◇SH1037◇金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(8) 木嶋謙吾(2017/02/28)

未分類

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第8回 Report on Cybersecurity Practices  FINRA(2)-2

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

インシデントレスポンスプラン(初動対応計画)を策定する

  1. ① インシデントが発生した場合を想定したインシデントレスポンスプランを作成する必要がある。
  2. ② 演習計画書にはインシデントが発生した場合のインシデントへの対応方法、エスカレーションプロセスと責任者が明記される必要がある。効果的なインシデントレスポンスプランに関してFINRAは以下の実践を推奨している。
  3. ③ 直面する可能性があるそれぞれのインシデント(例:顧客情報の盗搾、データ破損、DDoS攻撃、ネットワークへの不正侵入、顧客口座への不正侵入、ウイルス感染等)に対して対応できるように準備をする。
  4. ④ インシデントに関する情報収集を行い典型的な事例や攻撃者について熟知する。「コンテインメント(封じ込め)*」と「ミティゲーション(軽減)」に関してインシデント毎に対応策を策定する。
  5. ⑤ サイバー攻撃の根絶及びリカバリープランに関してインシデント毎に対応策を策定する。
  6. インシデントの調査と被害評価のプロセスを策定する。
  7. ⑦ 顧客、当局、警察、情報機関(例:FBI)、自主規制機関、を含む関係者への報告や通知プロセスを定める。
  8. ⑧ 規模、ビジネスモデルに応じて、業界または会社単位での演習に参加する。
  9. ⑨ 顧客情報が盗搾、顧客のクレジットモニタリング・サービスの無償提供等に係る金銭的損失が発生した場合の損失補てん規程とプロセスを定める。

   *  コンテインメントとは継続中の外部からの攻撃や、情報の流失等の被害が継続することを遮断することを言う。
    ミティゲーションとは被害が広がったり、深刻化することを防止することを言う。
   ⁂  他人の個人情報を勝手に使い、クレジットカード口座やローン口座をつくられたことを検知できる。

 

ベンダー・マネージメント管理体制を構築する

 ベンダーに会社機微情報、顧客情報へのアクセスや会社システムへのアクセスを認める場合、ベンダーに対して業務委託契約期間中の継続したデューデリジェンスを実行する必要がある。ベンダー・マネージメントに関しては詳細を第9回から第13回で紹介したい。

 

従業員研修フレームワークの構築する

 善意を持った従業員が意図せずサイバー犯罪に巻き込まれることがある。例えば、有害ソフトを無意識にダウンロードしてしまった場合である。効果的な研修によりこのような事態を回避できる可能性は高い。FINRAは効果的な従業員研修に関して以下の実践を推奨している。

  1. ① サイバーセキュリティ研修内容の要件を定義する。
  2. ② 定期的に、要件に沿ったサイバーセキュリティ研修内容を選択する。
  3. ③ 対話型の研修を実施して受講者の意識を高める。
  4. ④ 当該証券会社が標的となった攻撃事例、自社のリスク評価プロセス、サイバー攻撃に関する他社事例などの情報を集めて研修資料を作成する。

 

情報共有体制を構築する

 金融機関は関係者とサイバー攻撃に関する情報共有を行い、情報分析の結果に関しても情報共有を行う必要がある。

  1. ① サイバー攻撃の脅威を社内の関係者、関係グループに宣伝、分析するメカニズムを構築する。(例:リスク・マネージメント部門、情報セキュリティ部門)
  2. ② スレットインテリジェンス(脅威情報)を戦術、戦略的見地から分析する。

 効果的な情報共有体制を構築する為にFS-ISAC(Financial Services:Information Sharing and Analysis Center)に加盟して情報共有を行うことが奨励されている。FS-ISACは1998年に、米国の重要インフラを保護するため、サイバー脅威に関する情報を官民セクターが共有するよう指示した大統領決定指令(Presidential Decision Directive-63)PDD-63が発令され、これに応える形でBank of America、BNY Mellon、Citigroup、Goldman Sachs、JPMorgan Chase、Morgan Stanley、State Street and Wells Fargoを含む主要金融機関がFS/ISACを発足させた。FS/ISACは、セキュリティ情報を定期的に収集し、加盟社へ配信している。また、加盟者からサイバー脅威に関する情報が報告された場合は、専門家が内容を検証、分析するとともに対応策を提案し、全加盟社へアラートを配信して情報共有を行なっている。

 

サイバー保険に加入する

 サイバー保険加入時には、リスク許容度により保険内容が同社のリスクアセスメント結果と適合しているかを判断し、定期的な保険内容の見直しをすることでインシデントが発生した際の経済的インパクトをコントロールできる。サイバー保険に関しては第13回と第14回で手順書の内容を詳細に紹介したい。

 

タイトルとURLをコピーしました