金融庁「金融分野における IT レジリエンスレポート」公表 | ScanNetSecurity
2025.10.24(金)

金融庁「金融分野における IT レジリエンスレポート」公表

 金融庁は6月30日、2024年度における金融庁の取組みや分析等についてまとめた「金融分野におけるITレジリエンスに関する分析レポート」を公表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 金融庁は6月30日、2024年度における金融庁の取組みや分析等についてまとめた「金融分野におけるITレジリエンスに関する分析レポート」を公表した。

 同庁では2019年以降、金融機関で発生したサイバーインシデントを含むシステム障害に関して分析した「金融機関のシステム障害に関する分析レポート」を公表してきたが、2024年度に「金融分野におけるITレジリエンスに関する分析レポート」として再構成している。

 同レポートでは、金融機関で脅威ベースのペネトレーションテスト(TLPT)の実施が増える一方で、テスト内容や活用方法に改善の余地が認められることを踏まえ、TLPTを実施した経験のある一部の銀行から事例を収集して分析し、主要な課題や好事例について還元している。

 TLPTの好事例として下記を挙げている。

・一般的な脅威インテリジェンスだけではなく、自社固有の脅威インテリジェンスを導出し、それを踏まえてテストシナリオを設定している
・ブルーチーム(テスト対象となる防御側のチーム)に事前予告せずにTLPTを実施している
・テスト結果に基づき、重要なリスクについて適切に経営陣に報告している

  TLPTでよく見られる課題、特筆すべき課題として下記を挙げている。

・テストの前提となる脅威インテリジェンスの導出が、一般的な脅威情報の分析に止まっており、個社固有の脅威インテリジェンスをテストで勘案していない
・ブルーチームにテストについて事前予告しており、ブルーチームの対応を正しく評価できていない
・テスト結果のうち、重要なリスクについて、経営陣に適切に報告していない

 また、金融機関で耐量子計算機暗号(PQC)への移行を検討する際の推奨事項、課題及び留意事項について、幅広い関係者と議論を深めるために、金融庁で2024年7月から10月に計3回「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催したことを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop