• • • FLASH REPORT 米大手銀行に適用される新たなサイバーセキュリティ基準 2016 10月28日 米国の金融規制当局は、サイバー攻撃から顧客および金 サービスプロバイダに適用が限定されますが、 その後他 融市場全体を効果的に保護するための新たなサイバーセ のほとんどの金融機関に対しても、規制当局により同じ キュリティ要件を提示しました。 基準が適用されることになると予想されます。 連邦準備制度理事会(FRB) 、通貨監督庁(OCC) 、および • 今回提示された基準は、 「企業のリスク選好と戦略に合 連邦預金保険公社(FDIC)は、2016 年 10月19日付で、大 致したサイバーリスク許容度を確立し、企業の業務の性 手金融機関と関連するサービスプロバイダのサイバーリス 質に応じたサイバーリスクを管理する」 必要性から、企業 内部監査人協会 (IIA) 情報/CBOK調査結果 ク管理基準を強化することを目的とした規制案制定事前通 がサイバーリスクをより全社的な視点と責任となるようシ 告 (ANPR) を発行しました。強化された基準の導入により、 フトさせることを示しています。 規制当局は、企業がサイバー攻撃への対処方法を準備・ 検討・策定することによって、企業の業務回復力を高め、 サ • 強化された要件を満たすためには、企業の独立したリス イバーインシデントが引き起こす金融システムへの影響を ク管理機能が、十分な独立性や立場、権限およびリソー 軽減することを目指しています。なお、 2017年1月17日まで、 スを確保し、 かつ維持することが不可欠です。 この基準に対する意見の募集が行われています。 • また、サイバーリスク管理のフレームワークと業務が一致 この基準は、15 年以上前に制定されたグラム・リーチ・ブ していることを保証するために、取締役会へ直接報告す ライリー法(GLBA) と10 年以上前に出版された連邦金融 ることも必要となります。 機関検査協議会(FFIEC)の情報技術審査ハンドブックで 概説されたサイバーセキュリティの要件を強化したもので す。この基準は、2013 年に発刊された国立標準技術研究 • 報告ラインは、他の業務や事業部門のラインとは、明確 に分離していなければなりません。 所 (NIST) のサイバーセキュリティフレームワークや、2015 年 に発刊されたFFIECのサイバーセキュリティ評価ツール 1 な • この強化された基準は、内部および外部資産のサイ ど、近年に開発されたセキュリティガイダンスを補完するもの バーセキュリティの懸念点を評価し管理する際に、企業 であり、 新たに置き換わるものではありません。しかしながら、 がリスクベースのアプローチを取ることを重視しています。 この新たな基準は、新たに定義された 「金融セクターの重要 なシステム」の対策を、他の全てのシステムの対策と区別し • この新しい基準において、企業は変化する脅威環境に て、対象とする組織に拘束力のある最低限満たすべき要件 沿って進化可能な柔軟なサイバーリスク管理フレーム として、 段階的に組み入れようとしています。 ワークを構築すべきであると示唆されており、サイバーセ 影響の概要 • 今回提示された基準は、従来の指針の概念に基づいて キュリティの脅威と 「状況認識」に焦点を当てることが求 められています。 適用範囲 特定の要件を構築し、 最低限遵守すべきサイバーセキュ リティ基準となる見込みです。 連邦準備制度理事会 (FRB) は、 この強化された基準を、総 連結資産が 500 億ドル以上ある全ての米国の銀行持株会 • この強化された基準は、まず大手金融機関や主要な 社(BHC)および米国の貯蓄貸付持株会社(SLHC)に適 1 プロティビティ発行のホワイトペーパーをご参照ください。Understanding the FFIEC Cybersecurity Assessment Tool: An Internal Audit Perspective: www. protiviti.com/US-en/insights/understanding-ffiec-cybersecurity-assessment-tool. Internal Audit, Risk, Business & Technology Consulting 用することを提案しています。また、500 億ドル以上の米国 サイバーリスクガバナンス 総資産を持つ、米国で事業を行う外国銀行組織についても 同様に適用対象となります。理事会はまた、米国財務省の 新しい基準は、企業に対し、全体的なビジネス戦略計画とリ 一機関である金融安定監督評議会(FSOC)により指定さ スクガバナンスの体系に統合された強力なサイバーリスク れた決済やサードパーティの支払決済サービスプロバイダ ガバナンスのフレームワークを支えることを目的とした公式 のように、米国の金融システムと金融市場インフラのための のサイバーリスク管理戦略を策定し、かつ維持することを要 重要な機能を果たしているノンバンクの金融会社および金 求しています。対象となる金融機関には、以下の事項が求 融市場ユーティリティ (支払・清算・決済機関) に対しても、 められます。 この基準の導入を検討しています。 • 取締役会または適切な委員会が、 企業のサイバーリスク 通貨監督庁(OCC)は、 この基準を、国立銀行や連邦貯蓄 管理戦略を承認し、経営陣 (上級管理職) は戦略に一致 協会、 その子会社、 または、 総連結資産 500 億ドル以上の米 した適切な方針を確立し、実行することについて責任が 国の銀行持株会社(BHC)および米国の貯蓄貸付持株会 あることを確認すること。 社(SLHC)の外国銀行子会社の連邦支店に対しても適用 することを検討しています。国立銀行、連邦貯蓄協会、持 • 取締役会に対し、適切なサイバーセキュリティの専門知 株会社がない外国銀行の連邦支店が、適用範囲として加 識を持たせる、 またはそのような知識があるリソースやス えられています。 タッフとの連携を確立するよう求めること。 内部監査人協会 (IIA) 情報/CBOK調査結果 連邦預金保険公社(FDIC)は、持株子会社がない組織と • ビジネスラインから独立し、取締役に直接かつ独立した 同様に、500 億ドル以上の資産を保有する米国の銀行持株 立場で連携することが可能であり、企業のサイバーリス 会社(BHC)および米国の貯蓄貸付持株会社(SLHC)の ク顕在度とリスク管理状況(既存の問題や新たに発生 子会社であれば、全ての州非加盟銀行または州貯蓄協会 した問題とそれらの傾向の把握を含む) を伝える上級管 にも、 この基準を適用することを提案しています。 理職またはリーダーを、 サイバーリスクの監督責任者とし て任命すること。 すでに述べたように、一部の外部サービスプロバイダも、 こ の基準の適用範囲とみなされます。対象外のコミュニティ • 取締役に承認された企業全体のサイバーリスク管理戦 バンク (比較的小規模な地域金融機関) を含むその他の金 略を文書で策定すること。 (この戦略は、 企業がどのよう 融会社には、既存のガイダンスや基準が引き続き適用され に固有のサイバーリスクに対処し、 残存するサイバーリス ます。 クを許容できるレベルに維持し、継続的に復旧能力を維 強化された基準 持していくかが明確に示されている。 ) • 会社のリスク選好と戦略に合致したサイバーリスク許容 規制案制定事前通告(ANPR)において提案されている強 度を確立し、企業の業務の性質に応じたサイバーリスク 化されたサイバーリスク管理基準は、 以下の5項目に着目し を管理すること。 ています。 • 残存するサイバーリスクを、取締役会が承認する適切な サイバーリスクガバナンス サイバーリスク管理 内部依存性管理 外部依存性管理 インシデント対応、 サイバー復旧能力および状況認識 レベルに引き下げること。 • サイバーリスクを提示する活動や、 リスクの顕在化を認 識および評価し、企業の残存するサイバーリスクの評価 方法を決定すること。 • 企業のサイバーリスク管理戦略をサポートし実行するた めの方針や報告体制を含む、全社的なサイバーリスク 管理フレームワークを確立すること。 • サイバーリスク管理フレームワークにおいて、 サイバーイン シデントや脅威を認識し対応する仕組みを含めること。ま 5 項目の詳細は、 以下の通りです。 た、 この仕組みには、 対応の有効性を評価する手続きを組 み入れ、 脅威の進化に応じてその手続きを更新すること。 protiviti.jp · 2 サイバーリスク管理 にCEOや取締役会に報告すること。 この強化された基準は、 企業に対して、 適切なチェックとバラ • 企業全体のサイバーリスクを継続的に認識、評価、およ ンス( 抑制と均衡 )を伴ってサイバーリスク管理を少なくとも びモニタリングすること。また、サイバーリスクのコント 3つの独立した機能(業務執行部門、 リスク管理部門、内部 ロールが企業全体で適切であり、企業が確立したリスク 監査部門) として構築する事を求めている。 選好および許容度と整合しているかどうか判断すること。 業務執行部門 • 企業の重要な資産リスクを把握および評価し、企業のリ スクプロファイルやその他の状況変化を考慮したうえで、 第一のディフェンスラインの業務執行部門は、 この新しい基 リスク管理を強化するか、 リスクを軽減する必要がある 準において、サイバーリスク管理に対する責任が増加して かを判断すること。 います。 • 企業のサイバーセキュリティープログラムや、プログラム 以下の事項が求められます。 をサポートするプロセスやシステムの構造、 また、進化す るサイバー脅威環境との関係について、最新の理解を • 経営陣がタイムリーな方法で、新しく発生したサイバーリ 確立し、 かつ維持すること。 内部監査人協会 (IIA) 情報/CBOK調査結果 スクやサイバーインシデントを速やかに説明し対応できる ように、業務執行部門の活動に関連するサイバーリスク • 企業の業務がサイバーリスク管理フレームワークと整合 を評価し、最高経営責任者を含む上級管理職とリスク することを確実にするために、 十分な独立性、 職位、 権限、 情報を共有すること。 リソース、 および取締役との連携を構築し、 かつ維持する こと。 • 企業のサイバーリスク管理フレームワークに整合した手 順とプロセスを遵守すること。 これらの手順やプロセスは、 内部監査部門 業務執行部門のサイバーリスクが、効果的に認識、測定、 モニタリングおよびコントロールされており、企業のリスク 第三のディフェンスラインは、 リスク管理、内部統制、および 選好とリスク許容度に整合するように設計されていること。 コーポレートガバナンスにおいて重要な役割を果たします。 内部監査には、 以下の事項が求められています。 • あらゆる事業資産(従業員、データ、テクノロジ、設備) や サービス、IT 接続ポイントに関連するサイバーリスクと潜 在的な脆弱性を評価すること。また、脅威やテクノロジ、 • リスク管理、内部統制、およびガバナンスプロセスの有 効性を評価すること。 プロセスの進化に従い、 これらの評価を更新すること。 • 会社の方針と手順が、新たに発生するリスクや業界の 独立的なリスク管理部門 規制に充分対応しているかどうか、経営陣や取締役会 に助言すること。 この基準は、企業がサイバーリスク管理全般を、独立したリ スク管理機能の責任に組み込むことを求めています。こ • サイバーリスク管理フレームワークが関連法令や規制に のリスク管理機能により、組織全体のサイバーリスク管理フ 則っているかどうかを評価し、 また、組織の規模や複雑 レームワークの導入は、最高リスク管理責任者と取締役会 性、相互接続性およびリスクプロファイルに適しているか に報告されます。 どうかを評価すること。 独立的なリスク管理機能は、 以下の事項が求められます。 • サイバーリスク管理の評価を、会社の全体的な監査計 画に取り込むこと。この評価には、セキュリティライフサ • 企業レベルのサイバーリスクを分析し、一つまたは複数 イクル全体を含める必要があり、 また、対象とする組織の の業務部門に影響を及ぼす可能性があるインシデント 規模、複雑さ、操作範囲、相互接続性に基づいて、侵入 への効果的対応を認識し、 かつ確実にすること。 検査やその他の脆弱性評価活動を適宜含めること。な お、監査計画は、独立したリスク管理機能の能力(適切 • サイバーリスクに関する企業全体の顕在状況を継続的 な場合に適応する能力、および企業のサイバーリスク管 に評価し、ある項目が企業の確立したサイバーリスク許 理の枠組みおよび決議されたリスク選好およびリスク許 容度を上回った場合や、特定のサイバーリスクの評価が 容度の範囲内で遵守し続ける能力) を評価するために 業務執行部門の評価と異なっている場合には、速やか 必要となるものである。 protiviti.jp · 3 内部依存性管理 知の違反を緩和する。 内部依存性は、企業の事業資産(従業員、データ、テクノロ • 事業資産のサイバーリスクを削減するために、適切な管 ジー、 設備) およびそれらの間の情報の流れを指します。提 理を継続的に運用し、定期的に事業資産のバックアップ 示された基準が目指すところは、広範囲の発生源から生 のテストを実施して、 復旧力を達成する。 じる事業資産に関連するサイバーリスク (例えば、 インサイ ダーの脅威、データ伝送エラー、合併によって獲得したレガ 外部依存性管理 シーシステムの使用など) を認識し、かつ管理する効果的な 能力を企業が確保することです。ここで焦点となるのは、企 業の事業資産の継続的なリスク評価です。 「外部依存性」 とは、企業と、外部ベンダー、 サプライヤー、顧 客、 インフラ、サービスを提供するために必要な外部組織や サービスプロバイダの関係、および企業と外部関係者間の 新しい基準では、 企業には以下の事項が求められます。 情報の流れや相互接続のことを指します。このカテゴリに は、重要なシステムへの信頼できる接続を維持するために、 • 内部依存性管理戦略を、企業の全般的な戦略的リスク 管理計画に統合すること。この戦略は、内部依存性管 理の役割と責任を定義します。 重要ではない外部関係者との相互接続リスクの管理が含 まれます。 内部監査人協会 (IIA) 情報/CBOK調査結果 企業は、外部依存関係や相互接続リスクに関連するサイ – 金融セクターの重要なシステムに接続されている、ま バーリスクに対処し、かつ削減するために、外部依存性管 たはサポートしている内部資産と関連したサイバーリ 理戦略を戦略的リスク管理計画全体に統合する必要があ スクを認識し、管理するための方針、規準、手順を確 ります。 立する。 – 内部依存性に関連するサイバーリスク削減の効果を モニタリングする。 外部依存性管理戦略の一環として、企業は以下の事項が 求められます。 – 適切なコンプライアンスメカニズムを設定する。 • 外部依存性に関連するリアルタイムのサイバーリスク、 • 企業のサイバーリスク管理戦略をサポートする全ての内 特に金融セクターの重要なシステムやオペレーションに 部資産とビジネス機能の最新かつ完全な認識を確立し、 接続している、 またはサポートしているサイバーリスクを、 維持向上すること。 ライフサイクル全体にわたって識別し、かつ管理するた めに効果的なポリシーや計画、 手順を確立すること。 • 資産のライフサイクル全体を通じて資産とサイバーリスク レベルの関連を追跡し、 組織全体に関連するデータの収 • 企業のサイバーリスク管理戦略をサポートする全ての外 集や分析をサポートすることにより、企業や金融セクター 部依存性、および信頼できる接続をリアルタイムで監視 の重要なシステムの監視や、 インシデント対応および復旧 すること。 の優先順位を決めるメカニズムを確立し導入すること。 • サポートするビジネス機能や企業のミッション、および金 • 取締役会が承認したリスク選好と許容度が達成される 融セクターへの重要性に基づき、全ての外部依存性、 お まで、企業および金融セクターに対する事業資産のサイ よび信頼できる接続を、最新の状態で正確かつ完全に バーリスク発現の削減を支援すること。 認識し、 優先順位をつけて改善および維持すること。 • 事業資産の固有サイバーリスクに対処するために、次の ような適切なコントロールを確立し適用すること。 – 利用や展開、 リリース前の資産とそれらの運用環境の サイバーリスクを評価する。 – 資産のライフサイクルにわたってコントロールを継続 的に適用し、 資産とそれらの運用環境を監視する。 • 企業や金融セクターの重要なシステムの監視、 インシデ ント対応、 および復旧について、 優先順位を付けること。 • 取締役会が承認したサイバーリスクの選好および許容 度が達成されるまで、外部依存性によるサイバーリスク 発現の継続的削減を、企業および金融セクターに対し て支援すること。 – 関連するサイバーリスク (システムおよびデータに対す る内部脅威を含む) を評価する。 – 内部依存性のサイバーリスク管理方針、基準および • 企業と金融セクターに不可欠なシステムをサポートする 事業資産に関連する外部依存性をモニタリングすること。 手順に対する識別された逸脱や確認された例外、既 protiviti.jp · 4 • 各外部パートナーと関係を持つ期間において、彼らが示 • サイバー攻撃を受けた際、中核的な事業機能を継続す すサイバーリスクに対応する適切なコントロールを確立 るための戦略を確立し、導入すること。エネルギーや電 し、 かつ適用すること。 気通信等、相互接続された重要なインフラストラクチャの 複数の要素に対する複数の同時または広範囲の中断 • 外部パートナーからの成果が期待通りでは無い場合に やサイバー攻撃の可能性を考慮する必要がある。 備え、代替策を認識し、代替策への変更について定期 的なテストを行うこと。 • 特定の定義済みのデータ基準 2 を使用してフォーマット された重要な記録(金融機関の財務記録、 ローンデータ、 インシデント対応、 サイバー復旧能力および状況認識 資産管理勘定情報、残高および所有権の詳細を含む 日々の預金勘定記録等)について、安全で変更不可能 インシデント対応、サイバー復旧能力、および状況認識カテ なオフライン保管の方法を確立すること。 ゴリの基準は、企業がサイバーインシデントに起因する混乱 への対応について計画、 実行し、 迅速に回復するように設計 • ある事業部門やサービスプロバイダが業務を遂行でき されており、企業および金融セクターのサイバー復旧能力 ない事態に陥った場合、業務の中断を最小限にし、 かつ を強化することを目指しています。金融機関は、 サイバー攻 所定の時間内で実行可能とするために、業務を他の事 撃に直面した際においても、重要なビジネス機能を実行す 業部門やサービスプロバイダに移管する計画とメカニズ ることが可能であり、継続的にサイバー復旧能力を強化す ムを確立すること。 内部監査人協会 (IIA) 情報/CBOK調査結果 ることが求められます。加えて、企業は、事業環境の変化を 確実に予測し、分析し、対応するための効果的な状況認識 • クライアントにサービスを提供する能力に影響を与える 能力について、 維持するように設計されたプロセスを確立す 可能性があるサイバーインシデントに対処する特定の訓 ることが求められます。 練を実施すること。 この提示された基準では、企業は以下の事項が求められま す。 • サイバーインシデントを回避し、かつ発生時には迅速に 対応するために、企業の運用状況およびサイバーセキュ リティに対する取組について、継続的な状況認識を維持 • サイバー攻撃による悪影響の広がりを防止するために、 すること。 金融セクターのパートナーや外部ステークホルダーとの 相互接続から発生するサイバーリスクを特定し、緩和す る計画を立て、 実施すること。 • 企業で認識された脅威のプロファイルを確立し、かつ維 持すること/脅威モデリング機能を確立し、かつ維持す ること/対応可能なサイバー脅威情報を収集すること/ • 適切なポリシーや手順、 ガバナンス、 人材の配置、 独立し たレビューによってサポートされる、企業全体のサイバー 復旧能力とインシデント対応プログラムを確立し、 維持す ること。これらのプログラムには、組織の意思決定レベ 継続的にセキュリティ分析を行うこと/継続的な脆弱性 管理能力を確立し、 かつ維持すること。 金融セクターの重要な基準 ルや、サイバー攻撃による悪影響の広がりの防止手順、 コミュニケーション戦略、およびインシデントによる教訓を 組み込むため、効果的な報告手順が含まれている必要 がある。 提案されている段階的な導入アプローチにおいては、対象 となる全ての企業が強化された基準の対象となりますが、 「金融セクターの重要なシステム」 として定義された組織に ついては、 より高度な課題があります。 • アクセスを阻害したり、 データを破損させたり、 データやシ ステムを破壊したりする可能性があるサイバー攻撃につ この金融セクターの重要な基準において、対象の企業は以 いて、復旧能力の戦略を策定する計画を立てること。そ 下の事項が求められます。 の際、企業は、マルウェアや破損したデータが、接続され たシステムや高可用性ソリューションを通じて複製また • 最も効果的で利用可能なコントロールを導入すること。 は伝播する可能性に対処する復旧能力を備える必要が あり、 ビジネス戦略に沿ったリカバリ時間目標(RTO) を 確立する必要がある。 • サイバーインシデントから復旧するために、金融セクター の重要なシステムにおいては、 2時間のリカバリ時間目標 2 このデータ基準を用いることで、別の金融機関やサービスプロバイダ、連邦預金保険公社(FDIC)によって、記録が復元される。 protiviti.jp · 5 (RTO) をテストによって検証し、確立すること。テストプ ログラムには、重大な実害が生じ、かつ発生可能性があ 導入 るシナリオ等、様々なシナリオを含め、通信プロトコルや 規制案制定事前通告 (ANPR) は、特定のサイバーリスク管 ガバナンスの取り決め、再開と復旧の方法などの課題 理基準を課した政策声明またはガイダンスから詳細な規則 解決を計ること。 に至るまで、 これらの強化された基準の様々な導入方法を 提案している。詳細な規則において、規制当局はそれらの • 金融セクターの重要なシステムの全体的なサイバーリス フレームワークを提案しており、 このフレームワークには、企 クの総量を削減する能力、およびそのリスクを最小限に 業が達成することを求められている具体的な目標と実践の 抑える能力を定量的に測定すること。測定には、 内部依 詳細が含まれる。また、 規制案制定事前通告 (ANPR) にお 存性、外部依存性、および金融セクターの重要なシステ いて、企業が最終的な決定を下す際の選択肢について明 ムへのアクセスに関連するリスクを考慮すること。 確にし、潜在的なコストやその他の負担を考慮することを示 している。 内部監査人協会 (IIA) 情報/CBOK調査結果 プロティビティについて プロティビティは、 企業のリーダーが自信をもって未来に立ち向かえるように、 高い専門性と客観性のある洞察力、 クライアントに合ったアプローチや最善の協力を提供するグローバルコンサル ティングファームです。20ヶ国、 プロティビティと独立したメンバーファームはクライアントに、 ガバナンス、 リスク、 内部監査、 経理財務、 テクノロジ、 オペレーション、 データ分析に 70 を超える拠点で、 おけるコンサルティングサービスを提供しています。プロティビティは、 成長著しい中小 Fortune 1000 の 60 %以上、 Fortune Global 500 の 35 %の企業にサービスを提供しています。また、 企業や、 上場を目指している企業、 政府機関等も支援しています。プロティビティは、 の 100 %子会社です。 1984 年に設立され現在 S&P500 の一社であるRobert Half International(RHI) © 2016 Protiviti Inc. All rights reserved. 複写禁、転載禁
© Copyright 2024 Paperzz
