この記事では、金融庁が配布したセルフアセスメントツールの役割や背景について理解を深め、サイバー犯罪対策のために必要な取り組みを検討する方法について解説します。

サイバー犯罪は国内外で増加の一途を辿る一方、国内企業における対策は十分に進んでいません。中でも金融庁が2022年度に配布したセルフアセスメントツール・サイバーセキュリティセルフアセスメントの点検票（CSSA）は、セキュリティ強化を企業に促すとともに、有効な対策方法を検討する上で役立てられています。

金融庁の配布するセルフアセスメントツールとは

セルフアセスメントツール・サイバーセキュリティセルフアセスメント（CSSA）の点検票は、金融庁が2022年度に金融機関向けに配布した自己評価ツールです。

セキュリティ対策の強化が必要とはいえ、何から始めて良いのか見当がつかない、という組織は少なくありません。そこで金融庁は客観的な評価が可能なセルフアセスメントツールを各金融機関に配布し、セキュリティ対策の現状と、改善すべきポイントを把握できるよう促しました。

また金融庁は、今回の調査を踏まえ設問の見直しなども行いながら、2023年度以降も継続的に実施することを想定している事、また地域金融機関がサイバーセキュリティ管理態勢の更なる強化に向けた取り組みを進めていくうえで、サイバーセキュリティセルフアセスメントが活用されることを期待するとともに、考査や検査、モニタリング、各種セミナー等を通じて、そうした取り組みを後押ししていく方針であると言及しています。

金融庁がセルフアセスメントツールを配布した背景

今回セルフアセスメントツールが導入された背景としては、地方金融機関の脆弱なセキュリティ対策が放置されていたことが挙げられます。

以前よりサイバーセキュリティ対策が遅れていることは認識していたものの、依然として改善は行われず、ウクライナ危機をきっかけに、国内でのサイバー攻撃も増加傾向にあります。現状、甚大な被害を被った例は少ないですが、今後金融機関にサイバー攻撃が行われ、被害を受けた場合、取り返しのつかない経済的ダメージなどを負ってしまう可能性も無視できません。

また、現状のセキュリティに関する評価を金融庁は正しく出すことができていないことも、問題とされています。今後日本全体でセキュリティの底上げを図る上でも、セルフアセスメントツールを使った現状把握が必要です。

セルフアセスメントツールの強み

今回のセルフアセスメントツールが優れている点としては、米国で採用され高い信頼を獲得している、CAT（Cybersecurity Assessment Tool）にはない強みを発揮することが挙げられます。

CATは、詳細なセキュリティ評価を下す上では便利な評価軸を有していますが、課題とされていたのが評価に時間がかかってしまうという点です。CATは評価項目が極めて多岐にわたっており、相応の時間を要します。IT担当者が十分にいる組織であれば便利なツールですが、金融機関ではそのような環境を整えることが難しいのも現状です。評価にも時間がかかり、改善点を把握するために大きな負担がかかるという、気軽な運用ができないものでした。

そこで今回金融庁にて作成されたセルフアセスメントツールでは、評価項目がある程度絞られており、大まかな改善点や現状を把握する上では十分な仕組みを備えています。評価にかかる時間を抑え、改善のアクションにつなげやすい点から、金融機関での運用が進みました。

金融庁のセルフアセスメントツールは、あくまで金融機関向けに配布されたものであるため、一般企業での運用は想定されていません。

ただ、領域を問わず自社のセキュリティ環境を客観的に評価する機会を設けることは大切です。また自社のセキュリティ環境を客観的に評価する際は、金融庁のセルフアセスメントツールのように、評価にかかる負担が小さいツールを選び、改善に力を入れられるのが理想といえます。

サイバーセキュリティの強化に必要なこと

サイバーセキュリティを強化する上では、セルフアセスメントツールのようなツールを使った自己評価に加え、「インシデントの発生を早急に察知できること」「インシデント対処と復旧を早急に実施できること」などの環境を整備する必要があります。

インシデントの発生を早急に察知できること

サイバー攻撃の被害を少しでも小さく抑えるためには、攻撃や不審なアクセスなどを受けたことを、すぐに察知できる仕組みを整備する必要があります。

残念ながら、多くのサイバー攻撃は人間が異常に気づいた時にはもう手遅れ、というケースがほとんどです。自動でシステムをモニタリングし、少しでも不審な動きがあれば、即座に担当者に通知し、不正なプログラムや異常なトラフィックをシャットアウトする仕組みが求められます。

インシデント対処と復旧を早急に実現できること

ただ異常を検知するだけでなく、素早いリカバリーで業務への影響を最小限に抑えることも大切です。復旧が遅れれば遅れるほど、それだけ大きな経済的な損失などが生まれてしまうため、すぐにでも正常な状態へ戻れる仕組みづくりが求められます。

また、インシデントへ迅速に対処するためには、復旧プログラムの構築はもちろんですが、社内でのコミュニケーションを円滑にするための仕組みも大切です。サイバー攻撃を受けた際にどうすれば良いのか、あらかじめルール化しておくことで、情報共有を迅速に行い、必要な対処に各人が取り組むことができます。

非金融業界においても丁寧な自己評価と対策を

この記事では、金融庁が配布したセルフアセスメントツールの役割や強みについて、解説しました。
今回のセルフアセスメントツールは金融業界向けのツールですが、自己評価を適切に行い、必要な対策を施すことは別領域の組織でも同様に大切です。まずは自社の対策状況を客観的に把握し、必要な施策を検討するところからスタートしなければなりません。

そのためにも、正しいセキュリティ対策につながる評価ツールやサービスを利用して、必要な環境構築を進めましょう。