性診断も相応の頻度で実施されているが、Webサイトに対するWebアプリケーション診断は低い割合となった。ただし、サードパーティ(サプライチェーン)リスクへの取り組みは、セキュリティの責任分界やリスク管理責任者を定めていないケースが少なからず見られた。
