サイバーセキュリティ監査 (備忘録的メモ)

mizushima

 2025年7月4日に金融庁から、「金融分野におけるサイバーセキュリティに関するガイドライン(以下、ガイドライン)」の一部改正について、が公表された。

 これは、「サイバー対処能力強化法整備法」の施行に伴い、内閣官房「内閣サイバーセキュリティセンター(NISC)」が令和7年7月1日付で「国家サイバー統括室」に改組されたことに伴うガイドライン上の使用語句の変更に過ぎない。

 これを機会にガイドラインで内部監査がどのように言及されているか確認しておこう。以下ガイドラインで内部監査(監査)に言及されている部分だ。

・・・・・・・・・・
1.2.2. 経営陣の関与・理解
 サイバーインシデントによる業務の中断は、顧客に大きな影響を与え、金融機関等ひいては金融システムの信頼に大きな影響を与えかねない重大なリスクである。こうしたリスクの性質に鑑みれば、サイバーセキュリティは、IT・システム部門の問題に止まらないことは明らかであり、経営責任が問われかねない問題である。また、サイバーイ
ンシデント発生時に、顧客、金融システムへの影響を最小化し、極力早期の復旧を目指すためには、各業務所管部、企画、広報、コンプライアンス、リスク管理、監査などの
各部門間の連携が不可欠であるし、また、現場担当者に止まらず、経営陣の主体的な関与が求められる。さらに、顧客、法執行機関、情報共有機関、当局等との連携も求めら
れる。こうした組織全体としての対応を実現するためのガバナンスの確立が必要であり、そのためには経営陣のリーダーシップが不可欠である。

 経営陣は、サイバーセキュリティに関する監査の結果や、関係主体等(顧客、地域社会、株主、当局等)からの要求事項や、法規制等の内外環境を踏まえ、サイバーセキュリティ管理態勢の継続的改善を行うこと。

 経営陣が適切な経営判断を行うための前提として重要なサイバーセキュリティに係るガバナンスの確保のため、サイバーセキュリティに関する十分な知識を利用(外部専門家の利用を含む)できるようにしておくこと。これには、一般的な3線防衛態勢(業務部門、リスク管理部門及び内部監査部門)の下、サイバーセキュリティに関する各部門の役割分担の明確化や外部専門家を利用した検証の仕組みを構築することを含む。

 経営陣は、少なくとも1年に2回、以下の報告を担当部署等に求めること。
・ サイバーセキュリティにかかるパフォーマンス指標(KPI)及びリスク指標(KRI)
   KPI の例:標的型メール訓練の報告率、脆弱性対応率、情報資産棚卸進捗率、トレーニング受講率等。
   KRI の例:サイバー攻撃試行件数、監査指摘件数、インシデント件数、未対応の脆弱性件数等。

 人材の育成については、例えば、以下のような人材を外部人材の活用も含めて計画的に確保していくこと。
 ・ 新たなデジタル技術の導入に際し、生じ得るサイバーセキュリティに関するリスク評価を行う人材
 ・ サイバーセキュリティ戦略・計画の企画・立案を行う人材
 ・ サイバーセキュリティに関する研修や人材育成を行う人材
 ・ サイバーセキュリティの観点からシステムの設計・開発を行う人材
 ・ サイバーセキュリティ脅威、脆弱性に関する情報収集やシステムへの脆弱性対応を行う人材
 ・ ログの監視・モニタリングを行う人材
 ・ サイバーインシデント発生時に対応を行う人材
 ・ フォレンジック調査等を行う人材
 ・ 脆弱性診断やペネトレーションテストを行う人材
 ・ サイバーセキュリティ監査を行う人材

2.1.5. 内部監査
【基本的な対応事項】
① 内部監査部門は、必要に応じて外部専門家を利用しつつ、独立した立場から、リスクベース・アプローチに基づき、サイバーセキュリティに係る内部監査計画を策定し、サイバーセキュリティ(整備状況・運用状況、対応・復旧、法規制の遵守状況、サードパーティリスク管理を含む)をテーマとする内部監査を実施すること。
② 内部監査部門は、内部監査で指摘した重要な事項について遅滞なく代表取締役及び取締役会等に報告するとともに、指摘事項の改善状況を的確に把握すること。
【対応が望ましい事項】
a. 内部監査部門にサイバーセキュリティに係る適切な知識及び専門性等を有する職員を配置すること。

継続的な改善活動
 演習・訓練、脆弱性診断及びペネトレーションテスト、監査、リスク評価、及び実際のインシデントから得られた推奨事項、発見事項、教訓については、関連手続等に従って改善すること。

クラウドサービス利用時の対策
 情報公開等の設定にミスがないか確認すること。設定の妥当性の確認においては、必要に応じて、専門家によるシステム監査や誤設定の自動検知等の診断サービス等を利用すること。

サードパーティリスク管理
 サードパーティが遵守すべきサイバーセキュリティ要件を明確化の上、重要度に応じ、サードパーティ等との契約や SLA(サービスレベルアグリーメント)等において、例えば、以下の項目を明記すること。
 ・ サードパーティとの役割分担・責任分界
 ・ 監査権限
 ・ 再委託手続
 ・ 実施すべきセキュリティ対策
 ・ サードパーティの役職員が遵守すべきルール
 ・ インシデント発生時の対応及び報告
 ・ 脆弱性診断等の実施及び報告
 ・ 深刻な脆弱性が判明した場合の対応及び報告
 ・ サイバーセキュリティに係る演習・訓練の実施(共同演習・訓練への参加を含む)
 ・ データの所在・保管・保持・移転・廃棄に関する取決め
 ・ 契約終了の条件及び契約終了時の取決め
 ・ 外部評価等の実施(第三者保証報告書の提出、第三者認証の取得を含む)

・・・・・・・・・・

 内部監査について一節が割り振られており、サイバーセキュリティ分野での内部監査の重要性がわかる。

 経営層のリーダーシップと管理のツボの中にも監査が適宜引用され、重要さが理解できる。それにしてもサイバーセキュリティを作る、運用する、管理する、監査するといった能力のある人材確保は非常に困難だ。

2025年7月5日 土曜日