金融庁は6月30日、2024年度における金融庁の取組みや分析等についてまとめた「金融分野におけるITレジリエンスに関する分析レポート」を公表した。
同庁では2019年以降、金融機関で発生したサイバーインシデントを含むシステム障害に関して分析した「金融機関のシステム障害に関する分析レポート」を公表してきたが、2024年度に「金融分野におけるITレジリエンスに関する分析レポート」として再構成している。
同レポートでは、金融機関で脅威ベースのペネトレーションテスト(TLPT)の実施が増える一方で、テスト内容や活用方法に改善の余地が認められることを踏まえ、TLPTを実施した経験のある一部の銀行から事例を収集して分析し、主要な課題や好事例について還元している。
TLPTの好事例として下記を挙げている。
・一般的な脅威インテリジェンスだけではなく、自社固有の脅威インテリジェンスを導出し、それを踏まえてテストシナリオを設定している
・ブルーチーム(テスト対象となる防御側のチーム)に事前予告せずにTLPTを実施している
・テスト結果に基づき、重要なリスクについて適切に経営陣に報告している
TLPTでよく見られる課題、特筆すべき課題として下記を挙げている。
・テストの前提となる脅威インテリジェンスの導出が、一般的な脅威情報の分析に止まっており、個社固有の脅威インテリジェンスをテストで勘案していない
・ブルーチームにテストについて事前予告しており、ブルーチームの対応を正しく評価できていない
・テスト結果のうち、重要なリスクについて、経営陣に適切に報告していない
また、金融機関で耐量子計算機暗号(PQC)への移行を検討する際の推奨事項、課題及び留意事項について、幅広い関係者と議論を深めるために、金融庁で2024年7月から10月に計3回「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催したことを紹介している。
