採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. 金融庁からサイバーセキュリティガイドラインが公開!今押さえておくべきポイントを解説

電子認証局サービス BLOG

クライアント認証ソリューション

2025 年 02 月 21 日

金融庁からサイバーセキュリティガイドラインが公開!今押さえておくべきポイントを解説

2024 年 10 月に金融庁は、金融機関におけるサイバーセキュリティ管理態勢の強化ならびに金融セクター全体のサイバーセキュリティ強化促進を目的に「金融分野におけるサイバーセキュリティに関するガイドライン」(以下、本ガイドライン)を公開しました。
今回は金融庁が公表した本ガイドラインで押さえておくべき点と、金融機関におけるサイバー攻撃対策について解説します。

サイバーセキュリティ=経営課題の一つ

本ガイドラインでは、サイバーセキュリティは自社の IT 部門だけで担うものではなく、経営課題として位置づけており、経営陣の積極的な関与が必要であるとしています。サイバーセキュリティが経営課題である理由としては、以下が挙げられます。

1) 企業活動に大きな影響

サイバー攻撃は情報漏えいだけでなく、業務停止や金銭的損失など、企業活動に甚大な影響を及ぼす可能性があり、攻撃の兆候を察知してから対策を実施するまでの時間が長いほど、被害が拡大します。

2) 規模を問わず標的に、完全な防御が困難

大企業のみならず、中小企業もサイバー攻撃の対象であり、その攻撃手法は複雑化かつ常に進化しているため、完全な防御は困難です。

3) 被害の連鎖拡大(サプライチェーン攻撃)

サイバー攻撃の被害は自社に留まらず、取引先や関係会社にも波及する可能性があります。ネットワークを介して被害が拡大するため、影響範囲が広がります。

( 出典 ) 警察庁サイバー警察局「 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について

サードパーティリスク管理の重要性

金融機関は、サードパーティ(外部委託先、クラウドサービス提供者など)に起因するサイバーセキュリティリスクを以下の観点で適切に管理する必要があります。

1) サードパーティの特定とリスク評価

サードパーティを特定し、そのリスクを評価する必要があります。この評価では、サードパーティやその提供する商品・サービスの自組織業務における重要度、重要情報の取扱い有無、組織内システムへの接続状況などを考慮します。

2) 契約時のセキュリティ要件の明確化

サードパーティが遵守すべきサイバーセキュリティ要件を明確にし、契約へ盛り込む必要があります。これには役割分担、責任分界、監査権限、再委託手続、セキュリティ対策、インシデント対応、脆弱性診断、演習・訓練の実施、データ管理、契約終了時の取り決めなどが含まれます。

3) 継続的なモニタリング

サードパーティおよびその製品・サービスによってもたらされるサイバーセキュリティリスクと契約の履行状況を、リスクの重大性に応じて継続的にモニタリングすることが求められています。

多層防御の導入~電子証明書のススメ~

本ガイドラインでは「多層防御」をサイバー攻撃対策における基本的な対応事項として位置付けており、具体的には以下の 3 つの要素から構成されています。

  1. 不正侵入を防止するための境界ネットワーク対策
  2. 内部ネットワークでのシステム不正利用を防止するための対策
  3. 外部への情報漏洩対策

特に 2 については、内部不正の抑制ならび年々巧妙化していくサイバー攻撃に対し、完全に不正な侵入を防ぐのは困難となっているため、侵入された場合に備えた対策が必要です。

本ガイドラインでは、内部不正や不正アクセス対策としてアクセス権を最小限とする設定ならびアクセスする情報資産の重要度に応じた多要素認証 の導入について記載されています。

多要素認証 については BLOG:多要素認証(MFA)とは? をご覧ください。

金融機関においては管理している端末の認証と、利用者に合わせた情報資産へのアクセス制御を行うことが求められますが、多要素認証として電子証明書を導入することによって、これらを容易に実現することが可能です。

電子証明書は、金融機関が管理する端末へインストールし、ID・パスワードや生体認証といった既存の認証と組み合わせて認証を強化することができます。電子証明書がインストールされていない端末からのアクセスを制御することができるため、金融機関におけるサイバー攻撃ならびにシャドー IT(利用者が無許可で私物のスマートフォンなどを利用)対策として電子証明書の利用は有効です。

また、電子証明書内に記載する内容に基づき、情報資産へのアクセスを利用者やグループごとに制御することも可能です。

金融機関における多要素認証=サイバートラスト デバイス ID

サイバートラストでは、証明書ベースの認証を可能にする「 サイバートラスト デバイス ID」を提供しています。「 サイバートラスト デバイス ID」は、 端末識別情報(MAC アドレス、IMEI、UDID、シリアル番号、Wi-Fi Mac)を遠隔で確認 した上で管理者が許可した端末に登録します。

「サイバートラスト デバイス ID」は、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能です。
また、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

本記事に関連するリンク
< 前の記事へ
救急時医療情報閲覧機能の運用開始!電子カルテへの二要素認証導入が必須!
次の記事へ >
【Prisma ® Access × デバイス ID】デバイス ID 証明書を保持したクライアント端末の GlobalProtect で証明書認証をしてみた
最新 BLOG 記事
犯収法改正で「ICチップ読み取り」の流れが加速、早期対応がカギ
犯収法改正で「ICチップ読み取り」の流れが加速、早期対応がカギ
2025 年 03 月 10 日
【Prisma <sup>®</sup> Access × デバイス ID】デバイス ID 証明書を保持したクライアント端末の GlobalProtect で証明書認証をしてみた
【Prisma ® Access × デバイス ID】デバイス ID 証明書を保持したクライアント端末の GlobalProtect で証明書認証をしてみた
2025 年 03 月 04 日
金融庁からサイバーセキュリティガイドラインが公開!今押さえておくべきポイントを解説
金融庁からサイバーセキュリティガイドラインが公開!今押さえておくべきポイントを解説
2025 年 02 月 21 日
26 年 4 月施行! 携帯法改正で IC チップ読み取りへの対応が急務に
26 年 4 月施行! 携帯法改正で IC チップ読み取りへの対応が急務に
2025 年 02 月 14 日
救急時医療情報閲覧機能の運用開始!電子カルテへの二要素認証導入が必須!
救急時医療情報閲覧機能の運用開始!電子カルテへの二要素認証導入が必須!
2025 年 01 月 09 日
証書/証明書のデジタル化、脱紙文化への打開策とは
証書/証明書のデジタル化、脱紙文化への打開策とは
2024 年 12 月 10 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime