銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート | ScanNetSecurity
2024.07.20(土)

銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート

 金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 金融庁は6月26日、「金融機関のシステム障害に関する分析レポート」を公表した。

 同レポートは、同庁が2023年度に金融機関から報告書を受領したシステム障害の傾向、2018年7月から2024年3月までに報告書を受領したシステム障害のうち代表的な事例の事象、原因及び対策についてまとめたもの。

 同レポートでは主な障害傾向のうち「サイバー攻撃・不正アクセス等の意図的なもの」として、マルウェア感染に関わる事案、DDoS攻撃に関わる事案について、事案の概要や対応、課題について紹介している。さらに新規事例として「外部委託先のランサムウェア感染によるサービス停止」「マルウェア感染による個人データ流出」「 DDoS 攻撃による決済不可」「外部委託先が提供するサービスへの DDoS 攻撃」を紹介している。

 また同庁では、銀行等におけるペネトレーションテスト(TLPT:Threat-Led Penetration Testing)の実施事例を収集し、主な好事例と課題を整理し、匿名化・一般化したうえで、その結果を銀行と共有している。同調査で銀行等から提供された事例を分析した結果認められたTLPTとして望ましい事例と不十分な事例の概要は下記の通り。

・脅威インテリジェンス
 望ましい事例:自組織に特有の脅威インテリジェンスを導出し、シナリオ選定している。
 不十分な事例:脅威インテリジェンスが一般的な脅威情報の分析にとどまっている。

・評価
 望ましい事例:ブルーチームに対して事前予告せずにTLPTを実施し、その検知・対応能力を評価している。
 不十分な事例:TLPTの計画を事前にブルーチームに伝えたことで疑似攻撃の発生を把握しているため、その検知・対応能力が適正に評価されていないおそれがある。

・経営陣への報告・経営陣の対応
 望ましい事例:サイバーセキュリティ担当部署は、TLPTの結果から判明した全社的な影響を生じさせ得るリスクを経営陣に報告している。
 不十分な事例:TLPTによって検出された課題のうち、金融機関の経営に重要な影響を及ぼし得るものついて経営陣に報告したり、具体的なリスクについて報告したりせず、単に「良好な結果であった」と報告している。

・発見事項の活用
 望ましい事例:サイバーセキュリティ担当部署は、TLPTで検出された課題と同様の課題がTLPTの対象でなかったシステムでも認められないかどうかを確認し報告するよう、社内の他のシステム担当者及びグループ会社のシステム担当者に指示している。
 不十分な事例:TLPTで検出された課題が他のシステムでも認められないかどうかを確認しておらず、その結果、それ以降に他のシステムに実施したTLPTでも類似した課題が検出されている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  2. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  3. イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

    イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

  4. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  5. マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

    マクニカネットワークスが忘れない CrowdStrike 三つのエピソードPR

  6. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  7. JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に

    JAXA への不正アクセスによる情報漏えい、未知のマルウェア使用で侵害の検知を困難に

  8. 日本生命保険の元社員を威力業務妨害の容疑で逮捕

    日本生命保険の元社員を威力業務妨害の容疑で逮捕

  9. マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  10. 東京都教育委員会「Teams 事故再発防止委員会」設置

    東京都教育委員会「Teams 事故再発防止委員会」設置

ランキングをもっと見る