規制行為

エグゼクティブ サマリー サイバー レジリエンスは引き続き金融サービス業界にとって最優先事項であり、金融​​当局にとっても重要な注目分野です。サイバーインシデントが金融システムと世界経済の安定に重大な脅威をもたらすことを考えると、これは驚くべきことではありません。金融システムは、実体経済をサポートする多くの重要な活動 (預金の受け取り、融資、支払い、決済サービスなど) を実行します。サイバーインシデントは、これらの活動をサポートする情報通信テクノロジーを混乱させ、そのようなテクノロジーが処理または保存するデータの悪用や悪用につながる可能性があります。継続的なデジタル化、サードパーティへの依存関係の増大、地政学的な緊張の中で、サイバー脅威の状況が進化し続け、より複雑になっているという事実により、状況はさらに複雑になっています。さらに、サイバーインシデントのコストは長年にわたり継続的かつ大幅に増加しています。この文書は、その文書で取り上げられている管轄区域のサイバー規制を再検討し、他の管轄区域で発行されたサイバー規制を調査することにより、Crisanto and Prenio (2017) を更新しています。2017 年の論文で取り上げた香港特別行政区、シンガポール、英国、米国のサイバー規制とは別に、この論文ではオーストラリア、ブラジル、欧州連合、イスラエル、ケニア、メキシコ、ペルー、フィリピン、ルワンダのサイバー規制を調査しています。 、サウジアラビア、南アフリカ。管轄区域は、先進国 (AE) と新興市場国および発展途上国 (EMDE) の両方のサイバー規制を反映するように選択されました。これは、2017 年以降、EMDE を含むいくつかの管轄区域がサイバー規制を導入しているという事実を浮き彫りにしています。銀行のサイバー レジリエンスの規制には、依然として 2 つの主要なアプローチが残っています。1 つ目は既存の関連規制を活用するもので、2 つ目は包括的な規制を発行するものです。最初のアプローチは、オペレーショナルリスク、情報セキュリティなどに関する規制を出発点として、それにサイバー固有の要素を追加します。ここでは、サイバーリスクは他のリスクとみなされるため、リスク管理の一般的な要件となります。情報セキュリティと運用リスクに関する要件も適用されます。このアプローチは、これらの関連規制がすでにしっかりと確立されている管轄区域でより一般的に見られます。2 番目のアプローチは、ガバナンスの取り決めから運用手順に至るまで、サイバーセキュリティのあらゆる側面を 1 つの包括的な規制でカバーすることを目指しています。どちらのアプローチでも、サイバー規制の規範性が強すぎることによって生じる可能性のあるリスクに対抗するために、一部の規制では広範なサイバー復元原則と一連のベースライン要件を組み合わせています。採用される規制アプローチに関係なく、サイバー復元フレームワークの適用では比例原則が十分に考慮されます。関連規制の一部であろうと、個別の包括的な規制であろうと、最近のサイバー セキュリティ ポリシーは進化しており、「第 2 世代」のサイバー規制と言えるでしょう。「第 1 世代」のサイバー規制は、主に AE で発行され、サイバー リスク管理アプローチと制御の確立に焦点を当てていました。過去数年間にわたり、EMDE を含む当局は、新規または追加のサイバー規制を発行してきました。これらの第 2 世代の規制には、「違反を想定する」という考え方がより組み込まれているため、運用上の回復力の概念とより一致しています。そのため、彼らはサイバー回復力を向上させ、これを達成するための特定のツールを金融機関や当局に提供することに重点を置いています。1 Juan Carlos Crisanto ([email protected]) および Jermy Prenio ([email protected])、国際決済銀行、ジェファーソン・ウメバラ・ペレグリーニ ([email protected])、中央銀行ブラジルの。研究支援をしていただいた Kaspar Köchli 氏と Jatin Taneja 氏、有益なコメントをいただいた Markus Grimpe 氏と対象当局のスタッフに感謝します。Esther Künzi と Theodora Mapfumo は貴重な管理サポートを提供してくれました。銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ 5 「第 2 世代」の規制は、既存の政策アプローチを活用して、サイバー レジリエンスを向上させるための追加の具体的なガイダンスを提供します。サイバーセキュリティ戦略、サイバーインシデントレポート、脅威インテリジェンスの共有とサイバー回復力テストは、依然として新しい規制の主な焦点です。サードパーティのサービス プロバイダーとの接続から発生する可能性のあるサイバー リスクの管理は、「第 2 世代」のサイバー セキュリティ フレームワークの重要な要素となっています。さらに、現在では、サイバーインシデントの対応と復旧、インシデント報告とサイバー復元力テストのフレームワークに関して、より具体的な規制要件が定められています。さらに、サイバー回復力の指標や銀行における適切なサイバーセキュリティの専門知識の利用可能性などの問題に関連する規制要件または期待が、いくつかの管轄区域で導入されています。EMDE の当局は、サイバー規制をより規範的に行う傾向があります。サイバーセキュリティ戦略、役割と責任を含むガバナンスの取り決め、およびサイバー回復力テストの性質と頻度は、EMDE当局が規範的な要件を提供する領域の一部です。このアプローチは、金融セクター全体のサイバーレジリエンス文化を強化する必要性、リソースの制約、および/またはこれらの管轄区域におけるサイバーセキュリティの十分な専門知識の欠如に関連していると思われます。したがって、EMDE当局は、銀行の取締役会や経営陣がサイバーセキュリティに投資し、銀行スタッフが何をすべきかを正確に理解できるように、期待をより明確にする必要があると考えているかもしれない。国際的な取り組みにより、金融分野におけるサイバーレジリエンス規制と期待は収束しましたが、一部の分野ではさらに多くのことができる可能性があります。G7 サイバー専門家グループ (CEG) と世界標準設定機関 (SSB) によるサイバー レジリエンスに関する取り組みにより、管轄区域全体での金融規制および監督上の期待の一貫性が促進されました。サイバー犯罪の国境を越えた性質と、世界の金融安定に対する潜在的な影響を考慮すると、これは必要なことです。統合の余地がある可能性があるもう 1 つの分野は、当局が監視対象機関のサイバー回復力を評価する方法です。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。最後に、重要なサードパーティプロバイダー、特にクラウドプロバイダーのいずれかにおけるサイバーインシデントの国境を越えた影響の可能性を考慮すると、これらのプロバイダーに対する国際的な枠組みを検討する余地があるかもしれません。6 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ セクション 1 – はじめに 1. サイバー リスク 2 は、金融システムと世界経済の安定性に対する重大な脅威です。金融システムは、実体経済をサポートする多くの重要な活動 (預金の受け取りと貸し出し、支払いと決済サービスなど) を実行します。サイバーインシデント3は、金融会社が広く依存している情報通信技術 (ICT) や金融会社が処理するデータに影響を及ぼし、これらの活動を混乱させることがわかっています。金融セクター内では、通常、銀行が最も一般向けの商品やサービスを提供しています。外部関係者との複数の接点により、サイバー攻撃に対する重大な脆弱性が生じ、攻撃の入り口として利用され、最終的には金融システムへの関連混乱を引き起こす可能性があります。2. 継続的なデジタル化、サードパーティへの依存関係の増大、地政学的な緊張の中で、サイバー脅威の状況は進化し続け、より複雑になっています。Interpol (2022) は、ランサムウェア、フィッシング、オンライン詐欺、コンピューター ハッキングが世界的に最も深刻なサイバー犯罪の脅威であると報告しています4。さらに、特にロシアとウクライナの対立以降、地政学のサイバー作戦への強い影響により、サイバー脅威の状況は複雑さを増しています。分散型サービス妨害 (DDoS) がサイバー戦争ツールとして使用され、戦争が始まりました。5 また、技術の高度化と国家支援によるハクティビズムの復活や、ディープフェイクを利用した詐欺行為の増加もあります。6クラウドストライク (2023) は、金融システムの大部分のクラウド プロバイダーへの依存度が高まっており、「電子犯罪と国家の主体が知識と手口を導入してクラウド環境をますます悪用する大きな傾向」を報告しています。3. サイバー脅威の状況は、サイバーインシデントのコストが大幅かつ継続的に上昇していることも特徴としています。Statista (2023) は、2022 年の世界のサイバー犯罪コストを 8 兆 4000 億ドルと推定し、2023 年には 11 兆ドルを超えると予想しています。これは、2021 年から 2023 年の期間におけるサイバー犯罪コストの年間 30% の増加を反映しています。7 さらに、2020 年から 2022 年の間のデータ侵害の平均コストは 13% 増加し、金融業界はヘルスケアに次いで 2 番目に高い平均コストを記録し、600 万ドルを記録しました。8 Chainaosis (2022) によると、2022 年は仮想通貨ハッキングの史上最大の年でした。 、暗号通貨ビジネスから38億ドルが盗まれました。サイバー保険の需要は引き続き供給を上回り、保険料の上昇、補償範囲の狭まり、引受基準の厳格化を特徴とする市場の中で、サイバー保護のギャップは拡大しているようだ。9 4. 上記の展開を考慮すると、サイバー レジリエンス 10 が金融サービス業界にとって引き続き最優先事項であることは驚くべきことではありません。EY-IIF (2023) によると、ほとんどの最高リスク責任者 (CRO) は、サイバー リスクが銀行業界に対する最大の脅威であり、「危機を引き起こす可能性が最も高いリスク」であると考えています。2 FSB (2018) は、サイバー リスクを以下の要素の組み合わせであると定義しています。サイバーインシデントの発生確率とその影響。3 FSB (2018) は、サイバー インシデントを (悪意のある活動に起因するかどうかに関係なく) 以下のようなイベントと定義しています。(i) 情報システムまたはシステムが処理、保存、送信する情報の機密性、完全性、可用性を危険にさらす。または (ii) セキュリティ ポリシー、セキュリティ手順、または許容される使用ポリシーに違反する。4 インターポール (2022) も、こうした種類のサイバー犯罪が今後 3 ～ 5 年で増加すると予想されると報告しています。仮想通貨に関連したフィッシング攻撃は前年比 250% 以上増加しました。Interisle Consulting Group (2022) を参照してください。5 ENISA (2022) を参照。6 ムーディーズ・インベスターズ・サービス（2022）を参照。7 確かに、この数字は、世界的なパンデミックとロックダウンの真っ只中にあった 2019 年から 2021 年の期間に観察された 50 ～ 60% の増加と比較すると低いです。8 IBM (2022) を参照。9 IAIS (2023)。10 FSB (2018) によって定義されているように、サイバー レジリエンスとは、サイバー脅威やその他の関連する環境変化を予測して適応し、サイバー インシデントに耐え、封じ込め、迅速に回復することによって、組織がその使命を継続的に実行できる能力を指します。銀行のサイバーセキュリティ - 第 2 世代の規制アプローチ 7 または大規模な業務の混乱」。サイバー レジリエンスの強化に多大なリソースが投資されているにもかかわらず、CRO は、サイバー リスクの効果的な管理に関連する 2 つの主要な課題を強調しています。(i) あらゆる事業部門、日常業務、およびパートナー、サプライヤー、サプライヤーの広範なネットワーク全体にサイバー リスクが固有に存在していること。銀行がますます依存するサービスプロバイダー。(ii) ハッキングツールと技術の高度化。その結果、CRO は今後 12 か月間でサイバー リスクに最も注意を払い、今後 3 年間ではサイバー リスクを最重要の戦略的リスクとみなすと予想しています。業界が強調しているより一般的な願望は、世界的なサイバー回復力を強化し、規制の細分化を減らす方法で、管轄区域全体でより一貫性のある調整された規制を設計することです11。 5. サイバー回復力の強化は、中央銀行を含む公的部門にとっても重要な焦点です。そして監督当局。サイバー犯罪は国防の優先事項として広く認識されており、いくつかの管轄区域では、重要な部門や機関のサイバーセキュリティ 12 を強化するための国家政策や枠組みを導入しています 13。 2020 年以降、技術的なセキュリティ管理と回復力を優先してサイバー セキュリティ関連の投資を行っており、BIS のサイバー レジリエンス コーディネーション センター (CRCC) が提供するフレームワーク内で協力しています。14 さらに、中央銀行コミュニティは、サイバーリスクが業務上の混乱から組織的な事象にまで拡大する経路を理解するための分析フレームワークを開発しています。15 最後に、金融セクター向けのサイバー固有のガイドラインを発行する管轄区域が増加しており、グローバル標準設定機関 (SSB) やその他の国際機関の作業プログラムにサイバー レジリエンス機能が顕著に盛り込まれています (セクション 2 を参照)。6. サイバーセキュリティは、世界中の銀行監督当局にとって最優先事項と考えられています。金融セクターの中でも、銀行当局は、サイバー攻撃に対する銀行セクターの回復力を強化するための規制および監督の枠組みの策定に特に積極的に取り組んでいます。これは、先進国（AE）と新興市場・発展途上国（EMDE）の両方において、銀行監督当局の業務プログラムにおいてサイバーセキュリティが大きく取り上げられているという事実を反映している（グラフ1を参照）。このグラフはまた、サイバー セキュリティと運用上の回復力がより広範に最優先されることは、金融システムのデジタル化と銀行のビジネス モデルへの影響に関する監督作業と相関していることも示唆しています。例えば欧州では、ECB 銀行監督局が 2022 年 12 月に 2023 年から 25 年の監督上の優先事項を発表しました。これには、IT アウトソーシングや IT セキュリティ/サイバー リスクなど、オペレーショナル レジリエンス フレームワークの欠陥への対応が含まれています。16 11 IIF (2023) を参照。12 FSB (2018) によると、サイバーセキュリティとは主に、サイバー媒体を通じた情報および/または情報システムの機密性、完全性、可用性の維持を指します。13 たとえば、シンガポールのサイバーセキュリティ戦略。カナダのサイバーセキュリティ基準。米国土安全保障省による米国の重要インフラを保護するためのさまざまな取り組み。南アフリカの国家サイバーセキュリティ政策枠組み (NCPF)。フランスの重要インフラ保護。14 Doerr (2022) および BIS 年次報告書 2021 の CRCC 活動の説明を参照。 15 たとえば、ECB の金融安定性レビュー、2022 年 11 月の「システミック サイバー リスク評価の枠組みに向けて」。欧州システミックリスク委員会、システミックサイバーリスク、2020 年 2 月。米国金融調査局、サイバーセキュリティと金融の安定性: リスクと回復力、2017 年 2 月。 16 ECB (2022) を参照。8 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 7. この文書は、その文書で取り上げられている管轄区域のサイバーセキュリティ規制を再検討し、他の管轄区域で発行された規制を調査することにより、Crisanto and Prenio (2017) を更新しています。2017 年の論文でも取り上げた香港特別行政区、シンガポール、英国、米国のサイバー セキュリティ規制とは別に、この論文ではオーストラリア、ブラジル、欧州連合、イスラエル、ケニア、メキシコ、ペルー、フィリピン、ルワンダ、サウジアラビア、南アフリカ。AE と EMDE の両方のサイバー規制を反映する管轄区域が選択されました。これは、2017 年以来、EMDE を含む多くの管轄区域がサイバー規制を導入または強化しているという事実を浮き彫りにしています。ただし、51 の EMDE を対象とした IMF の調査によると、42% には依然として専用のサイバーセキュリティまたは技術リスク管理規制が存在しないことに留意する必要があります。17 セクション 2 では、これらの規制が発展してきた国際的な背景について説明します。セクション 3 では、サイバー規制の設計におけるさまざまなアプローチについて説明します。セクション 4 では、主要なサイバー規制要件を示します。セクション 5 は終了です。セクション 2 – 国際的な規制への取り組み 8. サイバー レジリエンスは SSB の作業プログラムに顕著に現れています。サイバー犯罪の国境のない性質と、世界の金融安定に対する潜在的な影響を考慮すると、サイバーレジリエンスには国際協力が必要であり18、そのためSSBの作業プログラムで顕著に取り上げられている17 Adrian and Ferreira (2023)。18 FSB (2017a) によると、サイバーリスクは国際協力の上位 3 つの優先分野の 1 つです。2023 年の BCBS および非 BCBS 加盟当局における主な規制および監督の優先事項 グラフ 1 注：公開情報に基づく分析。22 の BCBS 加盟当局と 13 の非 BCBS 加盟当局の合計 35 の銀行当局が含まれています。銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 9 には、金融安定理事会 (FSB)、バーゼル銀行監督委員会 (BCBS)、決済・市場インフラ委員会（CPMI）、国際保険監督者協会（IAIS）、証券監督者国際機構（IOSCO）です。この取り組みは、主に原則に基づいたガイダンスと実践的なツールキットを通じて、サイバー復元アプローチのより大きな収束を達成することを目的としています。コンバージェンスは、2018 年に発行され 2023 年に更新された FSB のサイバー用語集を通じた共通言語の使用によって促進されています。 9. G7 サイバー専門家グループ (G7 CEG) も、金融業界におけるサイバー レジリエンスの実践を強化する上で重要な役割を果たしています。セクタ。G7 CEG は、金融セクターにおける主要なサイバーセキュリティリスクを特定し、サイバーセキュリティ政策の調整を含め、G7 管轄区域全体でこの分野で取るべき措置を提案するために 2015 年に設立されました。19 G7 CEG 勧告は、政策アプローチを反映することを目的としています。業界のガイダンス、および加盟国の管轄区域全体で実施されているベストプラクティス。彼らは主に民間部門の金融機関に焦点を当てていますが、サイバーレジリエンスに関する金融当局独自の組織的取り組みや、金融セクター全体でこのレジリエンスを促進する取り組みにも役立ちます。とはいえ、G7 CEG 勧告は拘束力も規範性もなく、個々のリスク プロファイルや脅威の状況、さらには国固有の法規制の枠組みに合わせて設計されています。グラフ 2 は、金融システムにおけるサイバー規制の国際的な統合の促進に貢献している SSB と G7 CEG の主な取り組みの概要を示しています。10. SSB は一般に、金融セクターの業務回復力を強化する取り組みの一環として、サイバー回復力の重要性を強調しています。テクノロジー関連の脅威の劇的な増大と新型コロナウイルス感染症のパンデミックにより、サイバーインシデントなど、金融市場に重大な混乱を引き起こす可能性のあるオペレーショナルリスク関連のイベントに対処する金融機関の能力を強化する必要性が最前線に浮上しました。この目的で、BCBS は 2021 年に銀行の業務耐性強化のための原則 20 を発行しました。それらの重篤な有害事象に適応し、そこから回復します。この原則の重要な要素は、銀行の重要な業務の遂行を完全にサポートおよび促進するために、サイバー セキュリティを含む復元力のある ICT フレームワークを確保することです。21 サイバーセキュリティに関する 2021 年の BCBS ニュースレターでは、運用復元力とサイバー セキュリティの間の相互作用に焦点を当てているだけでなく、サイバーリスク管理を広く受け入れられている業界標準と整合させる必要性。22 11. 金融市場インフラ (FMI) のサイバー回復力に関する CPMI-IOSCO ガイダンスは、金融セクターがサイバーに対処するための健全な枠組みを設計する際の重要な参照点となっています。危険。このサイバー ガイダンスは、2012 年の FMI 原則を補足する目的で 2016 年に発行されました。そのため、FMI がサイバー回復能力を強化するために実行すべき準備と対策に関する追加の詳細が定められています23。サイバー ガイダンスは、次の 5 つのサイバー リスク管理カテゴリに焦点を当てています。識別; 保護; 検出; そして対応と回復。また、サイバー レジリエンス フレームワーク全体で対処すべき 3 つの重要なコンポーネントも想定しています。状況認識; そして学び、進化します。最近では、CPMI と IOSCO は、金融市場インフラによるガイダンスの採用レベルの評価に注力しており、その結果は、重大なサイバーインシデントに対処するための適切な対応および復旧計画の策定に関する課題を浮き彫りにしました。19 G7 の追加の行動には、情報共有、テスト、インシデント対応が含まれます。20 これらの原則は、オペレーショナル・リスクの健全な管理に関する原則に対する委員会の改訂に基づいており、銀行のコーポレート・ガバナンス、アウトソーシング、事業継続および関連するリスク管理関連のガイダンスに関する以前に発行された原則を活用しています（BCBS、2021）。 。21 原則 7 – サイバーセキュリティを含む ICT を参照。22 さらに、IAIS はこれまでの成果を踏まえ、2022 年に保険会社のサイバー レジリエンスの問題が顕著に取り上げられた「保険部門のオペレーショナル レジリエンスに関する問題文書」草案を発表しました。23 2016 年のサイバー ガイダンスは、主に次の 2012 PFMI 原則に関する補足情報を提供します。ガバナンス (原則 2)、リスクの包括的な管理の枠組み (原則 3)、決済のファイナリティ (原則 8)、オペレーショナル リスク (原則 17) ) および FMI リンク (原則 20)。10 銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ 12. G7 CEG のサイバー セキュリティの基本要素は、強力なサイバー レジリエンス フレームワークを開発および実装するためのもう 1 つの共通の参照点です。この 2016 年のガイダンスは、健全なサイバー セキュリティ ポリシーと実践を設計および実装するための構成要素を金融機関や当局に提供する上で極めて重要な役割を果たしました。これらには、適切なサイバー セキュリティ戦略とフレームワークに依存する 8 つの基本要素が含まれます。効果的なガバナンス構造。サイバーリスクとビジネス全体にわたるそれぞれの管理を徹底的に評価する。サイバーインシデントを迅速に検出するためのプロセスの体系的な監視（テストや監査など）。タイムリーなインシデント対応と復旧。関連情報のタイムリーな共有。進化する脅威の状況に合わせて基本要素を定期的に更新します。これらの要素がどの程度効果的に実装されているかを評価するために、G7 CEG は 2017 年に、サイバーセキュリティ強化の進捗状況を評価するための望ましい成果と要素を記述したツールを発行しました。13. サイバー回復力の特定の要素に関して、FSB の作業はサイバーインシデントの対応と回復、およびサイバーインシデントの報告に焦点を当ててきました。2020年にFSBは、関連する金融安定リスクを制限する方法で金融機関がサイバーインシデントへの対応と回復を行うためのツールキットを提供する最終報告書を発行した。これにはサイバーインシデントに関するタイムリーで正確な情報が必要であるため、FSB は 2023 年にサイバーインシデント報告のさらなる収束を達成するための障害に対処するための勧告を発行しました。これには、複数の当局への報告から生じる運用上の課題に対処し、より良いコミュニケーションを促進するためのインシデント報告交換 (FIRE) の共通フォーマットの概念の提案が含まれます。14. G7 CEG は、サイバー回復対策の有効性を評価し、ランサムウェアの脅威に対処するための追加のガイダンスを提供しました。2018 年、G7 CEG は、金融セクター企業にシミュレーションを通じて悪意のあるサイバー インシデントに対する自社の回復力を評価するためのガイドを提供し、脅威主導のペネトレーション テストの使用を検討している金融セクター当局向けにガイドを提供することで、サイバー セキュリティの基本要素をさらに詳しく説明しました ( TLPT) の管轄内で。さらに、破壊的なサイバーイベントが発生した場合に備えて、明確に定義され、定期的にリハーサルされた対応および復旧手順の必要性を認識し、G-7 CEG は 2020 年に、内外の関係者とのサイバー演習プログラムの確立をガイドするツールを開発しました。これらのツールは、管轄区域や分野を超えてサイバー演習プログラムを確立するためのガイドとしても機能する可能性があります。さらに、金融分野におけるランサムウェアの脅威の最近の増大に対処するために、G7 CEG は 2022 年に、この脅威に対処するために不可欠な重要な考慮事項を発表しました。15. サードパーティのサイバーリスク管理の強化も、G7 CEG および FSB の作業プログラムの一部となっています。サードパーティを使用すると、通常、追加のサイバー リスクが発生し、適切に管理する必要があります。2018 年、G7 CEG は、サードパーティのサイバー リスク管理ライフサイクル全体を通じて、個々の企業内だけでなく、システム全体のサイバー リスク監視の一環としても考慮する必要がある基本要素を発行しました。分野を超えた調整。2022 年、G7 CEG は、最新の金融業界の動向、特に ICT プロバイダーへの依存の拡大と ICT サプライ チェーン関連のサイバー エクスポージャを効果的に管理する必要性を反映するために、これらの基本要素を改訂しました。この作品を補完して、FSBの2023年の作業計画には、サードパーティおよびアウトソーシングのリスクを管理する金融機関の能力を強化することを目的とした協議文書のリリースが含まれている。16. IAIS (2023) は、サイバー保険はサイバー イベントによって生じる潜在的な経済コストのほんの一部しかカバーしないと報告しています。保険会社は、事業運営においてサイバーリスクにさらされるだけでなく、サイバー引受業務を通じて積極的にサイバーリスクを引き受けます。後者に関して、2020 IAIS サイバーリスク引受報告書は、特にリスクエクスポージャーの測定とサイバー保険契約の明確性をめぐる課題により、サイバー引受業務は実用可能であるものの、まだ最適ではないと結論付けています。これを考慮して、報告書は、サイバーリスク引受業務のエクスポージャーと影響の監視、理解、評価を促進するために、予防的な監督上の注意を払うことを推奨しました。また、対応する監督上の専門知識も強化します。銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ 11 17。より一般的には、SSB は、サイバー レジリエンスを強化するための個々の取り組みについて会員の相互理解を高めるためにリソースを投入してきました。これは主に、サイバーセキュリティ規制、指導、監督慣行の棚卸しという形で行われています。この研究の例としては、FSB 加盟国と協力して実施された 2017 年の FSB 報告書「公開されたサイバーセキュリティ規制、指導および監督慣行のストックテイク 24」24 と、規制および規制の範囲を説明および比較する「サイバーレジリエンス: 実践の範囲」と題された 2018 年の BCBS 報告書があります。 BCBS メンバーの管轄区域全体にわたる監視上のサイバー回復力の実践。もう 1 つの関連する例は、IOSCO サイバータスクフォースによる 2019 年の報告書です。この報告書は、IOSCO加盟国が国際的に認められたサイバーフレームワークをどのように利用しているか、またこれらのフレームワークが新たな指針を提案するのではなく、IOSCO加盟国の現在の制度で特定されたギャップに対処するのにどのように役立つかを調査します。セクション 3 – サイバー レジリエンス規制の設計 18. 銀行のサイバー レジリエンス規制には 2 つの主要なアプローチがあります。1 つ目は既存の関連規制を活用し、2 つ目は包括的なサイバー規制を発行することです。1 つ目のアプローチでは、既存の関連規制 (オペレーショナル リスク管理、IT リスク管理、アウトソーシングに関する規制など) が強化され、サイバー固有の要素が組み込まれます。このアプローチでは、サイバーリスクを他のリスクとみなします。したがって、リスク管理の一般要件 (ガバナンス、リスク選好度の設定など)、および IT、情報セキュリティ、および運用リスクに関する要件も適用されます。結果として、このアプローチは、企業のリスク管理および運用上の回復力を含む運用上のリスクに対する規制の期待との強力な連携を促進します。このアプローチは、オペレーショナルリスク管理、事業継続、情報セキュリティおよび/または情報に関する規制をすでに確立している管轄区域 (米国やヨーロッパなど) でより一般的に見られます24 FSB (2017b)。金融システムにおけるサイバー規制の国際的な収束を促進する SSB と G7 CEG の主な取り組み グラフ 2 12 銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ テクノロジー リスク管理。一方、2 番目のアプローチは、ガバナンスの取り決めから運用手順に至るまで、サイバーセキュリティのあらゆる側面を 1 つの包括的な規制でカバーしようとしています。これは、例えばメキシコや南アフリカのサイバーセキュリティとサイバーレジリエンス要件に関する共同基準に関する公開協議の場合に当てはまります。19. どちらのアプローチでも、規制が規範的になりすぎたり、非効率をもたらしたりするリスクがあります。規制が規範的になりすぎて、絶え間なく進化するサイバー リスクの脅威とサイバー リスク管理の進歩の両方に後れを取るリスクが存在します。非効率性やサイロ化が生じるリスクもあります。特に包括的なサイバー規制により、金融機関は企業全体のフレームワークとは別に、サイバーリスクと回復力のためのガバナンスおよびリスク管理フレームワークを確立する可能性があります。20. あまりにも規範的なものになるリスクに対抗するには、広範なサイバー復元原則と一連の基本要件を組み合わせようとする新たな規制アプローチが存在します。このアプローチは、「どのように達成するか」ではなく、「どのような期待を達成するか」に重点を置いています25。このアプローチは、サイバーリスクの動的かつ進化する性質に適応するのに十分な柔軟性を備えた規制の枠組みをサポートすると同時に、以下の点について明確な監督上の期待を持ちます。サイバー復元力の強化を目的としたガバナンスとリスク管理の中核的な側面に焦点を当てています。たとえば、オーストラリアプルデンシャル規制当局 (APRA) は、プルデンシャル プラクティス ガイド CPG 234 情報セキュリティを発行し、プルデンシャル スタンダード CPS 234 – 情報セキュリティで確立された要件に関する詳細な期待を提供しています。21. サイバーレジリエンス規制を策定する際に、適切なレベルの処方箋を見つけるのは困難です。たとえば、銀行の取締役会にサイバーリスク管理の枠組みとリスク選好度の確立を義務付けるなど、一部の分野では規範的なルールが必要な場合もありますが、他の分野では明らかに特定のルールが適しておらず、規制が両方の規制に後れを取らないようにすることが重要です。サイバーリスクによる脅威は常に進化しており、サイバーリスク管理も進歩しています。たとえば、テクノロジーの変化の速度を考慮すると、特定のテクノロジーの使用を規定する規制は急速に時代遅れになり、効果がなくなる可能性が高くなります26。特定の回復時間の義務化も、規制当局が銀行の導入方法に注意を払う必要がある例です。 。目的は、重要な金融業務の長期間にわたる中断を防ぐことだが、過度に厳格で厳格な復旧時間が、すべてのシステムが侵害されていないことを徹底的にチェックする銀行の能力を犠牲にする場合、逆効果になる可能性がある。非常に規範的な規制は、サイバーリスクに対処するためのコンプライアンスベースのアプローチをもたらす可能性もあります。22. 関連規制の一部であろうと、個別の包括的な規制であろうと、「古い」（第 1 世代）サイバー規制と「新しい」（第 2 世代）サイバー規制を区別することもできます。当局は、サイバーリスク管理が常に進化していることを認識しています。したがって、第 1 世代と第 2 世代のサイバー規制の焦点は多少異なります。第 1 世代は、サイバー リスク管理アプローチの確立と、一般的なセキュリティ制御 (アクセス制御や脆弱性分析など) の要件の定義に焦点を当てていました。第 2 世代ではさらに一歩進んで、デジタル化が進む金融システムにおける金融機関のサイバー回復力を確保するために不可欠な機能 (サイバー インシデント管理、サイバー インシデント報告、サードパーティ リスク管理など) を開発する必要性が強調されています。当局はまた、サイバー規制を改善する方法を継続的に検討しています。例えば、サイバーインシデントによって引き起こされるシステム危機に対応するため、関連金融機関間の連携を含む事業継続体制の確立に重点を置くことができる。25 Wilson et al (2019) を参照。26 グレイシー (2014) を参照。銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 13 23. どのような規制アプローチが採用されるかに関係なく、サイバー レジリエンス フレームワークの適用では比例原則の適用が十分に考慮されます。比例性は、主要な健全性保護手段を損なうことなく過剰なコンプライアンスコストを回避するために、小規模で複雑性の低い銀行に簡素化された健全性ルールを適用することと定義されます27。銀行の規模と複雑さだけでなく、テクノロジーの使用方法、デジタルチャネルを使用して製品やサービスを提供する方法、金融セクターの相互接続レベルも考慮されます。当局は、同業銀行のグループ化に使用される従来の指標に関係なく、監視対象のすべての企業に適用すべきサイバーレジリエンスガバナンスとリスク管理の重要な側面を特定することを目指している。同時に、ペルー銀行監督局や私的年金基金などの他の当局は、システム上重要な銀行が潜在的な金融安定リスクを反映してサイバー回復要件を強化するという比例枠組みを適用している。表 1 は、第 1 世代と第 2 世代のサイバー規制を比較して説明したものです。24. サイバーセキュリティ能力の監督評価では、サイバーおよび情報セキュリティに関する既存の技術標準が貴重な参照点として使用される傾向があります。管轄区域は、規制および監督の枠組みを開発する際に業界標準を考慮に入れます。信頼できる技術標準は、サイバーリスクと技術リスクを管理するための実践と管理に関する重要な知識を提供します。サイバー/情報セキュリティ コミュニティにおける影響力のある技術標準の例には、次のものがあります。 • 米国国立標準技術研究所 (NIST) のサイバー セキュリティ フレームワーク。• 国際標準化機構 (ISO) および国際電気標準会議 (IEC) の標準、特に情報セキュリティ管理に関する ISO/IEC 27000 シリーズ、セキュリティと回復力に関する ISO 22301、およびリスク管理に関する ISO 31000。• IT ガバナンスおよび管理のための ISACA の情報技術制御目標 (COBIT) フレームワーク。• インターネット セキュリティ センター (CIS) コントロール。27 Castro Carvalho 他 (2017) を参照。14 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ セクション 4 – サイバーレジリエンスのための主要な規制要件 25. セクション 3 で述べたように、さまざまな管轄区域の規制当局は、サイバーセキュリティ要件または期待を伝えるための 2 つの大まかな方法​​を持っています。一部の規制当局は、サイバーセキュリティのあらゆる側面を網羅する「オールインワン」規制を発行しています。他の規制当局は、さまざまな関連規制 (IT、サードパーティのサービスプロバイダーなど) にサイバーセキュリティ要件を挿入しています。どちらの場合でも、規制には高度な共通性があり、これらが国際的な規制および業界標準に基づいていることを考えると、これは予想されることです。このセクションでは、サイバーセキュリティ戦略とガバナンスの分野における主要な規制要件と期待について、「オールインワン」規制に含まれるか、関連規制に挿入されるかに関係なく説明します。サイバーインシデントへの対応と復旧。サイバーインシデントの報告と脅威インテリジェンスの共有。サイバー復元力テスト。サイバー衛生; サードパーティの依存関係。サイバーセキュリティの文化と意識。サイバーセキュリティ要員。サイバー回復力の指標。サイバーセキュリティ戦略とガバナンス 26. 特に EMDE において、銀行に特定のサイバーセキュリティ「戦略」の策定を要求する規制当局が増えている 28。 ただし、規制はそれらを明確に戦略とは呼ばず、「ポリシー」や「プログラム」と呼ぶ場合がある。または「フレームワーク」。このような規制要件は通常、CPMI-IOSCO (2016) で提唱されている、識別、保護、検出、対応と復旧を含むサイバー セキュリティ フレームワークに従っています (グラフ 2 を参照)。より具体的には、そのような戦略、政策、プログラム、枠組みには以下の中核要素が含まれる28。 これは、銀行にそのような戦略の策定を要求する規制当局はほんのわずかであるという、AE の規制当局が大部分で構成されている BCBS の調査結果とは対照的である。 （BCBS、2018）。第 1 世代と第 2 世代のサイバー規制の比較説明。表 1 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 15 • サイバーリスクへのエクスポージャーのマッピング。• マッピングされたサイバーリスクに対処するための行動計画を定義する。• 行動計画を実施するためのリソースの割り当て。• 役割と責任を定義し、割り当てる。• 管理の適切性を継続的にレビューする。• 脅威の状況を監視する。• 取締役会および上級管理職に報告する。• サイバーセキュリティの意識と文化を促進する。27. 特定のサイバーセキュリティ戦略を要求する同じ規制当局が、サイバーセキュリティガバナンスの取り決めも規定している。このようなガバナンスの取り決めでは、取締役会が銀行のサイバーセキュリティ戦略、フレームワーク、ポリシーを設定および承認し、上級管理者によるそれらの実施を監督する必要があります。一方、上級管理職は、全体的な戦略に沿って銀行のサイバーセキュリティのフレームワークとポリシーを開発し、そのフレームワークとポリシーを実装し、その有効性を監視する必要があります。他の規制、特に AE の規制では通常、サイバー セキュリティ ガバナンスの取り決めが規定されていません。おそらく、これらの規制は、既存の一般的なリスク管理フレームワーク、特に情報セキュリティまたはオペレーショナルリスク/レジリエンスに関するフレームワークが、サイバーリスクへの対処に関して取締役会および上級管理職の役割と責任をすでにカバーしているとみなしていると考えられます。28. サイバーセキュリティの役割と責任に関する規制上のガイダンスと要件は一般的です。ほとんどの規制当局は、銀行に「3 つの防御線」リスク管理モデルの導入を要求していませんが、多くの規制では、識別、保護、検出、対応に関するサイバー関連の管理責任の明確な割り当てとサイバーセキュリティのフレームワークに関する文書化されたポリシーを要求しています。 グラフ 3 出典: CPMI-IOSCO (2016) と、Mee and Morgan (2017) 16 銀行のサイバー セキュリティ - 第 2 世代の規制アプローチ回復で説明されているオリバー ワイマンのアプローチを採用。取締役会と上級管理職の役割が重視されます。場合によっては、規制上のガイダンスまたは要件には、銀行内のサイバー セキュリティの実装を担当する部門、機能、または役職の指定が含まれます。29. トップレベルでのサイバーセキュリティ責任者の任命はますます義務化されている。正確な役職は規制で指定されていない場合がありますが、この役職は経営幹部レベルの役職 (つまり、経営トップの一部) であることが求められるのが一般的です。この立場を目立たせることで、サイバーセキュリティがもはや IT リスクと事業継続性管理の単なる領域ではなく、銀行のエンタープライズ リスク管理の明示的な部分であることを強調したいという動きもあるようです。最高情報セキュリティ責任者 (CISO) または同等の者を任命するという要件は、EMDE (ブラジル、ケニア、メキシコ、フィリピン、サウジアラビアなど) でより一般的であると思われますが、英国などの AE での例も見つけることができます29。ただし、これらの管轄区域では情報セキュリティの専門家が不足しているため、この要件の実装に課題が生じる可能性があります。この問題は EMDE に限ったものではありません。実際、例えば、ニューヨーク州金融サービス局 (DFSNY) の金融サービス会社に対するサイバー セキュリティ要件では、特定の条件を条件として、CISO を銀行のサードパーティ サービス プロバイダー (つまり従業員ではない) が雇用することが認められています。 。おそらくこれは、小規模な組織が CISO の採用において直面する可能性のある課題を予測するためだと思われます。30. 規制当局は一般に、銀行がサポート情報資産を含む重要な業務を特定できることを期待しています30。国家レベルでは、政府は国のサイバーセキュリティフレームワークが適用される重要なインフラストラクチャと企業を特定します。銀行も同様のことを自らのレベルで行うことが期待されている。銀行は、自社の業務をサポート資産にマッピングし、サイバーリスクに対する重要性と敏感度に応じて業務を分類できる必要があります。これにより、運用上の機密性が高く重要な運用および情報資産にサイバーセキュリティの取り組みを集中させることが可能になります。理想的には銀行全体が保護されるべきですが、限られたリソースの中で、銀行は利益を最大化し、業務の回復力を確保するために目標を絞った方法でリソースを展開できる必要があります。サイバーインシデントの対応と復旧 31. サイバーインシデント管理は、確かに健全なサイバーレジリエンスフレームワークの柱の 1 つです。インシデント管理は、確立された典型的な IT プロセスです。しかし、サイバーインシデントの複雑さと大きな影響により、分析で検討されたほぼすべての管轄区域は、銀行がサイバーインシデントを適切に管理するためのプロセスと機能を確立する必要があることを規定する規制の規定を強化することになりました。銀行はライフサイクル全体を通じてサイバーインシデントを管理できる必要があります。これには、分類基準の確立、エスカレーションおよび報告手順が含まれる必要があります。一部の管轄区域では、銀行はサイバーインシデント管理フレームワークでサードパーティプロバイダーで発生したインシデントも考慮する必要があると規定しています。32. 現在、多くの規制当局は銀行に対し、一般的なインシデント管理要件に加えて、サイバーインシデント対応および復旧 (CIRR) 計画を策定することを求めています。銀行がサイバー攻撃に遭遇するかどうかではなく、いつ発生するかが問題であることを考慮すると、監視対象機関は一般に、サイバーインシデントに迅速に対応し、その影響を軽減し、迅速な回復を促進できる対応計画と回復計画を立てることが求められています。 31 この「違反を想定」 29 PRA (2021)。30 BCBS (2021a) によると、クリティカル業務という用語は、2006 年の共同フォーラムの事業継続に関するハイレベル原則に基づいており、FSB の「システム上重要な金融機関の回復および破綻処理計画」によって定義されているクリティカルな機能を包含し、以下に拡張されています。これには、活動、プロセス、サービス、およびそれらに関連するサポート資産（重要な業務を遂行するために必要な人材、技術、情報および施設）が含まれます。これらの中断は、銀行の継続的な運営または金融システムにおける役割に重大な影響を及ぼします。特定の業務が「重要」であるかどうかは、銀行の性質と金融システムにおけるその役割によって異なります。31 これは、そのような要件のほとんどがサイバーインシデントに特有のものではなく、インシデント一般に関連しているという BCBS (2018) の調査結果とは異なります。銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ 17 の考え方は、サイバー攻撃を防ぐ強力な境界を構築するという従来の概念を完全に置き換えました。攻撃の潜在的な侵入ポイントが複数あることを特徴とする新たな脅威環境は、境界を守るために組織のすべてのセキュリティ デバイス/検出機能を統合することのみに依存する従来のセキュリティ アプローチの有効性を低下させています。侵害アプローチの想定は、侵入検知技術による従来の対策を補完するだけでなく、対応策 (重要なデータの抽出を防ぐなど) も補完します。CIRR 要件の導入によりサイバー レジリエンス フレームワークの強化を目指す管轄区域では、FSB CIRR ツールキットへの注目が高まっています。33. 規制当局は通常、CIRR 計画をテストし、適切な対応と復旧能力を確保するために常に見直しを行うべきであると強調する。サイバー攻撃のダイナミクスと複雑さの増大を考慮して、規制当局は銀行がサイバーインシデントを管理するための CIRR 計画の適切性を定期的に評価することを期待しています。過去のインシデントから学んだ教訓は、CIRR 計画を改善し、銀行がサイバー攻撃に適切に対応できるようにするために不可欠です。CIRR 計画のテストは通常​​、情報セキュリティに関する APRA のプルデンシャル基準や、南アフリカの公的協議のもとで提案されているサイバーセキュリティとサイバー レジリエンス要件に関する共同基準に見られるように、サイバー レジリエンス規制で義務付けられています。南アフリカで提案されている標準の場合、金融機関は、サイバー復元能力とセキュリティ管理のすべての要素をテストして、全体的な有効性、それが正しく実装されているか、意図したとおりに動作し、望ましい結果が得られているかどうかを判断する必要があります。さらに、当局や業界団体が、金融機関が破壊的事象に協調的に対応し回復する能力をテストするために、業界全体にわたる演習を実施していることを示す例がいくつかある（ボックス 1 を参照） 34. サイバー攻撃の経験は、その重要性を示しているサイバーインシデント管理、危機管理、事業継続の調整を担当します。ランサムウェア攻撃の成功は、銀行業務を完全に混乱させる可能性があるため、急速に危機に発展する可能性のあるサイバーインシデントの一例です。健全な銀行業務の慣行は、危機状況を特徴付けるために使用される基準を定義し、定期的に見直すことの有用性を示しており、これにより、インシデントが拡大した場合に危機管理および事業継続手順を適切に発動できるようになります。サイバーインシデントの報告と脅威インテリジェンスの共有 35. サイバーインシデントの報告と脅威インテリジェンスの共有は、サイバー脅威の状況に対する状況認識を高めるための貴重なツールです。一方で、サイバーインシデントの報告は、成功したインシデントの影響を評価するだけでなく、システミックリスクが現実化する可能性（重要な金融市場インフラにおけるランサムウェア感染のシステミックな影響など）を予測するためにも重要です。一方で、脅威インテリジェンスの共有は脅威と脆弱性に関する重要な情報源となり、銀行がサイバーセキュリティ管理の適切性を評価できるようになります。36. 重要なサイバーインシデントをタイムリーに伝達することは、どの規制においても共通です。期間や重要性の基準はさまざまですが、多くの規制当局がサイバーセキュリティに関する要件を定めています。 インシデント報告には、重大なサイバーインシデントをできるだけ早く報告し、その後完全な報告を後日行うことが含まれます。重大なインシデントをタイムリーに通知することで、当局は個々の銀行や金融システムに対するインシデントの影響の監視を開始できる一方、完全なレポートは、銀行やサポートと共有できる脅威インテリジェンス情報と根本原因分析の収集に役立ちます。監督活動。場合によっては、発生に関する最新情報を提供するために中間レポートが必要になる場合があります。たとえば、シンガポール金融管理局 (MAS) は、インシデントが発生してから 1 時間以内に報告することを義務付けており、その後、18 行のサイバー セキュリティに関する根本原因と影響分析を行うことを義務付けています。これは、当局に提出された第 2 世代の規制アプローチです。しかし、IMF が 51 の EMDE のより広範なサンプルを調査したところ、54% には専用のサイバーインシデント報告体制が欠如していることが判明しました。33 37. 要件は管轄区域によって異なりますが、いくつかの当局は独自の脅威インテリジェンス共有イニシアチブを開発し始めています。規制当局は、健全なサイバー復元フレームワークの開発にとって、セキュリティ問題に関する情報共有の関連性を認識しています。脅威インテリジェンスの共有に対する共通のアプローチはありませんが、これはブラジル 34、EU、サウジアラビアなどの一部の管轄区域のサイバー復元フレームワークの重要な要素の 1 つです。脅威インテリジェンスの共有は、まだ成熟しつつある実践です。一部の規制当局は、ECB のサイバー情報およびインテリジェンスの共有イニシアチブ (CIISI-EU) など、独自のイニシアチブを開発しています。サウジアラビアでは、サイバー脅威インテリジェンス (CTI) 原則に、実用的な脅威インテリジェンスを通じて金融セクターに関連するサイバー脅威の特定と軽減を強化するための脅威インテリジェンスの作成、処理、および配布に焦点を当てたベスト プラクティスが記載されています。金融サービス情報共有分析センター (FS-ISAC) など、業界主導の取り組みもあります。サイバーレジリエンステスト 38. 規制当局は、銀行がサイバー回復力テストを実施し、特定された問題に対処することを期待しています。金融市場インフラのサイバーレジリエンスに関するCPMI-IOSCOガイダンスは、金融機関のサイバーレジリエンスをより広範に改善するための一貫したアプローチを提供しており、フレームワークの有効性を検証するためのテストプログラムを含む包括的なサイバーレジリエンスフレームワークの確立を求めています。このようなテスト プログラムでは、脆弱性評価、侵入テスト、テーブルトップ シミュレーション、TLPT などのさまざまなテスト方法と実践を採用できます。39. 一般に、銀行規制当局は検査の性質と頻度を指定していない。これらは通常、銀行の規模と複雑さ、ビジネス サービスと情報資産の重要性と機密性、脅威情勢の変化など、多くの要因によって決まります。興味深いことに、EMDE の一部の規制当局はより規範的な傾向があります。これらの管轄区域における共通の要件には、年に一度の侵入テスト、年に 2 回の脆弱性評価または銀行の情報システムの体系的なスキャンが含まれます。しかし、多くの EMDE は依然としてテストやサイバー演習を義務付けておらず、さらなるガイダンスも提供していません。35 40. TLPT の重要性は認識されています。先進国の多くの規制当局は TLPT フレームワークを導入していますが、目的や実施の詳細は異なる場合があります 36。このフレームワークは通常、大規模または重要な金融機関に適用されますが、当局はリスクがあると見なされる銀行などの他の金融機関も含める裁量権を有する場合があります。監督の観点から。また、脅威インテリジェンスとレッド チーム テストのプロバイダーが金融機関の外部に存在し、認定され、正式に評価される必要があるかどうかという点でも、フレームワークは異なります。41. 一部の規制当局は、金融システムやその他の重要な国家インフラを混乱させる可能性のある危機事象をテストすることを目的としたサイバー演習を調整したり、サイバー演習に参加したりしている。金融サービスの複雑化と金融機関間の相互接続の増大を考慮すると、一部の管轄区域では、金融システムの重大な混乱（重要な決済システムの利用不能など）に対応するためのシナリオを導入し、計画を策定することにより、銀行やその他の関係者のテスト機能を活用しています。通常、規制または監督活動の対象にはなりませんが、これらの 32 MAS (2013)。33 エイドリアンとフェレイラ (2023) 34 BCB (2021)、サイバー セキュリティ ポリシー、2021 年 2 月。 35 エイドリアンとフェレイラ (2023)。36 Kleijmeer et al (2019) を参照。銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 19 の取り組みは、潜在的なシステム危機を軽減するための管理と実践の開発に貢献しています（ボックス 1 を参照）。同様に、一部の国家サイバー演習には、エネルギー、電気通信、金融サービスなど、破壊的なサイバーインシデントの影響を受ける可能性のあるさまざまな分野が関与していることにも言及する価値があります。Box 1 サイバー テストと演習 健全なサイバー レジリエンス フレームワークを設計する際、テストは確かに重要な要素の 1 つです。サイバー脅威は常に進化しており、新しいソフトウェアの脆弱性が毎日発見されており、サイバー攻撃はますます複雑になっています。実装されているセキュリティ管理と機能がサイバー リスクを適切に管理し、サイバー インシデントの影響を軽減するために依然として適切であることを確認するために、金融機関のサイバー レジリエンスを定期的にテストする必要があることは十分に理解されています。侵入テストと脆弱性分析は、IT ソリューションとサービスのセキュリティの弱点を発見するのに役立つツールです。コード分​​析ツールの使用と開発、セキュリティ、運用 (DevSecOps) の実装は、安全な IT ソリューションとサービスを提供するために考慮できる実践と手順の例です。しかし、実装された制御だけでは安全な環境を確保するのに十分ではない状況もあります (ゼロデイ脆弱性の発生など)。したがって、セキュリティ チームはサイバー インシデントに対応し、そこから回復する能力を備えている必要があります。Kleijmeer et al (2019) は、多くの法域におけるレッドチーム要件の概要を提供し、その特徴とその実装に必要な条件について議論しました。一部の管轄区域では、少なくとも関連する金融機関に対して、すでにレッドチームの導入を義務付けています。たとえば、イングランド銀行と健全性規制当局 (PRA) の CBEST、オーストラリアのサイバーオペレーショナルレジリエンスインテリジェンス主導演習フレームワーク (CORIE)®、欧州連合の CBEST などです。脅威インテリジェンスに基づく倫理的レッドチームの枠組み (TIBER-EU)、およびサウジアラビアの金融機関の倫理的レッドチームの枠組み (FEER)。金融機関のサイバーセキュリティフレームワークを改善するための取り組みが進展しているにもかかわらず、金融の安定を確保するには追加の措置が必要になる可能性があります。金融セクターのビジネスプロセスはますます分散化されており、その結果、さまざまな利害関係者の相互接続が増加しています。さらに、国境を越えた支払いのための新しいソリューションなどの新しい革新的なプロジェクトは、ある金融機関でのサイバーインシデントが他の金融機関に影響を与え、金融の安定に影響を与える可能性があるため、これらの新しい分散型の取り決めから生じる影響とリスクについて議論することの重要性を強化しています。通常、システム全体のサイバー演習には、システム的なサイバーインシデントが発生した場合の危機管理と通信プロトコルをテストするために使用される卓上シミュレーションが含まれます。これらの演習は、確立された緊急時対応計画やコミュニケーション計画をテストする場合や、異なる機関間、さらには異なる重要なセクター間（たとえば、金融セクターと電気通信セクターの間の調整）の間の調整が必要な状況を特定する場合に非常に役立ちます。ハミルトンシリーズは、FSISAC と米国財務省が調整した机上演習の一例です。その結果、「サイバー攻撃のような壊滅的な出来事によって機関の重要なシステムに障害が発生した場合に、顧客、金融機関、および金融システムに対する国民の信頼を保護する」ことを目的とした、重要な顧客アカウントデータのバックアップの標準を含むイニシアチブであるシェルタード・ハーバーが誕生しました。 。PRAとイングランド銀行が調整する年2回の注目度の高いセクター全体のシミュレーション演習であるSIMEX、これは、重大だが可能性のあるセクター全体の業務上のインシデントに対応するためのセクターの枠組みの有効性を検証することを目的としたもう 1 つの取り組みです。ビジネスプロセスの分散化が進むにつれ、システム全体にわたるサイバー演習が財務の安定に不可欠なツールになる可能性があります。これらの演習により、金融の安定に影響を与える危機シナリオをテストすることが可能になり、さまざまな関係者間の調整が必要な緩和策を特定することが可能になります。さらに、これらの演習は、金融システムの運用回復力を強化するために実施できる緊急時対応策の確立を支援することができます。20 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ サイバー衛生 42. 成功したサイバー攻撃の多くは、ハードウェアとソフトウェアの基本的なメンテナンスとセキュリティの日常的な弱点の結果であるため、サイバー衛生が重要な要素であることは驚くことではありません。銀行のサイバー規制だけでなく、国家のサイバーセキュリティ戦略にも適用されます。規制当局は、サイバー衛生要件を規制に追加しました。たとえば、米国では、効果的なサイバーセキュリティ体制に対する監督当局の期待には、IT 資産管理、脆弱性管理、パッチ管理などの基本的なサイバー衛生が含まれます37。シンガポールでは、銀行 (およびその他の金融機関) はサイバー衛生を遵守する必要があります。完全な権限と無制限のアクセスを備えたアカウントの保護に関する要件。定期的なセキュリティパッチの適用。ベースラインのセキュリティ基準を確立する。ネットワークセキュリティデバイスの導入。マルウェア対策の実施。38 サードパーティの依存関係 43. サードパーティは、銀行の業務をサポートするサービス、システム、IT ソリューションを提供するために銀行によって広く使用されています。従来、サードパーティとは、アウトソーシングされた活動のプロバイダーを指します。サイバーセキュリティの文脈では、サードパーティは、通常はアウトソーシングとはみなされない製品やサービス (例: 電源、通信回線、ハードウェア、ソフトウェア）だけでなく、相互接続された取引相手（支払および決済システム、取引プラットフォーム、中央証券保管機関、中央取引相手など）も含まれます。これらの第三者は、銀行およびその顧客の非公開情報を保持している、またはアクセスできる可能性があります。さらに、これらのサードパーティのサイバーセキュリティの脆弱性が銀行への攻撃経路となる可能性があります。したがって、サードパーティ サービス プロバイダーのセキュリティ機能は、サイバー セキュリティ フレームワークの重要な要素となります。44. ほとんどの場合、規制当局はサードパーティへの依存関係に対処するためにアウトソーシング規制を利用します。アウトソーシング規制では、通常、重要なアウトソーシング活動の事前通知または承認、アウトソーシング機能の目録の維持、サービス レベル アグリーメント (SLA) の測定および管理の適切な実行に関するレポートの提出が必要です。一部のアウトソーシング規制では、関連するリスクを管理できるように、サブアウトソーシング活動が規制対象企業に見えるようにすることも求められています。さらに、アウトソーシング規制では一般に、銀行が経営陣および/または取締役会の承認を受けたアウトソーシングおよび契約の枠組みを開発し、銀行のアウトソーシングの方針とガバナンスを定義し、アウトソーシング契約で機関とサービスプロバイダーのそれぞれの義務を規定することが求められています。45. 規制では、第三者と取引する際の情報の機密性と完全性だけでなく、事業継続性を調整することの重要性も強調されています。重要なサードパーティプロバイダー（およびその下請け業者）の事業継続計画は、事業継続性とセキュリティの観点から銀行のニーズおよびポリシーと一致している必要があります。データ処理サービスを提供するサードパーティに関しては、データの機密性と完全性が特に重要視されます。この問題は、一般的なデータ保護要件、機密保持契約を含める必要がある契約条件、および銀行とその顧客のデータを保護するためのセキュリティ要件で扱われます。46. 多くの管轄区域では、銀行によるクラウドの使用に関して特定の規制要件があります。これらは、データの機密性とセキュリティに関する契約条項の対象となるようにクラウドに転送される情報を要求することから、より具体的な要件まで多岐にわたります。特定の要件の例には、データの場所に関する要件 (例: データの国外への転送の制限、クラウド コンピューティング サービスの少なくとも 1 つのデータ センターの場所がその国または地域内にあるという要件)、データの分離、37 理事会が含まれます。連邦準備制度、監督および規制報告書、2021 年 11 月。38 MAS Notice # 655、シンガポールの銀行に対するサイバー衛生に関する通知、銀行法 (Cap.19)、2019 年 8 月 6 日。銀行のサイバー セキュリティ – 第 2 世代の規制21 のデータ使用制限 (例: 第三者によるデータの取り扱いについて明示的な顧客の同意を必要とする)、第三者契約から離脱した場合のデータの取り扱い、および監査の権利にアプローチします。47. 最近では、少なくともいくつかの管轄区域が、重要な第三者に対する監視枠組みを設ける方向で動いている。金融機関のテクノロジーへの依存度の増大、およびテクノロジーが金融エコシステムにもたらしたさらなる複雑さと相互接続は、個々の機関だけでなく金融システムにも運営上のリスクをもたらします。これは特にクラウド サービスの利用が増加している場合に当てはまり、混乱が国内および国際的な金融システムに深刻な影響をもたらす可能性があります。その主な理由は、クラウド サービスが世界的に事業を展開する少数のテクノロジー企業のみによって提供されているためです。これは、サードパーティのサービスから生じるリスクの管理を金融機関に依存する現在のアプローチでは十分ではない可能性があり（ボックス 2 を参照）、これを重要なサードパーティに対する監視枠組みで補完する必要がある可能性があることを浮き彫りにしています39。は、この監視枠組みを規定するデジタル・オペレーショナル・レジリエンス法（DORA）をすでに承認しています。英国では、英国財務省による政策声明の発表を受けて、イングランド銀行と金融行為監視機構（英国の規制当局）が共同で同じ問題に関するディスカッションペーパーを発表した。このディスカッションペーパーに対するフィードバックは、英国の規制当局に重要な第三者の監視を与える関連する基本法案（現在英国議会に提出されている）が採択された後に発行される予定の協議ペーパーに反映される予定である。これらは、正式な要件（シンガポールや米国など）または自主的な関与（オーストラリアなど）を通じて、すでに第三者に対する検査権限を持っている管轄区域に追加されるものである40 39 Prenio and Restoy (2022)。40 BCBS (2018)。22 銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 41 監視制御には、業務パフォーマンスとセキュリティ脅威を監視するために、CSP と金融機関独自のカスタマイズされた互換性のあるソリューションが提供するダッシュボードとロギング機能が含まれます。42 たとえば、NIST SP 500-291 クラウド コンピューティング標準ロードマップや SP 500-332 クラウド フェデレーション リファレンス アーキテクチャ。43 CRI (2022) を参照。44 最も一般的な種類の第三者サービスプロバイダー監査の 1 つは、サービス組織を評価するための米国公認会計士協会の基準に従って実施される SOC2 レポートです。SOC2 レポートには、エンティティ全体、特定の子会社や営業単位、または特定の機能にわたる情報およびシステムのセキュリティ、可用性、処理の完全性、機密性、またはプライバシーの評価が含まれます。SOC2 レポートは、文書化された管理に主に基づいた時点の評価であるタイプ I レポート、または一定期間の継続的な観察であるタイプ II レポートのいずれかになります。通常、CSP は契約内で、金融機関が追加料金を支払って SOC レポート、または追加のレポートや証拠を受け取ることを可能にするオプションを提供します。Box 2 クラウド コンピューティングとサイバー レジリエンス 金融分野におけるパブリック クラウド サービスの採用は、過去 10 年間で急速に増加しました (米国財務省 2023)。金融機関 (FI) は、サイバー セキュリティ機能の強化など、クラウド サービスを使用するさまざまな動機を持っています。金融機関は、同じクラウド サービス プロバイダー (CSP) の複数のデータ センターを使用し、クラウド サービスで最先端のセキュリティ テクノロジー (暗号化や優れた構築機能など) を利用することで、サイバー インシデントに対する回復力が向上するという恩恵を受けることが期待されています。 -in ロギング機能)。クラウド サービスは通常、「責任共有」モデルを使用して導入されます。これには、「クラウドのセキュリティ」(CSP) と「クラウドのセキュリティ」(FI) に関する CSP と FI の間の責任の分割が含まれます。この責任分担は選択したサービスによって異なりますが、CSP は通常、購入したクラウド サービスのセキュリティ ベースラインと回復力制御の維持に努めますが、FI は通常、それぞれのセキュリティを含むクラウド サービスの設計と構成、およびクラウド サービスへのアクセスに責任を負います。コントロール。「責任共有」モデルを反映したクラウド サービス契約には、一般に、クラウド サービスの評価、開発、テスト アプリケーションの重要な要素としてサイバー セキュリティが含まれており、金融機関と CSP の間のサイバー レジリエンス タスク (脅威の検出、インシデント対応など) の分担の概要が示されています。 、パッチ適用）。金融機関は、「責任共有」モデルの導入に伴い、さまざまな課題に直面しています。そのうちのいくつかはクラウド サービスの設定ミスに関連しており、それがさまざまなサイバー インシデントを引き起こしています。ほとんどの場合、これらの原因は、クラウド アプリケーション用の健全なアーキテクチャを開発できる熟練スタッフの不足と、特定のクラウド サービスの展開とセキュリティ保護に伴う複雑さによるものです。別のグループの課題は、入手可能な情報に基づいた CSP のサイバー セキュリティ能力の理解の欠如に関連しています (サイバー セキュリティ インシデントやテスト結果に関する情報の欠如など)。3 番目のタイプの課題は、CSP との契約交渉における小規模金融機関の交渉力の弱さに関係しています。「責任共有」モデルにもかかわらず、金融当局は、金融機関が業務の回復力やサイバー リスクに関連するリスクを含むクラウド サービスのリスクを管理する最終責任があるとみなしています。金融セクターにおける最近の慣行は、金融機関が次のことによって上記の課題を克服しながら、この期待に応えようと努めていることを示しています。(1) 金融機関のリスク選好、リスク管理枠組み、規制上の期待を考慮して、CSP とそのサービスのリスクベースの評価を実施する。(2) 一般に、NIST42 や Cyber​​ Risk Institute (CRI)43 によって概説されているものなど、十分に確立された業界標準に従って、セキュリティ、復元力、監視制御を確立する 41。(3) CSP が提供する運用またはセキュリティ機能の監査またはテスト。クラウド サービス契約では、金融機関自身の内部監査人、規制当局、および/または第三者がこれらの監査を実施したり、セキュリティ管理をテストしたりできるようにすることがますます一般的になりつつあります。一部の金融機関は、CSP の管理環境を理解するために、サービス組織管理 (SOC) レビュー44、侵入テスト、脆弱性評価などの第三者による保証レビューに依存しています。他の金融機関は、リソースを組み合わせて「プールされた」監査と認証を実施または監査人を雇用しているか、そうすることを検討しています。銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 23 サイバーセキュリティの文化と意識 48. 銀行規制当局は、銀行スタッフ、サードパーティプロバイダー、顧客、ユーザーにサイバーセキュリティ文化を広めることの重要性を強調しています。規制当局は、サイバーセキュリティ文化を推進する取締役会と上級管理職の責任を強調しており、これは通常、さまざまな対象者（スタッフ、プロバイダー、顧客など）に適したトレーニングプログラムによってサポートされています。米国では、強力なセキュリティ文化を持つ監督機関は一般に、情報セキュリティ プログラムをその事業分野、サポート機能、サードパーティ管理、および新しい取り組みに統合しています。ブラジルの規制45では、銀行に対し、金融商品やサービスを利用する際の注意事項に関する顧客や利用者への情報提供など、金融機関内にサイバーセキュリティ文化を普及させる仕組みを確立することが求められている。49. ほとんどの規制当局は、サイバーセキュリティの意識向上とトレーニングの要件を定めています。Ponemon Institute (2022) によると、過失のある従業員または請負業者がサイバー セキュリティ インシデントの主な原因となっています46。これを考慮して、ほとんどの規制では、監督対象機関のスタッフ、請負業者、およびサービス プロバイダーに対するサイバー セキュリティ意識向上プログラムが義務付けられています。これらのプログラムは、機関のサイバー セキュリティ文化を強化することを目的としています。これらは通常、定期的なトレーニングの形式をとり、少なくとも既存のサイバー脅威の状況、機関の情報セキュリティ ポリシーと手順、個人のサイバー セキュリティ責任をカバーすることが想定されています。サウジアラビア金融庁（SAMA）などの一部の規制当局は、金融機関に対し、意識向上プログラムの有効性を測定し、これらのプログラムの一環として顧客の意識を高めることを求めています。イスラエル銀行などの他の規制当局は、金融機関に対し、サービスプロバイダーの意識を高め、サイバー脅威の状況とそれに対応するリスク評価に従ってプログラムを定期的に見直すことを求めています。サイバーセキュリティ人材 50. 規制当局は、銀行がサイバーセキュリティフレームワークを実装するために適切なリソースを割り当てることを期待しています。サイバーセキュリティの専門知識に関する期待を引き出すのは非常に困難ですが、銀行ごとにサイバーセキュリティスタッフに関連するニーズが異なる可能性が高いことを考えると、多くの規制当局は、健全なサイバーセキュリティフレームワークの導入は人員を含む適切なリソースの割り当てに依存していると主張しています。サイバーセキュリティ戦略を実装するために必要なスキルを備えたリソース。香港は、香港の銀行業界のサイバーセキュリティ担当者に求められる共通の中核能力を規定する、サイバーセキュリティに関する強化されたコンピテンシーフレームワーク (ECF-C) を確立しているという点で独特です。ECF-C は必須ではありませんが、銀行業界が次のことを行うために、銀行は ECF-C を採用することが奨励されています。(i) サイバーセキュリティ専門家の持続可能な人材プールを開発する。(ii) サイバーセキュリティ専門家の専門的能力を向上させ、維持する。47 また、カーネギーがいくつかのパートナー組織と協力して「金融機関のためのサイバーレジリエンス能力構築ツールボックス」を 2019 年に立ち上げ、能力開発に取り組んでいることも注目に値します。48 51. 規制と監督の側でも、サイバーセキュリティ規制を実施するために必要なリソースを確保する必要があります。サイバー規制は主に国際標準に基づいているため、策定するのは簡単ですが、これらの規制を施行するのは本当の課題です。監督スタッフは、銀行が 45 BCB (2021) に従っているかどうかを適切に評価できなければなりません。46 この Ponemon Institute のレポートには、世界中の 1,000 名を超える IT 専門家からの調査回答が含まれており、その全員が内部関係者の脅威による最近のサイバーセキュリティ インシデントを経験しています。この報告書は、過去 2 年間で内部関係者による脅威が「劇的に」増加し、内部関係者関連の事件の 56% が過失のある従業員によって引き起こされたと結論付けています。47 HKMA (2016)。48 FinCyber​​ プロジェクト (2019) を参照。この取り組みにおけるカーネギーのパートナーには、IMF、SWIFT、FS-ISAC、Standard Chartered、Cyber​​ Readiness Institute、Global Cyber​​ Alliance が含まれます。このツールの新バージョンは 2021 年にリリースされました。 24 銀行のサイバー セキュリティ – 第 2 世代の規制アプローチ 単なる箱にチェックを入れるだけではなく、規制の精神 これには、関連するサイバー専門知識を持つスタッフを集めて維持する必要があり、これがもう 1 つの課題です規制コミュニティのために。これらの課題を軽減するために、規制当局は、専門能力開発要件を通じて社内の人材を育成する（MASやイタリア銀行など）、サイバーリスク専門家を含むリスク専門家を単一部門に集中させる（イングランド銀行など）など、さまざまなアプローチを採用しています。49 しかし、IMF の調査によると、51 の EMDE の当局の 68% には、監督部門に専門のリスク部門がありません。50 サイバー レジリエンスの指標 52. 規制当局は通常、銀行に特定のサイバー レジリエンスの指標の提出や監視を要求しません。そうした規制を行っている少数の規制当局には、非常に高度な要件が課されています。通常、このような要件では、銀行に対し、サイバーセキュリティ実践の有効性を示す指標を定義したり、リスクが最も高い情報資産を強調したりするよう求めます。53. 指標と指標を定義する要件が存在する場合、それは報告、監視、制御、およびインシデント管理活動の一部を形成します。たとえば、APRA は、取締役会や上級管理職にサイバーセキュリティの状況をより明確に把握させるためにどのような種類の定量的および定性的情報を提供するかについて、銀行に実践的なガイダンスを提供しています51。たとえば、ガイダンスには、制御テスト活動の結果と検出されたセキュリティイベントが含まれていると記載されています。取締役会や上級管理職に提供できる情報の一部となる可能性があります。一方、BSP は銀行に対し、不正行為の検出と監視機能を強化し、規制上のサイバーインシデント報告を容易にするために、侵害の可能性に関する指標または指標を定義することを求めています。これには、営業時間外の非常に機密性の高いシステムへのアクセスや、特権ユーザー アカウントのログイン試行の失敗などが含まれる可能性があります。52 54. 既存の規制で言及されている指標の例は、サイバー セキュリティと復元力を構築および確保するための銀行のアプローチに関する広範な情報を提供するだけです。これは、監視目的のサイバー回復力指標の開発がまだ初期段階にあることを示しています。ただし、サイバー リスクの性質上、サイバー回復力の指標に対する後ろ向きなアプローチは効果的ではありません。サイバー脅威のプレーヤーは動的であり、対応と保護手段に継続的に適応します。したがって、サイバーセキュリティとレジリエンスの直接的および間接的な指標として、将来を見据えた指標の必要性に対する認識が高まっています。セクション 5 – 結論 55. サイバーセキュリティとサイバーレジリエンスに関する銀行規制は成熟しており、現在いくつかの管轄区域で十分に確立されている。Crisanto and Prenio (2017) で取り上げられたサイバー セキュリティとサイバー レジリエンスに関する規制は非常に新しいものでした。これらの規制は少数の管轄区域 (主に AES) にのみ存在し、サイバー リスク管理アプローチと制御の確立に焦点を当てていました。あれから 6 年が経ち、EMDE を含む多くの管轄区域ではすでにサイバー関連の規制が導入されています。これらの新しい規制 (または第 2 世代サイバー規制) の多くは、サイバー回復力の向上と、サイバー リスクを適切に管理するためのツールを金融機関や当局に提供することに重点を置いています。それにもかかわらず、相当数の EMDE には依然として関連する規制がありません。49 マウアーとネルソン (2020)。50 エイドリアンとフェレイラ (2023) 51 APRA の添付 H (2019)。52 BSP の銀行規制マニュアルの付録 75。銀行のサイバーセキュリティ – 第 2 世代の規制アプローチ 25 56. 規制当局は、一部の分野に特定の要件や期待を追加したり、サイバー規制に新しい要素を追加したりしています。現在、サイバーインシデントの対応と復旧、サードパーティの管理と監視、インシデントの報告とテストのフレームワークに関して、より具体的な規制要件が定められています。いくつかの管轄区域では、サイバーセキュリティ要員とサイバーレジリエンス指標に対する要件または期待も導入しています。ただし、サイバーセキュリティ戦略、サイバーインシデント報告、脅威インテリジェンスの共有、サードパーティの依存関係、およびサイバー回復力テストが依然としてこれらの規制の主な焦点です。57. EMDE におけるサイバー規制は、より規範的なものとなる傾向がある。これは、サイバーセキュリティ戦略、役割と責任を含むガバナンスの取り決め、サイバー復元力テストの性質と頻度に関して特に当てはまります。EMDE の銀行規制当局は、金融セクター全体でサイバー レジリエンス文化を強化する必要性、および/または管轄区域内のリソースの制約とスキルと専門知識の供給が限られていることを考慮して、期待をより明確かつ具体的にする必要性をおそらく認識しているでしょう。このようにして、銀行の取締役会、上級管理職、およびスタッフは、銀行のサイバーセキュリティを強化するために従うべき具体的なガイダンスを得ることができます。58. サイバーセキュリティに対処するためには、コンプライアンスベースのアプローチから身を守る必要があります。規範が多すぎると、サイバーセキュリティに対するチェックボックスアプローチが行われる可能性があります。サイバー規制の導入も、チェックボックスをオンにして実行するものとみなされるべきではありません。効果的な実施と強制を確実にするために、適切な監督リソースによって補完される必要があります。したがって、Aes の国際機関と金融当局が、特にサイバーセキュリティの分野で、EMDE における監督能力構築の取り組みを支援する余地がある。結局のところ、サイバー脅威には境界がありません。59. 国際的な取り組み（SSB や G7 など）により、金融セクターにおけるサイバー回復力の収束が有益なレベルに達しましたが、さらなる取り組みが必要です。単一の企業や規制当局だけでは、サイバー リスクに対処することはできません。さらに、サイバーリスクは国境を越える性質を持っているため、各国の規制上の期待を適度に調整する必要があります。G7 CEG と SSB によるサイバー レジリエンスに関する取り組みにより、金融規制および監督上の期待がさまざまな管轄区域にわたってより一貫したものとなり、正しい方向への一歩となっています。特に、サイバーインシデント報告の統合を強化するというFSBの提案は、これらのインシデントへの対処に役立つのではなく、監視対象機関に負担をかけるだけの異なる管轄区域の要件を調整しようとしているため、重要な進展です。将来的には、当局が監視対象機関のサイバー回復力を評価する方法を調整する余地があるかもしれない。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。効果的な実施と強制を確実にするために、適切な監督リソースによって補完される必要があります。したがって、Aes の国際機関と金融当局が、特にサイバーセキュリティの分野で、EMDE における監督能力構築の取り組みを支援する余地がある。結局のところ、サイバー脅威には境界がありません。59. 国際的な取り組み（SSB や G7 など）により、金融セクターにおけるサイバー回復力の収束が有益なレベルに達しましたが、さらなる取り組みが必要です。単一の企業や規制当局だけでは、サイバー リスクに対処することはできません。さらに、サイバーリスクは国境を越える性質を持っているため、各国の規制上の期待を適度に調整する必要があります。G7 CEG と SSB によるサイバー レジリエンスに関する取り組みにより、金融規制および監督上の期待がさまざまな管轄区域にわたってより一貫したものとなり、正しい方向への一歩となっています。特に、サイバーインシデント報告の統合を強化するというFSBの提案は、これらのインシデントへの対処に役立つのではなく、監視対象機関に負担をかけるだけの異なる管轄区域の要件を調整しようとしているため、重要な進展です。将来的には、当局が監視対象機関のサイバー回復力を評価する方法を調整する余地があるかもしれない。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。効果的な実施と強制を確実にするために、適切な監督リソースによって補完される必要があります。したがって、Aes の国際機関と金融当局が、特にサイバーセキュリティの分野で、EMDE における監督能力構築の取り組みを支援する余地がある。結局のところ、サイバー脅威には境界がありません。59. 国際的な取り組み（SSB や G7 など）により、金融セクターにおけるサイバー回復力の収束が有益なレベルに達しましたが、さらなる取り組みが必要です。単一の企業や規制当局だけでは、サイバー リスクに対処することはできません。さらに、サイバーリスクは国境を越える性質を持っているため、各国の規制上の期待を適度に調整する必要があります。G7 CEG と SSB によるサイバー レジリエンスに関する取り組みにより、金融規制および監督上の期待がさまざまな管轄区域にわたってより一貫したものとなり、正しい方向への一歩となっています。特に、サイバーインシデント報告の統合を強化するというFSBの提案は、これらのインシデントへの対処に役立つのではなく、監視対象機関に負担をかけるだけの異なる管轄区域の要件を調整しようとしているため、重要な進展です。将来的には、当局が監視対象機関のサイバー回復力を評価する方法を調整する余地があるかもしれない。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。国際的な取り組み（SSB や G7 など）により、金融セクターにおけるサイバー レジリエンスの収束が有益なレベルに達しましたが、さらなる取り組みが必要です。単一の企業や規制当局だけでは、サイバー リスクに対処することはできません。さらに、サイバーリスクは国境を越える性質を持っているため、各国の規制上の期待を適度に調整する必要があります。G7 CEG と SSB によるサイバー レジリエンスに関する取り組みにより、金融規制および監督上の期待がさまざまな管轄区域にわたってより一貫したものとなり、正しい方向への一歩となっています。特に、サイバーインシデント報告の統合を強化するというFSBの提案は、これらのインシデントへの対処に役立つのではなく、監視対象機関に負担をかけるだけの異なる管轄区域の要件を調整しようとしているため、重要な進展です。将来的には、当局が監視対象機関のサイバー回復力を評価する方法を調整する余地があるかもしれない。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。国際的な取り組み（SSB や G7 など）により、金融セクターにおけるサイバー レジリエンスの収束が有益なレベルに達しましたが、さらなる取り組みが必要です。単一の企業や規制当局だけでは、サイバー リスクに対処することはできません。さらに、サイバーリスクは国境を越える性質を持っているため、各国の規制上の期待を適度に調整する必要があります。G7 CEG と SSB によるサイバー レジリエンスに関する取り組みにより、金融規制および監督上の期待がさまざまな管轄区域にわたってより一貫したものとなり、正しい方向への一歩となっています。特に、サイバーインシデント報告の統合を強化するというFSBの提案は、これらのインシデントへの対処に役立つのではなく、監視対象機関に負担をかけるだけの異なる管轄区域の要件を調整しようとしているため、重要な進展です。将来的には、当局が監視対象機関のサイバー回復力を評価する方法を調整する余地があるかもしれない。これには、たとえば、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれる可能性があります。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。これには、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれます。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。これには、企業のサイバーセキュリティガバナンス、従業員、およびサイバー回復力の指標の適切性の評価を調整することが含まれます。さらに、ある重要なサードパーティプロバイダー、特にクラウドプロバイダーにおけるサイバーインシデントが金融システムに国境を越えた影響を与える可能性を考慮すると、そのようなプロバイダーに対する国際的な監視枠組みを検討する余地があるかもしれません。