日銀は16日、4月に実施された金融機関のサイバーセキュリティに関するアンケート調査「サイバーセキュリティに関する金融機関の取り組みと改善に向けたポイント」を公表した。このアンケート調査は当座預金取引先金融機関等の411機関を対象に行われ、サイバー攻撃の脅威やこれへの対応状況、リスク管理体制の整備状況などを明らかにする目的で行われたものである。
アンケート調査の結果、大半の金融機関がサイバー攻撃の脅威の高まりを感じていることが明らかとなった。回答結果を見ると85.4%の金融機関が2015年頃と比較して「自社に対するサイバー攻撃に脅威を感じており、その脅威はより高まってきていると評価している」と回答しており、大手の金融機関ほど攻撃を受けた経験が多い傾向があるが信用金庫等の地域金融機関にも広がりつつあることが確認された。
こうした状況の中、多くの金融機関がマルウェア検知・感染状況、マルウェア添付メール受信状況のモニタリングを実施しているようだ。脅威情報に関しては、OSやミドルウェアの脆弱性、マルウェアの特徴など多様な情報収集をしている。回答からはミドルウェア等の脆弱性情報を収集している機関は96.4%、マルウェアの特徴の情報収集が92.2%となっている。OS、ミドルウェアの脆弱性情報の収集・自社への影響調査の実施に関しては「機動的かつ定期的に」が23.8%、「定期的に」が23.8%、「他社で話題になったその都度」が40.4%、「行っていない」が11.4%となっており、常態的に情報収集、影響調査を実施しているのは57.6%程度にすぎない。
サイバーセキュリティの予算については60.6%の機関で臨機応変に充当され37.1%の機関で予算の範囲内で取捨選択して充当していると回答している。サイバーセキュリティ関係投資・経費については15年当時と比べ増加傾向で推移している。サイバーセキュリティの対応予算はIT投資戦略であって経営層レベルでの意思決定が重要になる。大半の機関ではIT担当役員は設置されているが、サイバーセキュリティ専門役員(CISO)を設置している機関は少数である。回答では「CISOなどが統括」は3.6%と極めて少数で、「ITを所掌する役員が統括」が73.5%と最も多く、「IT以外を所掌する役員が統括」が8.0%、「複数の役員」が4.4%、「役員以外」が8.8%、「統括責任者無し」が1.7%となっている。
サイバー攻撃は技術上も高度化し、領域的にも広がりを見せている。脅威が高まる中、役員クラスの強い権限を持った責任者をリーダーとする即応組織の整備が急務であると言える。(編集担当:久保田雄城)