本格化する金融庁“サイバーセキュリティ対策要請”、「SBOMと監視カメラ」が鍵のワケ
「どこまで」を自己解決の対象とすべきか?
6章から成るサイバーセキュリティガイドラインへの対応は、その多くが自金融機関にて完結すべきではある。ただし、自金融機関でこうした膨大な作業を担い高度に実装する上ではハードルが横たわる。単なる要件の難易度のみならず、相応のコストが伴うためだ。 また、他金融機関との競争領域に該当しない項目について、そもそも各金融機関が横並びで同様の対応を施すことは必ずしも合理的とも言えないものも含まれることだろう。 そこで、「脅威情報及び脆弱性情報の収集・分析」、「監視」、「初動対応のうち検知・受付・トリアージ」、「分析」、「教育・研修」、といったものは、業界団体が主導して会員金融機関向けに提供することが考えられる。 あるいは、勘定系や情報系の開発・運用を担うメインベンダーや特定のセキュリティベンダーが複数の金融機関向けに業務を提供することも有効となろう。すでに監視機能たるSOCを共同システムの機能として参加金融機関向けに提供する例がみられるなど、一考の価値がある。
新たな項目「SBOM対応」の要諦は?
図はサイバーセキュリティガイドラインにおける技術的対応の代表的な要件を示したものである。項目としては、かねて監督指針で対応を要請してきたものが大部分を占めている。 ただし、「ハードウェア・ソフトウェア等」の対応として自社開発のソフトウェア、利用中サービスを対象に、「ソフトウェア部品表(SBOM)の整備が要件に含まれたことは興味深い。 これは「ソフトウェアを購入してみたら、組み込まれていたAIが特定国に属する企業が製造して製品だった」といった懸念が対応しているためだ。 最近では、公安調査庁はセミナー等を通じて「日本のシステム開発会社がソフトウェア開発を外部委託したら、当該企業が特定国の企業に再委託していることが判明した」といった懸念すべき事象が確認されていることを脅威情報として伝えている。 これはサイバーセキュリティのみならず、AML/CFT・核拡散防止の取り組みとしても留意せねばならないわけだ。 また併せて「情報資産管理」として、データフロー図・ネットワーク図を作成しメンテナンス手順を定めるなど、常に最新の状態を把握できるように管理すること、とされた。 ネットワーク図には、モバイル接続や外部接続、ネットワークに接続するサードパーティ、及び内部システムも含めたネットワーク上のデータフローの情報を含めることも示されているのがポイントだ。 金融機関が利用するソフトウェアの製造者、供給者、製造国などの特定が可能な「ソフトウェア部品表」を指すSBOM(Software Bill of Materials)の整備とこれらのデータフロー図、ネットワーク図の作成指示は、前述のリスクへの直接的の対応もさることながら、本年4月から事実上運用されている経済安全保障対策の一環とも位置づけられる。 すでに内閣府令で指定先とされた金融機関は、これらの対策が法として義務化されているためだ。 すなわち、経済安全保障対応の指定先となっていない金融機関であっても、事実上同様の対応が義務化されたものとみることができる。したがって、今後は徐々に内閣府令の指定先金融機関が拡大していくことが容易に想定されるところでもある。
