金融分野では、銀行、保険、証券といった従来の金融サービスに加えて、電子決済サービスや暗号資産事業といった金融サービスの新たな価値提供、利便性の向上、顧客起点のサービス拡充のための金融DXが進んでいます。一方で、DXの推進と同時に、金融分野でのサイバー攻撃の被害も増加傾向にあり、その手口も日々、高度化かつ多様化しています。特に、ランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃が拡大しており、金融機関には国民生活や経済活動を支えるインフラ事業者として、金融DXとサイバーセキュリティの取り組みを併せて推進することが求められ、サイバー攻撃の最新傾向を踏まえた、より一層強固なサイバーセキュリティ対策について組織全体で検討していく必要があります。

こうした中、金融庁が2024年10月4日に、「金融分野におけるサイバーセキュリティにガイドライン」（以降、本ガイドライン）を公表して（※1）、あらゆる金融機関に対応を求め、適用が開始されました。

本稿では、本ガイドラインにおける金融庁の方針や求められる対応について解説し、金融機関が目指すべき、金融DXとサイバーセキュリティの取り組みの方向性について示唆します。

金融庁が提供する、金融機関が取るべきサイバーセキュリティ対策に関する詳細な指針

(1)本ガイドライン公表の背景

これまで金融庁は監督官庁として「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver.3.0）2022年2月改訂版」（※2）を公表するなど、金融業界全体のサイバーセキュリティの強化を促し、金融機関のサイバーセキュリティ管理態勢について、検査やモニタリングを行ってきました。

その具体的な例として、金融庁は、2022事務年度から、金融機関向けに配布している自己評価ツールである「金融機関におけるサイバーセキュリティセルフアセスメント」（CSSA）により、金融機関のサイバーセキュリティ管理態勢の強化を促すことを目的に、地域金融機関、新形態銀行、2023事務年度からは対象を証券会社、保険会社、信託銀行にも拡大し、自己評価の実施を求め、その結果を公表することで、自律的なサイバーセキュリティの高度化を促してきました。

しかし、金融機関の自律的な取り組みでは十分な対策を講じることが難しいと判断され、今回、「主要行等向けの総合的な監督指針」等（以下、監督指針）の一部改正の公表と同時に、監督指針に紐づけ、検査・モニタリング時の監督上の評価項目に切り替えるかたちで、本ガイドラインが策定されたと考えられます。

（※1）「主要行等向けの総合的な監督指針」等の一部改正（案）及び「金融分野におけるサイバーセキュリティに関するガイドライン」（案）に対するパブリックコメントの結果等について（金融庁）
（※2）「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）」（金融庁）

(2)本ガイドラインの公表内容における3つの主要なポイント

ポイント①「監督上の具体的な評価項目として公表」
1つ目のポイントは、本ガイドラインの公表は、監督指針を一部改正し、セキュリティの確保にあたっては、本ガイドラインを参照することが明記されたことです。

監督指針が一部改正されたことに伴い、金融庁は検査・モニタリングを行い、金融機関の管理態勢を検証し、サイバーセキュリティ対策のレベルアップの促進を図ります。それに伴い、金融機関側も本ガイドライン等を活用し、自組織に必要とされるサイバーセキュリティ対策を講じることが必須となりました。

「主要行等向けの総合的な監督指針」より抜粋

III －３－７－１－２　システムリスク　主な着眼点 （５）サイバーセキュリティ管理 ① 取締役会等は、サイバーセキュリティの重要性を認識し、「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえ、必要な態勢を整備しているか。

ポイント②「あらゆる金融機関が対象」
2つ目のポイントは、本ガイドラインが、銀行、保険、証券などの金融事業者のほか、電子決済サービスや暗号資産事業者といった周辺事業を手掛ける事業者も含め、あらゆる金融機関を対象としているということです。また金融機関の大小を問わず、全国の地域金融機関である、地方銀行、信用金庫、信用組合も対象となっています。

冒頭にお伝えしたとおり、金融分野では、異業種の参入やデジタル社会の推進といった背景から、業界全体で連携し、金融サプライチェーン全体を考慮したサイバーセキュリティを強化する必要があり、本ガイドラインを用いた適切な対応はそれぞれの金融機関だけでなく、金融システム全体の安定性を確保するための重要なステップとなります。

「金融分野におけるサイバーセキュリティに関するガイドライン」より抜粋

1.4. 本ガイドラインの適用対象等 本ガイドラインは、サイバーセキュリティ管理について監督指針に定めのある、主要行等、中小・地域金融機関、保険会社、少額短期保険業者、金融商品取引業者等、信用格付業者、貸金業者、前払式支払手段発行者、電子債権記録機関、指定信用情報機関、資金移動業者、清算・振替機関等、金融サービス仲介業者、為替取引分析業者、暗号資産交換業者、銀行代理業、電子決済手段等取引業者、電子決済等取扱業者、電子決済等代行業者、農漁協系統金融機関のほか、金融商品取引所（本ガイドラインにおいて「金融機関等」）を対象とする。

ポイント③「経営陣の主体的な関与」
3つ目のポイントは、本ガイドラインでは、経営陣の主体的な関与の下、組織全体でのサイバーセキュリティ管理態勢の構築と運営を行う必要があるということです。

経営陣には、サイバーセキュリティ管理の基本方針の策定や管理態勢の整備などに主体的に関与することが求められています。また、少なくとも１年に１回レビューを行い、十分な検証、議論を行うことで、サイバーセキュリティに係る戦略、取組計画の策定、必要に応じた見直しを行うべきとされています。

経営陣のリーダーシップが発揮されず、不十分なサイバーセキュリティ管理態勢に起因して自組織や第三者に損害が生じた場合は、善管注意義務違反や任務懈怠による損害賠償責任を問われ得る可能性があることを示すことで、経営陣の主体的関与を明確にしています。

「金融分野におけるサイバーセキュリティに関するガイドライン」より抜粋

1.2.2. 経営陣の関与・理解 （前略） 取締役等の役員は、民法、会社法その他各業法等の規定に基づく責務を負うため、自組織の規模、特性又はサイバーセキュリティリスクに鑑みてサイバーセキュリティ管理態勢が不十分なことに起因して自組織や第三者に損害が生じた場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得る。

(3)求められる対応と考え方

ここまで、ガイドライン公表の背景と3つのポイントについて解説してきました。それを踏まえて、ここではガイドラインが求める対応について考察します。

本ガイドラインのサイバーセキュリティ管理態勢に関する章では、「サイバーセキュリティ管理態勢の構築」「サイバーセキュリティリスクの特定」「サイバー攻撃の防御」「攻撃の検知」「サイバーインシデント対応及び復旧」「サードパーティリスク管理」について合計176項目の対応事項が規定されています。

これは、構成や項目が同レベルで紐づくサイバーセキュリティセルフアセスメントの点検票（CSSA）が合計55項目であることを鑑みると、確認範囲が拡張されており、求められる対応も具体化され、管理態勢構築における実効性および十分性のあるものになっていると考えられます。加えて、幅広く関連するガイドライン（図3）も示され、それらを参照することで、実質的かつ効果的な対応も求められています。

そして、それぞれについて「基本的な対応事項」と「対応が望ましい事項」に分け、金融機関に求める対応を明確化しています。

「基本的な対応事項」は、いわゆるサイバーハイジーン（IT資産の適切な管理、セキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取り組み）で、すべての金融機関等が一般的に対応すべき基礎的な項目になります。

「対応が望ましい事項」は、金融機関の規模、特性等に応じた対応項目になります。具体的には、地域社会・経済等に大きな影響を及ぼし得る金融機関、大手金融機関および主要な清算・振替機関等に対応が求められる項目です。

自社がこれに該当するか否かの判断については、特定社会基盤事業者（※3）として指定された金融機関であるか、または本ガイドラインに関連するガイドラインとして参照されている米国 Cyber Risk InstituteによるCRI Profileの金融機関の規模や影響力に応じた、4階層（Tier1～Tier4）のうちTier3以上の地域規模で金融サービスセクターに影響を与える可能性のある組織に該当するかが判断材料になると考えられます。

一方で自社がこれに該当しない場合であっても、自らを取り巻く事業環境、経営戦略およびリスクの許容度等を踏まえたうえで、リスクに見合った低減措置を講ずる必要性があります。

そして「基本的な対応事項」および「対応が望ましい事項」のいずれについても、事業環境、経営戦略およびリスクプロファイルを踏まえ対策を検討することが重要なアプローチとなります。

（※3）「特定社会基盤事業者として指定した者（2024年10月17日時点）」（内閣府）

(4)求められる対応のアプローチ

本ガイドラインは公表と同時に適用が開始されています。また、法律の移行の円滑化を図るために設けられる経過措置がないため、金融機関には適用開始とともに対応が求められています。

しかしながら、対応期限を求めるという性質のものでもなく、金融機関等の規模・特性に応じ、リスクベース・アプローチで本ガイドラインに基づいたリスクの評価を行い、重要性・緊急性に応じて優先順位をつけたうえで、リソース制約を踏まえ、その低減措置に取り組むべきであることが示されています。

具体的には、経営陣をはじめとしたマネジメント層が、リスク評価を行い、その結果に基づいた対応方針と取り組み計画（含む複数年計画）の策定を行います。取り組み計画を推進する組織体制（取り組み計画の実施体制を含む）と管理態勢の整備を行い、マネジメント層以下の実行層はサイバーセキュリティ対策の運用を行います。そのうえで、経営陣をはじめとしたマネジメント層は、実務的な結果と実施状況を定期的にレビューし、サイバーセキュリティ管理態勢については少なくとも１年に１回レビューを行うことが求められています。

これらの中でもリスクの評価と対応方針の策定、サイバーセキュリティ管理態勢のレビューは、経営陣に求められており、サイバーセキュリティの取り組み計画の実効性および十分性を確保する責務を負っています。

サイバーセキュリティは単なるIT部門の問題にとどまらず、組織全体で取り組むべき課題で、本ガイドラインでは、経営陣が積極的にサイバーセキュリティ対策に関与し、サイバーセキュリティ管理態勢の構築と運営を行うことを強調しています。

本ガイドラインは、日本の金融機関が直面するサイバー脅威に対して、より強固な防御体制を構築し、金融システム全体の安全を確保するための道筋を示しています。業界全体の連携と経営陣の積極的な関与が、サイバー攻撃からの防御と早期復旧の鍵となります。

サイバーセキュリティガイドライン対応を起点とした企業変革の重要性

(1)サイバーセキュリティ対策の位置づけと課題認識

前章では、本ガイドラインにおける金融庁の方針や求められる対応について解説しました。ここからは、それを受けて金融機関が本ガイドラインに対応するだけでなく、サイバーセキュリティの取り組みを起点として企業変革を目指していく方向性について提示します。

金融機関は、近年のサイバー攻撃手法の高度化や件数の増加、顧客情報の漏洩や業務・サービスの停止といった深刻な社会的影響の高まりなどから、対策の強化を進めてきました。

しかしながら、対策自体に収益は生まれないことからも、サイバーセキュリティに取り組む組織がコストセンターの位置づけとして扱われることが往々にしてあり、経営・現場双方で積極的かつ前向きに取り組めない事情も見て取れます。また、サイバーセキュリティ対策が単なる技術的な対策にとどまっている点も課題として考えられます。

単にガイドラインを遵守する、そのために対策するものではなく、金融機関が自らのIT資産やデータ、業務プロセス、組織・人材を見直す機会として捉えることが重要であり、経営が自ら企業の変革の位置づけとして、以下のような視点で取り組むことが重要だと考えます。

(2)企業変革に導くための重要な要素

①  IT資産の把握からDXビジョンの実現に向けた戦略立案
金融機関が保有するIT資産（ハードウェア資産、ソフトウェア資産、クラウドサービス資産、データ資産）の把握は、サイバー攻撃から守るべき情報資産のリスクの特定という第一歩となりますが、IT資産管理で取り扱う情報としては、構成管理や契約管理、保守管理などの情報も含めて統合的に管理し把握することで、資産のタイプに応じたセキュリティ対策の検討と、リスクが高い資産に対して優先的に対策を講じることが可能となります。

また、統合的なIT資産の可視化は、セキュリティ対策だけでなく、DX戦略を策定するうえでも重要となります。具体的には、IT資産の可視化を通じて現状の課題を洗い出し、将来のあるべきシステムの全体像を具体的に描くことができます。これらのプロセスを実行することで、網羅的かつ詳細なDX戦略を策定することが可能となり、実行可能なロードマップを作成するための準備が整います。

②  データの可視化からデータ利活用と新サービスの創出
データは金融機関にとって最も重要な資産の1つであり、どのデータがどこで使用され、どのように保護されているのかを把握することが不可欠です。また、各種データのIN-OUTの流れを可視化することで、セキュリティリスクを特定し、内容に応じたセキュリティ対策を強化することができます。これにより、データ漏洩や不正アクセスのリスクを軽減することが可能となります。

このようにデータの可視化に取り組むだけでなく、データの重要性を十分に理解し、他社に負けないデータドリブン経営の実現に向けたデータ基盤を構築すること、さらに、データを活用し既存業務の高度化や新商品やサービスの創出へと昇華させることが重要であると考えます。

③  業務プロセス可視化とデジタル活用による業務改革の推進
業務プロセスの可視化は、セキュリティリスクを把握するための重要な手段となります。可視化を進めることで、各部門がどのようにセキュリティ対策に関与しているのかを明らかにし、組織全体のセキュリティ意識を高めることが可能です。

また、セキュリティリスク特定のための業務プロセス可視化だけでなく、業務プロセス自体の見直しも行うことで、業務の効率化とリスク管理の両立を実現することが可能です。

定型業務や判断がロジック化できる作業などは、生成AIなどのデジタル技術を活用することで、業務プロセスの見直しや自動化を進めることができます。その結果、業務量の削減や生産性の向上、さらにはコスト削減が実現され、利益構造の改善を一層高めることができます。これにより、未来のビジネス環境に適応していくための取り組みが進むものと考えます。

④  組織と人材の変革
サイバー攻撃は常に新しい手法が登場しており、DX環境の進展により、ますますサイバーセキュリティの脅威は増しています。このように広範で専門的な知識が求められるセキュリティ分野においては、組織内に専門知識を持つ人材を確保することによって、リスク管理やインシデント対応の能力を高める必要があります。また、金融庁のガイドラインでも示されているように、経営層自らがセキュリティ対応を自分ごととして捉え、組織全体の管理態勢を整備することが求められます。

また、セキュリティ管理態勢の組織設計にとどまらず、これまで述べたように企業変革の位置づけとして①②③を実現するために組織全体の変革をデザインすることが求められます。

例えば、DX推進担当やCX、データ分析（ビジネスサイエンティスト）など専門性の高い、いわゆるスペシャリストと言われる人材を育成・採用することで、企業は変化に柔軟に対応できる体制を整えることができるのです。

(3)まとめ

今回強化されることとなったサイバーセキュリティに関する取り組みを、単なるガイドライン遵守のため、リスク管理のためにとどめるのではなく、企業変革への重要なステップとして変換するべきだと考えます。Ridgelinezは金融・セキュリティの知見により、企業が本ガイドラインを遵守し対応を行うことができるよう、サイバーセキュリティの強化と企業価値の向上に向けて経営陣はじめ組織全体をEnd to End でご支援します。