金融庁が金融機関のサイバーセキュリティ対策の強化に本腰を入れている。サイバー攻撃に備えた金融機関の管理体制を定めたガイドライン(指針)を策定した他、今事務年度(2024年7月―25年6月)中に一部の地銀などを対象に、疑似的なサイバー攻撃を仕掛けてセキュリティー体制が適切かを検証するテストまで実施する方針。
新たな指針は、銀行など預金取扱金融機関に加え、証券や保険会社、取引所なども対象とした。これらの企業・機関には大量の個人情報や営業機密などが集まっており、漏洩すれば個人や企業の活動に深刻な影響を及ぼしかねない。金融機関などには業務委託先がセンシティブ情報を取り扱っているかをチェックした上で、委託先も含めたリスクに見合う情報管理体制整備の徹底を求めている。
頭取や社長らには「経営上のトッププライオリティ」としてサイバーセキュリティ対策に率先して取り組むように促す。対応をシステム部門などに丸投げしては、組織として適切なリスクマネジメントができないと懸念しているためだ。監督局幹部は「金融機関や金融システムの信頼を守るには、組織一丸で対応することが不可欠だ」と強調する。
金融庁と日銀が23年度に行った調査によると、業務委託相手など重要な取引先のサイバーセキュリティに関するリスクを管理できていない地域金融機関が全体の1割以上に上った。
サイバー攻撃は日々、巧妙化している。自社のシステムや情報管理体制に気を配っても、業務委託先などに「穴」があれば、そこが狙われて被害が広がる恐れがある。当局の異例の取り組みはこの穴を塞ぐことも含めて対策徹底を図るのが狙いだが、どこまで効果を上げられるか。