金融庁は、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表し、適用を開始しています。
この中で、サイバーセキュリティに関する基本的な考え方を示した上で
- 基本的な対応事項
- 対応が望ましい事項
に分けて、サイバーセキュリティに係る対応を求めています。
最近サイバーセキュリティに関する対応が強く求められるようになってきていますが、本ガイドラインでは組織としてのサイバーセキュリティへの対応がまとめられています。
本ガイドラインは金融機関向けのものであり、一般の事業会社の場合、そのすべてに対応することは難しいと思われます。
一般の事業会社の場合、リスクが発生した場合の影響度、発生確率、対応を実施するために必要となるコストを考え、対応を検討することになるかと思われます。
監査法人は金融機関ではありませんが、監督官庁が金融庁であること、取り扱う情報の機密性が高いこと、近年サイバーセキュリティへの対応が強く求められる傾向にあることを考えると、将来的に当該ガイドラインに記載されている事項の準用が求められる可能性があるかと考えています。
当ガイドラインでは、少なくとも1年に1回、サイバーセキュリティに関する規定及び業務プロセスを見直すことを求めています。
これはサイバーセキュリティに関するリスクは年々変化するため、新たに発生したリスクにも、柔軟に対応する必要があるためだと思われます。
IPA(独立行政法人 情報処理推進機構)では、「情報セキュリティ10大脅威」を毎年発表しているので、リスクを検討する際の参考になるかと考えています。
「金融分野におけるサイバーセキュリティに関するガイドライン」は、こちら です。
「情報セキュリティ10大脅威」は、こちら です。