◇SH1044◇金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(9) 木嶋謙吾(2017/03/03)

未分類

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第9回 Report on Cybersecurity Practices  FINRA(3)
―—ベンダー・マネージメント(1) リスクベースアプローチのデューデリジェンス

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

ベンダーマネージメントの必要性

 金融機関はサードパーティ・ベンダーから幅広いサービスの提供を受けている。最近の米国におけるインシデントで顕著なのは同一のベンダーへのサイバー攻撃が複数の金融機関のインシデントの原因となっていることである。例えば、ベンダーの従業員が複数の委託元金融機関のシステムを不正利用して情報を盗搾する場合や、ベンダー自体がサイバー攻撃を受け、ベンダーのシステムを利用する複数の委託元金融機関のデータが第三者に盗搾される場合である。ベンダーへの攻撃でベンダーのシステムがマルウェアに感染すると、複数の委託元企業のシステムがマルウェアに感染する場合もある。FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)は2015年2月3日に公表したReport on Cybersecurity Practice(以下「手順書」という)でベンダーに対してはリスクベース・アプローチで効果的なリスク管理を行う必要があると考えて、以下の7項目に関して提案を行なっている。

  1. ① ベンダーに対するデューデリジェンスを実施する。
  2. ② ベンダーがアクセスできる情報とシステムの機微性を基準としたリスクベース・アプローチでベンダーとの契約内容を定める。
  3. ③ 業務委託期間中と業務委託関係終了後のベンダーの責任を明確にする。
  4. ④ 契約締結後も、ベンダーに対するデューデリジェンスを継続的に実施する。
  5. ⑤ ベンダーとの業務委託内容とベンダーが利用するシステムを含めてリスクアセスメントを継続して行う。
  6. ⑥ 業務委託契約終了時に速やかにベンダーのアクセス権が取り消される手順を整備する。
  7. ⑦ ベンダー毎に業務委託権限を設定し、業務委託権限を継続すべきか否かの決定と業務委託権限内容が適切かどうかのモニタリングをリスク許容度とインフォメーション・セキュリティ・スタンダードに照らして実行する。

 

ベンダーデューデリジェンスの確認事項ついて

 ベンダーへのデューデリジェンスにおいて、金融機関の内部統制基準に対してベンダーの内部統制基準が不適格であれば、ベンダーに改善を要求する。原則としては、情報の機微性を基本とするリスクベース・アプローチを採用して以下の9項目を確認する必要がある。

  1. ① ベンダーの従業員による委託元の情報へのアクセス制限
  2. ② ウイルス対策
  3. ③ 保存中、移送中のデータの暗号化
  4. ④ 再委託者に対するコントロール基準の設定
  5. ⑤ パッチ管理
  6. ⑥ オンラインシステムの脆弱性診断の実施
  7. ⑦ 管理プロセスの定期的変更
  8. ⑧ プログラムコーディング管理
  9. ⑨ ビジネスリカバリー管理

 

ベンダー・マネージメントの具体例

 FINRAの所見によると、しっかりとしたベンダー・マネージメント・プロセスをもつ金融機関は契約前のデューデリジェンスにおいて、リスクベース・アプローチで上記9つの項目をそれぞれ確認している。ベンダーや委託する情報のリスクが低い場合はオンサイトモニタリングを行わず、質問票をベンダーに送り、回答してもらうだけでデューデリジェンス済ませる場合もある。反対にリスクが高い場合はStatement on Standards for Attestation Engagements no.16/SOC2[1](以下「SSAE16/SOC2レポート」という)の提出をベンダーに要求し、更にオンサイト・モニタリングを実施する場合がある。ある金融機関では、顧客情報または会社情報が潜在的にリスクにさらされる可能性がある場合にはインフォメーション・セキュリティ部門、コンプライアンス(プライバシー担当)、ユーザービジネス部門、法務部門、テクノロジー部門、リスク・マネージメント部門の担当者によって構成されるデューデリジェンス・チームによってデューデリジェンスが実施される。別の金融機関ではベンダー・マネージメントを担当する専門部門によりデューデリジェンスが実施される場合もある。デューデリジェンスによってベンダーの内部統制基準が不適格と認定され、改善を要求したが、その要求が受け入れられなかった場合(例えば、変更が技術的に困難、または変更に高額な費用を要する場合)は、リスク・マネージメント部門に報告され、同部門に判断が付託される。同部門はリスクテイクをするベンダーに協力してもらい、一定の期間内にリスク軽減措置を講ずるベンダーとの業務委託の終了のいずれかを選択する。リスクテイクを行う場合には当該金融機関のシニアメンバーもしくはシニアグループによる承認が必要となる。

 


[1] SSAE 16/SOC2レポートは American Institute of Certified Public Accountants(以下「AICPA」という)によって採用されていて米国だけでなく我が国を含む多くの国で利用が可能な、委託元がベンダーに業務委託を行う場合に、委託業務に係るベンダーにおける内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載した監査証明書である。SAE16/SOC2レポートの内容については第10回で説明したい。

タイトルとURLをコピーしました