金融庁「金融分野における IT レジリエンスレポート」公表 | ScanNetSecurity
2025.10.04(土)

金融庁「金融分野における IT レジリエンスレポート」公表

 金融庁は6月30日、2024年度における金融庁の取組みや分析等についてまとめた「金融分野におけるITレジリエンスに関する分析レポート」を公表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 金融庁は6月30日、2024年度における金融庁の取組みや分析等についてまとめた「金融分野におけるITレジリエンスに関する分析レポート」を公表した。

 同庁では2019年以降、金融機関で発生したサイバーインシデントを含むシステム障害に関して分析した「金融機関のシステム障害に関する分析レポート」を公表してきたが、2024年度に「金融分野におけるITレジリエンスに関する分析レポート」として再構成している。

 同レポートでは、金融機関で脅威ベースのペネトレーションテスト(TLPT)の実施が増える一方で、テスト内容や活用方法に改善の余地が認められることを踏まえ、TLPTを実施した経験のある一部の銀行から事例を収集して分析し、主要な課題や好事例について還元している。

 TLPTの好事例として下記を挙げている。

・一般的な脅威インテリジェンスだけではなく、自社固有の脅威インテリジェンスを導出し、それを踏まえてテストシナリオを設定している
・ブルーチーム(テスト対象となる防御側のチーム)に事前予告せずにTLPTを実施している
・テスト結果に基づき、重要なリスクについて適切に経営陣に報告している

  TLPTでよく見られる課題、特筆すべき課題として下記を挙げている。

・テストの前提となる脅威インテリジェンスの導出が、一般的な脅威情報の分析に止まっており、個社固有の脅威インテリジェンスをテストで勘案していない
・ブルーチームにテストについて事前予告しており、ブルーチームの対応を正しく評価できていない
・テスト結果のうち、重要なリスクについて、経営陣に適切に報告していない

 また、金融機関で耐量子計算機暗号(PQC)への移行を検討する際の推奨事項、課題及び留意事項について、幅広い関係者と議論を深めるために、金融庁で2024年7月から10月に計3回「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催したことを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop