金融庁、能動的防御を後押し　サイバーリスクの情報拡充

金融庁は、サイバーリスク管理上で参考となる情報を金融機関に新たに提供することで、サイバー攻撃に対する金融セクターの能動的な防御態勢を強化する。事故発生後の迅速な対応やリスク低減策だけでなく、「プロアクティブに参考となる情報」（同庁関係者）を提供する方針。先進的なリスク管理手法に関わる情報などが想定される。近年、外部委託先を含むサードパーティ（第三者）やサプライチェーン（供給網）に由来するリスクが急激に高まっており、対応が急務となっている。

政府は10月30日、新しい資本主義実現会議を開催し、今後策定する総合経済対策の重点施策を公表した。経済安全保障の分野では、金融セクターのサイバーリスクに対するアクティブサイバーディフェンス（能動的防御）を強化する方向性が示された。

これまでも金融庁は、サイバーセキュリティーのガイドライン策定やレポートの公表を通じて、リスク管理上の参考情報を金融機関に提供してきた。今回の重点施策では、従来のものとは別に「追加的な手当てが必要」（金融庁）として、新たな情報を提供する方針だ。

対応を急ぐ背景には、金融セクターにおける第三者・供給網リスクの高まりがある。実際、外部委託先へのサイバー攻撃により、金融機関のサービスを利用できなくなる事例や顧客情報が漏洩する事例が複数発生。同庁関係者は「（第三者、供給網の）リスクは継続的に高まるだろう」と警鐘を鳴らす。

同庁は、業界全体のサイバー攻撃への対応力を底上げするため、官民合同演習や自己診断ツールを活用した情報還元に取り組んできた。サイバーセキュリティー管理態勢の実効性を検証するうえで有効な「脅威ベースの侵入テスト（TLPT）」もその一環。従来は、大手行や地域銀行などで実施されてきたが、2024事務年度（24年7月～25年6月）は地域金融機関の一部に対してもTLPTを実施する方針を示している。