株式会社ユービーセキュアは12月1日、「金融分野におけるサイバーセキュリティに関するガイドライン」への対応状況を体系的に評価するアセスメントサービスを提供すると発表した。
金融庁が公表する「金融分野におけるサイバーセキュリティに関するガイドライン」(金融庁ガイドライン)は、ガバナンス、リスクの特定、防御、検知、インシデント対応・復旧、サードパーティリスク管理に関する対策項目を体系化した指針で、金融機関に一律の対策を求めるものではなく、「組織がどのようなリスク認識を持ち、どのような理由でその対策を選択しているかを説明できる状態」になることを求めている。
同社のアセスメントサービスでは、金融庁ガイドラインの趣旨に基づき「実質的なセキュリティ態勢」という観点から下記の流れで評価を行う。
1.範囲定義とヒアリング(インプット収集)
グループ会社・海外拠点・委託先構造を含めたサプライチェーン全体の業務を把握
ガイドライン各項目の「基本的な対応事項」「望ましい対応事項」について現状をヒアリング
経営層の関与・資源配分・平時の見直しプロセス・モニタリング設計を評価
導入済み製品、ネットワーク構成図、ログ管理状況などを確認しリスク評価の基礎情報とする
2.リスクベース・アプローチの妥当性検証
各対策が自社のリスクに対して合理的であるかを検証
「なぜその運用なのか」を説明するための根拠を整理
3.リスクマップと対応優先度の提示
高リスク領域を可視化するためにリスクマップを作成
最初に着手すべき優先度の高い領域を一覧化
経営層への報告資料・監査対応資料として活用可能なアウトプット
同サービスは下記の通り、形式的な評価ではなく「実質的な態勢評価」を支援することが特徴となっている。
・リスクベース・アプローチに完全対応
一律チェックではなく「自社にとって妥当かどうか」を評価
・監査対応の説明力向上
監督省庁のレビューに耐え得る「根拠ある説明」を準備
・サードパーティ管理を含む全体態勢を評価
金融機関が抱える委託構造やクラウド利用の複雑性を踏まえた対応
・現場の運用と経営の意志決定を橋渡し
経営レベルのリスク認識と現場運用を接続
