サイバーセキュリティにおけるリスクアセスメントサービスのトレンドと事例に関するレポート

Librus株式会社コンサルティングサービス事業部 エグゼクティブサマリー 2024年は、サイバーセキュリティ分野において転換点となる年となった。日本国内におけるランサムウェア被害の公表件数が過去最大の84件に達し、新興ランサムウェアグループの台頭により脅威の複雑化が進展している。本レポートでは、こうした脅威環境の変化を背景に、リスクアセスメントサービスの重要性の高まりと市場トレンドを分析する。 主要な知見として、日本企業のパッチ適用期間（MTTP：Mean Time To Patch）が平均36.4日と世界平均の1.2倍に達しており、脆弱性対応の迅速化が急務となっている。また、サイバーセキュリティ市場規模は2024年に180億米ドルに成長し、継続的脅威曝露管理（CTEM）アプローチの採用が急速に拡大している。 企業の経営層においても、SECの新規則やEUのNIS2指令により、サイバーセキュリティへの関与とリスク評価への責任が明確化されており、今後はより戦略的なアプローチが求められる。 1. 2024年のサイバーセキュリティ情勢概観 1.1 脅威ランドスケープの変化 2024年のサイバー脅威環境は、国家を背景とするグループからの攻撃をはじめとするサイバー攻撃の洗練化・巧妙化が一層進展した年として特徴づけられる。特に、ランサムウェア攻撃の手法が多様化し、従来のデータ暗号化に加えて、データ窃取後の恐喝を目的とした攻撃が新たに30件確認されている。 2024年の主要サイバー脅威統計 日本国内ランサムウェア被害公表件数: 84件（過去最大）国内セキュリティインシデント総数: 1,319件（前年度比10.4%増）不正アクセス事案: 372件（最多）マルウェア感染: 315件紛失・盗難: 213件 1.2 新興ランサムウェアグループの台頭 2024年下半期に急速に拡大した新興ランサムウェアグループが、上位10グループによるリーク数の90%を占める状況となっている。RansomHub、8base、Hunters International、BlackSuit、Undergroundなどの新興グループが日本企業を標的とした攻撃を展開している。 グループ名活動開始時期特徴RansomHub2024年2月頃2024年下半期最も活発。アンチEDR技術を駆使8base2022年3月頃中小企業（従業員数1-200名）を主要標的Hunters International2023年第3四半期解体されたHIVEグループとの関連性指摘BlackSuit2023年5月頃ContiやRoyalとの関係性指摘Underground2023年7月頃拡張子変更せずファイル暗号化が特徴 2. リスクアセスメントサービスの主要トレンド 2.1 継続的監視への移行 従来の年1回のポイントインタイム監査から、継続的監視（Continuous Monitoring）への移行が加速している。IBMの報告によると、2023年のデータ侵害の世界平均コストは445万ドルで、3年間で15%増加しており、早期検知の重要性が高まっている。 2.2 CTEMアプローチの採用拡大 Gartnerが2022年に提唱した継続的脅威曝露管理（CTEM：Continuous Threat Exposure Management）アプローチの採用が急速に拡大している。CTEMは以下の5つのステップで構成される。 既存のサイバーセキュリティ露出のスコープ定義隠れた脆弱性の発見プロセス開発悪用可能性に基づく脅威の優先順位付け様々な攻撃シナリオの検証・評価組織全レベルでの従業員動員 2.3 サイバーリスク定量化（CRQ）の普及 財務的観点からのサイバーリスク定量化（Cyber Risk Quantification：CRQ）が注目を集めている。CRQにより、技術的なリスクを金銭的影響と発生確率で表現することで、経営層との意思疎通が改善され、より効果的な予算配分が可能となっている。 3. 国際的なフレームワークとベストプラクティス 3.1 NIST Cybersecurity Framework 2.0 2024年に更新されたNIST CSF 2.0は、従来の5つの機能（識別、保護、検知、対応、復旧）に「統治（Govern）」機能を追加し、より包括的なサイバーセキュリティ管理を実現している。組織のリスク管理戦略と cybersecurity の統合がより明確化された。 3.2 ISO/IEC 27001:2022 情報セキュリティマネジメントシステム（ISMS）の国際標準であるISO 27001の2022年版では、クラウドセキュリティ、プライバシー保護、サプライチェーンセキュリティに関する管理策が強化されている。 フレームワーク統合事例 多くの組織がNIST CSFの戦略的フレームワークとISO 27001の運用管理を組み合わせたハイブリッドアプローチを採用している。NIST CSFがリスク管理の方向性を示し、ISO 27001が具体的な管理策の実装を支援する相補的関係を構築している。 3.3 規制要件の強化 米国SECの2023年サイバーセキュリティ規則やEUのNIS2指令により、取締役会レベルでのサイバーセキュリティ責任が明確化されている。経営層は単なる予算承認者から、積極的なリスク管理参加者へと役割が変化している。 4. 日本市場の動向と特徴 4.1 市場規模と成長予測 日本サイバーセキュリティ市場規模　 2024年市場規模: 180億米ドル2033年予測市場規模: 433億米ドル年平均成長率（CAGR）: 10.3%2032年予測（別統計）: 263億米ドル 4.2 日本特有の課題 日本企業が直面する特有の課題として、パッチ適用の遅延問題が深刻化している。トレンドマイクロの調査によると、日本組織の平均パッチ適用期間（MTTP）は36.4日で、これは世界平均の1.2倍に相当する。 4.3 委託先からの情報漏洩問題 2024年には、印刷業や配送業などデータ集積型業種のランサムウェア被害により、委託元の個人情報漏洩が深刻化した。株式会社イセトーの事例では約150万件の個人情報漏洩が発生し、「データサプライチェーン」問題の深刻さが浮き彫りとなった。 委託先経由の情報漏洩件数推移2024年下期には委託先から漏洩した情報件数が300万件を超過。組織は委託先のサイバーリスク評価の見直しが急務となっている。 5. 技術革新とAIの活用 5.1 AI・機械学習によるリスク評価の高度化 人工知能（AI）と機械学習（ML）技術の活用により、膨大なデータを迅速に分析し、従来よりも効率的にセキュリティリスクを特定することが可能になっている。米国国勢調査局の予測では、2024年前半にAIを活用する企業が劇的に増加するとされている。 AI活用の主要分野: SIEM（Security Information and Event Management）での偽陽性の除去ファイアウォールとマルウェア対策の自動化異常検知とパターン認識の高精度化脆弱性スキャンの効率化 5.2 リアルタイム脅威検知 従来の定期的なリスクアセスメントから、リアルタイムでの脅威検知・評価への移行が進んでいる。Continuous Threat Exposure Management (CTEM) の普及により、動的なリスク環境に対応した評価手法が確立されつつある。 5.3 Attack Surface Management (ASM) の導入 攻撃対象領域管理（ASM）ツールの導入により、組織のデジタル資産とその脆弱性を継続的に監視・評価することが可能となっている。これにより、早期の脆弱性発見とリスク管理の精度向上が実現されている。 6. 将来予測と推奨事項 6.1 市場予測 日本のサイバーセキュリティ市場は、2025年から2034年の期間で年平均成長率14.6%の継続的成長が予測されている。特に、リスクアセスメント分野では以下のトレンドが予想される。 CRQ（サイバーリスク定量化）ツールの普及拡大ツール統合によるオールインワンプラットフォームの採用増加経営層レベルでのサイバーリスク関与の法制化サイバー保険との連携強化 6.2 組織への推奨事項 6.2.1 リスクの可視化 組織は「サイバーリスクの可視化」を最優先課題として取り組むべきである。リスク指標を用いた統計データから、ランサムウェアに感染した組織が非感染組織よりも高いリスク指標を記録していることが示されており、継続的なリスク監視が重要である。 6.2.2 Security by Contract の推進 委託先のセキュリティ対策として、「Security by Contract」アプローチを推奨する。これは、契約段階でセキュリティ要件を明確化し、"Same Data, Same Management"原則に基づく管理体制を構築することである。 6.2.3 多要素認証（MFA）の徹底 認証情報の漏洩リスクに対する最も効果的な対策として、多要素認証（MFA）の全面的な導入を強く推奨する。また、定期的なパスワード変更と権限管理の厳格化も重要である。 6.3 政策・制度面での展望 能動的サイバー防御に関する法案が2025年5月に成立予定であり、経済安全保障推進法における基幹インフラ事業者を中心としたサプライチェーンセキュリティ強化が進展する見込みである。これに伴い、インシデント対応体制のより一層の強化が必要となる。 7. 結論 2024年のサイバーセキュリティ環境は、脅威の高度化・複雑化と市場の急速な成長により、リスクアセスメントサービスの重要性が飛躍的に高まった年となった。日本企業が直面する課題は多岐にわたるが、適切なフレームワークの採用と継続的な改善により、効果的なリスク管理が実現可能である。 特に重要なのは、従来の年1回の評価から継続的監視への移行、経営層の積極的関与、そして技術革新を活用したリスク可視化である。また、委託先を含むサプライチェーン全体のセキュリティ強化は、今後の重要な課題として位置づけられる。 組織は、NIST CSF 2.0やISO 27001等の国際標準を基盤としつつ、自社の事業特性に応じたカスタマイズされたリスクアセスメント体制を構築することが求められる。同時に、AIや機械学習等の新技術を積極的に活用し、より効率的で精度の高いリスク評価を実現することが、持続的な競争優位性の確保につながるであろう。 今後の展望として、サイバーセキュリティは単なるIT部門の課題から、組織全体の戦略的経営課題へと位置づけが変化していく。この変化に適応し、プロアクティブなリスク管理体制を構築した組織が、デジタル社会における持続的成長を実現できると考えられる。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

金融庁サイバーセキュリティ対策 ガイドライン解説レポート

Librus株式会社コンサルティングサービス事業部 1. はじめに 金融分野におけるサイバーセキュリティの重要性 近年、技術の発展や地政学リスクの高まりを背景に、サイバーセキュリティに関するリスクが顕著に増大しています。特に金融機関は、顧客の重要な資産や情報を扱うため、サイバー攻撃の標的となりやすく、攻撃が成功した場合の影響も甚大です。外部委託先を含むサプライチェーンの弱点を悪用した攻撃による被害も発生しており、国家等が関与・支援している主体によると見られる高度なサイバー攻撃も出現しています。 ■サイバー攻撃の特徴と課題 攻撃の高度化・巧妙化（標的型攻撃、持続的な攻撃など）サプライチェーンを通じた間接的な攻撃の増加国家が関与する高度な攻撃の出現被害範囲の拡大と影響の深刻化金融システム全体への波及リスク 金融庁の取り組み背景と目的 金融庁設置法第3条において、金融機能の安定の確保や預金者の保護等が金融庁の任務とされています。サイバー攻撃の脅威は、金融サービス利用者の利益を害し、金融システムの安定に影響を及ぼしかねないものとなっているため、金融庁がその任務を全うする上で、金融セクター全体のサイバーセキュリティを強化することは不可欠です。 こうした状況を踏まえ、金融庁では「金融分野におけるサイバーセキュリティ強化に向けた取組方針」に基づき、金融業界との対話・協働を通じて、連携して金融セクター全体のサイバーセキュリティの強化を促進してきました。2024年10月には、これまでの検査・モニタリングの結果や金融セクター内外の状況変化を踏まえ、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。 ■対応の必要性と緊急性 金融庁の検査・モニタリングの結果、以下のような基本的な対策が不十分な事例が散見されています： 経営者の主体的な関与の不足情報資産の把握及び管理の不徹底セキュリティパッチの迅速な適用などの脆弱性管理の欠如IDアクセス権管理の不備定期的な脆弱性診断及びペネトレーションテストの未実施 2. 金融庁サイバーセキュリティガイドラインの概要 策定背景・経緯 現行の各業態の監督指針・事務ガイドラインにおけるサイバーセキュリティに関する規定は、2015年の改正時に導入されたものであり、近年のサイバーリスクの深刻化に対処していくために、改定が不可欠となっていました。金融庁は、これまでの実態把握及び建設的対話における体制整備促進並びに各種の注意喚起及び要請を行ってきましたが、検査・モニタリングの結果、基本的な対策が不十分な事例が散見されていることが明らかになりました。 このような実態に鑑み、2024年10月4日に監督指針等を改正するとともに、「金融分野におけるサイバーセキュリティに関するガイドライン」を策定しました。また、2025年7月4日には、サイバー対処能力強化法整備法の一部施行に伴う技術的な改正も行われています。 基本的考え方 本ガイドラインは、サイバーセキュリティの観点から見たガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理に関する着眼点を規定し、それぞれについて金融機関等において「基本的な対応事項」及び「対応が望ましい事項」を明確化しています。 区分定義・説明基本的な対応事項いわゆるサイバーハイジーンと呼ばれる事項その他の金融機関等が一般的に実施する必要のある基礎的な事項対応が望ましい事項金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組みや、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき優良事例 ■重要なポイント：リスクベース・アプローチ 金融機関等の規模・特性は様々であることから、「基本的な対応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずること（いわゆる「リスクベース・アプローチ」を採ること）が求められることに留意が必要です。 適用対象 本ガイドラインは、サイバーセキュリティ管理について監督指針等に定めのある以下の金融機関等を対象としています： 主要行等中小・地域金融機関保険会社少額短期保険業者金融商品取引業者等信用格付業者貸金業者前払式支払手段発行者電子債権記録機関指定信用情報機関資金移動業者清算・振替機関等金融サービス仲介業者為替取引分析業者暗号資産交換業者銀行代理業電子決済手段等取引業者電子決済等取扱業者電子決済等代行業者農漁協系統金融機関金融商品取引所 ガイドラインの構成 ガイドラインは以下の3つの主要セクションで構成されています： 基本的考え方：サイバーセキュリティに係る基本的考え方、金融機関等に求められる取組み、業界団体や中央機関等の役割、適用対象等サイバーセキュリティ管理態勢：管理態勢の構築、リスクの特定、防御、検知、インシデント対応及び復旧、サードパーティリスク管理金融庁と関係機関の連携強化：情報共有・情報分析の強化、捜査当局等との連携、国際連携の深化、官民連携 3. サイバーセキュリティ管理態勢の構築 経営陣の関与・ガバナンス サイバーインシデントによる業務中断、機密情報の漏洩は、金融機関の事業及び経営を揺るがしかねない重大な影響をもたらし得るものであり、ひいては金融システムの安定を揺るがしかねないものです。サイバーセキュリティの強化には経営者の認識及びイニシアティブによるところが大きいため、経営陣のリーダーシップの下で、サイバーセキュリティに関するガバナンスの確立が必要です。 基本的な対応事項 取締役会等によるサイバーセキュリティリスクを組織全体のリスク管理の一部としてとらえた基本方針の策定サイバーセキュリティ管理態勢の年1回以上のレビュー実施（必要に応じ外部専門家によるレビューを含む）サイバーセキュリティを統括管理する責任者（CISO等）の経営陣の責任において任命サイバーセキュリティに係る戦略、取組計画（複数年計画含む）の策定と見直しセキュリティ・バイ・デザインを含むサイバーセキュリティ確保に向けた取組みの推進サイバーセキュリティを経営方針における重要課題の一つとして位置づけ、組織風土の醸成少なくとも年1回、サイバーセキュリティリスク状況、リスク評価結果、取組計画の進捗状況の報告受領 対応が望ましい事項 経営陣が適切な経営判断を行うための前提として、サイバーセキュリティに関する十分な知識の利用（外部専門家の活用を含む）リスク選好度・耐性度（リスクアペタイト・リスクトレランス）の設定サイバーセキュリティへの取組みの対外公表KPI（主要業績評価指標）・KRI（主要リスク指標）の経営陣への報告経営陣に相当する者としての責任者（CISO等）の配置、経営陣と直接コミュニケーションする関係の構築 基本方針・規程の策定 金融機関等は、取締役会等がサイバーセキュリティ管理の基本方針を策定し、それに基づいた規程類や業務プロセスを整備することが求められています。基本方針には、セキュリティ対策の目的や方向性、関係主体等からの要求事項への対応及び法規制等への対応、経営陣によるコミットメントなどを含める必要があります。 ■サイバーセキュリティ管理態勢の主要な構成要素 基本方針と規程類組織体制と責任の明確化情報共有機関等を通じた早期警戒のための情報収集・共有・分析体制SOC等のサイバー攻撃に対する監視体制サイバー攻撃を想定した危機管理態勢（サイバー攻撃を受けた際の報告及び広報体制、組織内CSIRT等の緊急時対応及び早期警戒のための体制を含む） 組織体制と人材育成 サイバーセキュリティ担当部署及び各関係者の役割と責任及び権限を明確化し、職員の急な退職・異動等により業務の継続（知見の集積等）に支障が生ずることのない人員の配置が必要です。また、サイバーセキュリティ人材の確保・育成は喫緊の課題となっています。 基本的な対応事項 サイバーセキュリティの重要性を踏まえた経営資源の配分サイバーセキュリティ管理の基本方針と整合的な人材育成・確保計画の策定最新の脅威情報等を踏まえた計画的な教育・研修プログラムの策定と実施経営陣を対象とする研修・訓練の実施 4. サイバーセキュリティリスクの特定 情報資産管理 これまでの検査・モニタリングの結果、情報資産管理は基本的な対策が不十分な事例が散見された領域の一つです。適切な情報資産管理は、効果的なサイバーセキュリティ対策の基盤となります。 基本的な対応事項 情報資産のライフサイクル、重要度に応じた管理情報システム・外部システムサービス、ハードウェア・ソフトウェア、顧客・機密情報等の台帳の整備・管理データフロー図・ネットワーク図の作成・管理 リスク管理プロセス 金融機関等は、組織的・体系的なリスク管理プロセスを確立し、定期的にリスクを評価・対応する必要があります。 基本的な対応事項 脅威情報・脆弱性情報の収集・分析リスクの特定・評価（境界防御型セキュリティの突破、内部不正等の可能性を含む）リスク対応（回避、軽減、受容、移転）、リスク対応計画の経営陣への報告リスク評価に基づく継続的な改善活動 脆弱性管理 ハードウェア・ソフトウェア等の脆弱性管理は、サイバーセキュリティ対策の基本中の基本です。特にセキュリティパッチの迅速な適用は、多くのサイバー攻撃を防ぐ上で極めて重要です。 基本的な対応事項 脆弱性管理に関する手続等の策定システムの重要度や脆弱性の深刻度に応じたパッチ適用等の管理定期的なパッチ適用状況の確認と報告 脆弱性診断及びペネトレーションテスト 脆弱性診断やペネトレーションテストは、システムやネットワークの脆弱性を実際に確認し、対策を講じるための重要な手段です。これらを定期的に実施することで、セキュリティレベルを継続的に向上させることができます。 基本的な対応事項 システムの重要度に応じた定期的な脆弱性診断の実施重要なシステムに対する定期的なペネトレーションテストの実施結果に基づく対策の実施と経営陣への報告 対応が望ましい事項 脅威ベースのペネトレーションテスト（TLPT: Threat-Led Penetration Testing）の実施 演習・訓練 サイバーインシデントへの対応力を高めるためには、定期的な演習・訓練が不可欠です。特に、実際のインシデント発生時に備えた実践的な訓練が重要となります。 基本的な対応事項 定期的な演習・訓練の実施必要に応じた業界横断的な演習への参加経営陣等による演習・訓練への関与顧客への深刻な影響かつ現実に起こりうるシナリオの検討及び見直し演習・訓練を通じたコンティンジェンシープラン等の有効性の定期的検証 5. サイバー攻撃の防御対策 認証・アクセス管理 適切な認証・アクセス管理は、不正アクセスを防ぐ上で重要な役割を果たします。特にIDアクセス権管理は、検査・モニタリングの結果、基本的な対策が不十分な事例が散見された領域の一つです。 基本的な対応事項 方針・規程等の策定・見直し最小権限の原則に基づくアクセス権限の限定ID・認証情報の適切な管理（定期的なレビュー、特権IDの厳格管理等）システム・情報の重要度に応じた認証要件の決定（多要素認証の導入等）第三者による不正防止（メールの送信ドメイン認証など）物理的アクセスの管理 データ保護 金融機関が扱う機密データや個人情報を保護するためには、適切なデータ保護対策を講じる必要があります。 基本的な対応事項 重要度・リスクに応じたデータの管理方針の策定暗号化等のデータ保護措置の導入バックアップ・復旧に係る手続の整備 対応が望ましい事項 データ損失防止（DLP: Data Loss Prevention）ソリューションの導入データライフサイクル全体にわたるデータガバナンス体系の整備 システムのセキュリティ対策 金融機関のシステムを保護するためには、様々な技術的対策を組み合わせて多層防御を実現する必要があります。 基本的な対応事項 ハードウェア・ソフトウェア管理（システム構成・保守等）ログ管理（取得・監視・保存の手続策定・レビュー等）セキュリティ・バイ・デザインの実践インフラストラクチャ（ネットワーク等）の技術的対策クラウドサービス利用時の対策 対応が望ましい事項 ハードウェアのセキュアな調達のための基準設定セキュリティ・バイ・デザインの管理プロセスの整備・運用（セキュアコーディングの基準策定等）開発環境・テスト環境の本番環境からの分離ゼロトラストアーキテクチャの段階的導入 教育・研修 サイバーセキュリティは技術だけでなく、人的な要素も重要です。すべての役職員に対する教育・研修は、セキュリティ意識の向上と基本的なセキュリティ対策の徹底に不可欠です。 基本的な対応事項 経営陣を含むすべての役職員への教育・研修の実施役割・職責に応じた教育内容の提供サードパーティにおける教育（サードパーティによる社内教育・研修の実施状況の確認を含む）標的型メール訓練等の実践的な訓練の実施 対応が望ましい事項 顧客へのセキュリティ啓発活動の実施専門人材の育成・確保のための中長期的な計画の策定と実施 6. サイバー攻撃の検知 サイバー攻撃の巧妙化を踏まえ、侵入を前提とした検知体制の構築が必要となっています。様々な監視ポイントやデータソースを活用して、異常を早期に検知することが重要です。 基本的な対応事項 検知のための監視・分析・報告に係る手続等の策定・見直しサイバー脅威に応じた監視・分析ハードウェア・ソフトウェア・ネットワークの監視役職員によるアクセスの監視外部プロバイダによるアクセス（保守など）の監視インシデント該当性・影響範囲・重要度の分析・報告 対応が望ましい事項 24時間365日の監視体制の確立SIEM（Security Information and Event Management）などの高度な監視ツールの活用AI・機械学習を活用した異常検知の導入定期的なアラート閾値の見直しと最適化 ■効果的な検知のためのポイント 多層的な監視：エンドポイント、ネットワーク、アプリケーション、クラウドなど複数の層での監視ログの統合管理：様々なシステムやデバイスからのログを一元的に収集・分析アラート管理：重要度に応じたアラートの適切な設定と対応プロセスの確立継続的な改善：検知の精度向上のための定期的な見直しと調整 7. サイバーインシデント対応及び復旧 インシデント対応計画及びコンティンジェンシープランの策定 サイバーインシデントが発生した場合に備えて、事前に対応計画やコンティンジェンシープランを策定しておくことが重要です。これにより、インシデント発生時の混乱を最小限に抑え、迅速かつ効果的な対応が可能となります。 基本的な対応事項 サイバー攻撃の種別ごとのインシデント対応計画・コンティンジェンシープランの策定対応の優先順位・目標復旧時間・目標復旧水準の設定報告ルート、判断権者、対外的な連携体制の明確化役職員へのインシデント対応計画等の周知と教育 対応が望ましい事項 大規模な被害が生じるインシデント（資金清算インフラにおけるインシデントなど）に対応するためのコンティンジェンシープランの整備インシデント対応に関する契約内容の事前整理（顧問弁護士、フォレンジック調査会社など） インシデントへの対応及び復旧 サイバーインシデント発生時には、初動対応から復旧までの一連のプロセスを迅速かつ的確に実施する必要があります。また、インシデント後の分析と改善も重要です。 基本的な対応事項 初動対応：インシデントの検知・トリアージ、証跡保全、初期封じ込め分析：被害状況・影響範囲の特定、原因の分析顧客対応・組織内外の連携・広報：顧客・当局・業界団体等への報告、広報対応封じ込め：被害の拡大防止、感染機器の隔離根絶：侵入経路の特定と封鎖、マルウェアの排除復旧：システムの復旧、バックアップからの回復、正常稼働の確認教訓化：インシデント発生原因等の分析、対応の評価、再発防止策の実施 対応が望ましい事項 封じ込めに当たってのサードパーティへの通知高度なフォレンジック調査の実施顧客への補償等の対応方針の事前整理 ■インシデント対応におけるよくある課題 初動対応の遅れ（検知の遅れ、報告ルートの不明確さなど）証跡保全の不備（ログの上書き、重要な証拠の消失など）影響範囲の特定の難しさ（潜伏期間の存在、侵害の全容把握の困難さ）コミュニケーションの問題（部門間の連携不足、情報共有の遅れなど）復旧の複雑さ（バックアップデータの完全性確認、マルウェアの残存リスクなど） 8. サードパーティリスク管理 サプライチェーンに由来するサイバーインシデントにより、金融機関が多大な影響を受ける事例が発生していることを踏まえ、サードパーティリスク管理の重要性が高まっています。金融機関は、自社のシステムやデータにアクセスする外部委託先やサービス提供者のセキュリティリスクを適切に管理する必要があります。 ■サードパーティリスク管理の重要性 近年、金融機関のサイバーインシデントの多くは、直接的な攻撃よりもサプライチェーンを通じた間接的な攻撃によるものが増加しています。こうした攻撃は、セキュリティ対策が比較的弱い委託先やクラウドサービスプロバイダーを標的とすることで、最終的には金融機関のシステムやデータにアクセスすることを狙っています。 基本的な対応事項 サプライチェーン全体にわたる戦略の策定・管理態勢の整備：サードパーティリスク管理に関する方針・規程の策定、体制の整備ライフサイクル全体を通じたリスク管理：取引開始時のデューデリジェンス（セキュリティ対策状況の確認、リスク評価）サイバーセキュリティ要件の契約・SLAにおける明確化（監査権限、インシデント通知、データ保全等）継続的モニタリング（定期的な評価、脆弱性対応状況の確認等）インシデント対応計画・コンティンジェンシープランへのサードパーティ関連事項の組み込み契約終了時の対応（データ返却・消去の確認、アクセス権の削除等）リスク評価・リスクに応じた対応：サードパーティの重要度分類、リスクに応じた管理レベルの設定 対応が望ましい事項 リスク管理に係るスキル及び経験のある人員の配置重要な業務のサードパーティへの依存関係、集中リスク等の考慮重要なサードパーティがそのサードパーティ（フォースパーティ）を管理する能力等のモニタリング重要なサードパーティとの契約関係等の終了に備えた出口戦略等の策定経済安全保障推進法上のリスク管理措置の実施 クラウドサービス利用時のリスク管理 クラウドサービスの利用が拡大する中、クラウド特有のリスクを適切に管理することが重要です。特に責任分界点の明確化や、クラウドサービス固有のセキュリティ要件に注意が必要です。 クラウドサービス利用時のポイント 責任共有モデルの理解（クラウド事業者と利用者の責任範囲の明確化）クラウド環境に適したセキュリティ対策の実施（アイデンティティ管理、暗号化、アクセス制御等）シャドーIT（IT部門の把握・管理外のクラウドサービス利用）の管理データの所在地・法的規制の把握出口戦略の策定（サービス終了時のデータ移行計画等） 9. FISC安全対策基準との関係 FISC安全対策基準の概要 金融情報システムセンター（FISC）が策定する「金融機関等コンピュータシステムの安全対策基準・解説書」（通称：FISC安全対策基準）は、金融機関の情報システムの安全性を確保するための具体的な技術と運用の対策を詳細に定めています。1985年の初版以来、時代の変化に合わせて改訂を重ね、2025年3月に最新の第13版が公表されました。 ■FISC安全対策基準の位置づけ FISC安全対策基準は、金融機関のシステムリスク管理において業界標準として広く参照されている指針です。金融機関はこの基準を参考に自社のセキュリティ対策を検討・実施することで、適切なセキュリティレベルを確保することができます。また、外部委託先の評価基準としても活用されています。 金融庁ガイドラインとの整合性 2024年10月の金融庁ガイドライン公表を受け、2025年3月に公表されたFISC安全対策基準第13版では、金融庁ガイドラインとの整合性が取られています。金融機関は、金融庁ガイドラインで示されたサイバーセキュリティ管理態勢の枠組みを踏まえつつ、FISC安全対策基準に示された具体的な技術と運用の対策を参考にすることで、より効果的なサイバーセキュリティ対策を実施することができます。 観点金融庁ガイドラインFISC安全対策基準主な目的金融機関における経営陣をはじめとした組織全体のサイバーセキュリティ管理態勢の枠組みを示す金融機関の情報システムの安全性を確保する具体的な技術と運用の対策を詳細に定める対象範囲サイバーセキュリティ管理について監督指針等に定めのある金融機関等金融機関の情報システム全般特徴リスクベース・アプローチに基づき「基本的な対応事項」と「対応が望ましい事項」を明示基礎基準と付加基準の2段階の要求レベルを設定し、具体的な実装方法を示す 第13版の重要ポイント FISC安全対策基準第13版では、以下の内容を反映しています： 経済安全保障推進法に関する改訂：経済安全保障推進法における「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に係る取引を行う事業者が講ずべき安全管理措置等に関する対応指針」を踏まえた内容金融庁ガイドラインとの整合：金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」との整合性確保クラウドサービスの活用：クラウドサービスの普及を踏まえたセキュリティ対策の強化サードパーティリスク管理：サプライチェーンのセキュリティリスク管理の強化最新の脅威への対応：新たなサイバー脅威に対する対策の追加 ■両者を活用したセキュリティ対策のポイント 金融機関は、金融庁ガイドラインとFISC安全対策基準を補完的に活用することで、より効果的なセキュリティ対策を実現できます： 金融庁ガイドラインに基づいて経営レベルでのサイバーセキュリティ管理態勢を構築FISC安全対策基準に基づいて具体的な技術対策と運用プロセスを整備リスクベース・アプローチを採用し、自社の規模・特性に応じた対策レベルを設定定期的な評価と改善を通じて、セキュリティレベルの継続的な向上を図る 10. 今後の展望と対応のポイント 金融機関に求められる対応 金融庁ガイドラインとFISC安全対策基準の公表を受けて、金融機関は以下のような対応が求められています： 優先的に取り組むべき事項 現状評価：ガイドラインに照らした自社のサイバーセキュリティ管理態勢の評価経営陣の関与強化：サイバーセキュリティを経営課題として位置づけ、経営陣の主体的関与を促進情報資産管理の徹底：情報資産の棚卸しと重要度に応じた管理の実施脆弱性管理の強化：セキュリティパッチ適用等の脆弱性管理プロセスの整備アクセス権管理の改善：IDアクセス権限の適切な管理と定期的なレビューサードパーティリスク管理の強化：外部委託先のセキュリティリスクの評価と管理 中長期的な取り組み サイバーセキュリティ戦略の策定：中長期的な視点でのサイバーセキュリティ戦略の策定と実行人材育成・確保：サイバーセキュリティ人材の育成・確保のための計画的な取り組み高度な対策の導入：AIや自動化技術を活用した先進的なセキュリティ対策の検討レジリエンス強化：インシデント発生を前提とした対応力・復旧力の強化情報共有の促進：業界内外での脅威情報共有の活性化と活用 実効性ある対策の進め方 サイバーセキュリティ対策を効果的に進めるためのポイントは以下の通りです： 4つの主要施策 経営陣の主体的関与と組織全体での対応サイバーセキュリティを「経営リスク」としてとらえる経営陣は十分な専門知識を利用して判断（外部専門家の活用を含む）KPI・KRIを用いたモニタリングの実施インシデント発生を前提とした管理態勢対応プロセスの可視化あらゆる脅威に対処できる管理態勢の整備様々なリスクシナリオの最新化と定期的な訓練の実施サプライチェーン全体を考慮した管理態勢外部委託先の特性に基づき想定される脅威に応じた管理・モニタリング契約内容へのセキュリティ基準の明示定期的な監査の実施セキュリティ技術基盤の連携と統合管理資産管理の徹底（ハードウェア、ソフトウェア、クラウドサービス、データ等）「ゼロトラスト」の考え方に基づく段階的な技術導入組織全体での共通の方向性や計画の策定 官民連携と情報共有の重要性 金融セクター全体のサイバーセキュリティ強化には、「自助」「共助」「公助」の三位一体の取り組みが重要です。特に、以下の連携・情報共有の枠組みを活用することが推奨されます： 金融ISAC：金融機関同士の脅威情報共有・分析国家サイバー統括室（旧NISC）：政府全体のサイバーセキュリティ対策との連携JPCERT/CC：脆弱性情報や対策情報の入手業界団体・中央機関：業界全体のサイバーセキュリティ強化のための支援 最後に サイバーセキュリティは、単なる規制対応ではなく、金融機関の事業継続と顧客保護のために不可欠な要素です。経営陣をはじめとした組織全体で、サイバーセキュリティ対策の継続的な強化と実効性の検証を行うことが重要です。また、サイバーセキュリティへの対応は自社だけで完結できるものではなく、外部のリソースや専門的な知見の活用も有効です。金融庁は引き続き、金融機関等の規模・特性に応じ、リスクベース・アプローチで検査・モニタリングを実施し、その中で個別金融機関等のサイバーセキュリティ管理態勢を検証していくとしています。モニタリングにおいては、金融機関等において、自らが直面するリスクを評価し、重要性・緊急性に応じて優先順位をつけた上、リソース制約を踏まえ、その低減措置に取り組むべきことに留意するとしています。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

TLPT（レッドチーム演習） ビジネストレンド・事例分析レポート

Librus株式会社コンサルティングサービス事業部 エグゼクティブサマリー TLPT（Threat-Led Penetration Testing）は、金融機関のサイバーレジリエンス強化における重要な施策として、欧州DORA規制の導入により2025年から本格的な義務化が開始される。市場規模は2024年の4,042百万ドルから2031年には9,145百万ドルへと拡大が予測される一方、専門人材不足と高い実装コストが業界課題となっている。アジア太平洋地域では日本、シンガポール、香港、オーストラリアが独自の枠組みを構築し、グローバルな標準化と相互認証の推進が進んでいる。 1. TLPTの定義と概要 1.1 TLPTの基本概念 TLPT（Threat-Led Penetration Testing）は、実際の攻撃者の戦術、技術、手順（TTP：Tactics, Techniques, and Procedures）を模倣し、金融機関の重要なライブ本番システムに対して制御された形でのレッドチーム演習を実施する高度なサイバーセキュリティテスト手法である。従来のペネトレーションテストとは異なり、脅威インテリジェンスに基づいた現実的な攻撃シナリオを用いて、組織の「人・プロセス・技術」の全領域にわたる耐性を評価する。 1.2 従来のセキュリティテストとの差異 TLPTの特徴は以下の通りである。 脅威インテリジェンスに基づく現実的な攻撃シナリオの採用本番環境でのテスト実施による実際の運用影響の評価物理的侵入、ソーシャルエンジニアリング、サイバー攻撃の複合的アプローチブルーチーム（防御側）への事前通知なしでの実施パープルチーミング（攻撃・防御側の合同検証）による改善プロセス 2. 規制動向とDORA要件 2.1 DORA規制の概要 EU デジタル運用レジリエンス法（DORA）は2025年1月17日に施行され、EU域内の金融機関に対してICTリスク管理、インシデント報告、デジタル運用レジリエンスのテスト、ICTサードパーティリスク管理、情報共有の5つの柱からなる包括的な要件を課している。その中でTLPTは最も高度なテスト要件として位置づけられている。 2.2 TLPT適用対象機関 DORA規制技術基準（RTS）により、以下の金融機関がデフォルトでTLPT実施義務を負う。 グローバルシステム上重要銀行（G-SII）・国内システム上重要銀行（O-SII）認定信用機関年間1,500億ユーロ超の決済取引を処理する決済機関年間1,500億ユーロ超の決済取引または400億ユーロ超の電子マネー発行を行う電子マネー機関中央証券保管機関（CSD）中央清算機関（CCP）市場シェア基準を満たす取引会場総保険料5億ユーロ超等の基準を満たす保険・再保険会社 2.3 実装要件と実施頻度 主要要件 最低3年に1回の実施義務（監督当局判断で頻度調整可能）3回に1回は外部テスター必須使用最低12週間のアクティブレッドチーミング期間本番環境での実施脅威インテリジェンスプロバイダーは外部必須パープルチーミングの実施義務 3. 市場動向と成長予測 3.1 グローバル市場規模 TLPTサービス市場は急速な成長を示している。2024年の市場規模は4,042百万ドルから、2031年には9,145百万ドルに達すると予測されている。年平均成長率（CAGR）は約12.6%と高い成長率を維持している。この成長の主要因は以下の通りである。 DORA等の規制要件によるTLPT義務化の拡大サイバー攻撃の高度化・複雑化への対応需要金融機関における実践的セキュリティテストの重要性認識の高まりデジタル変革とクラウド移行に伴うリスク評価ニーズの拡大 3.2 市場の課題 急速な市場成長の一方で、重要な構造的課題が存在している。 3.2.1 専門人材不足 TLPTの実施には高度な専門性が求められるが、欧州監督機関（ESA）の調査によると、「TLPTやレッドチーミングは比較的新しい産業分野であり、既に小規模な市場がさらなる要件により縮小されている」状況である。具体的には： 外部テスターには5年以上の経験を持つマネージャーと2年以上の経験を持つ2名以上のチームメンバーが必要過去5件以上のTLPT類似案件の実績が要求される脅威インテリジェンス専門家の絶対数が不足 3.2.2 実装コストの上昇 専門人材不足により、TLPTサービスの価格は上昇傾向にある。特に以下の要因がコスト押し上げに寄与している。 高度な専門性を持つ人材への高額報酬本番環境でのテスト実施に伴う高リスクプレミアム複雑な調整・管理プロセスによる工数増加最低12週間という長期間の実施要件 4. アジア太平洋地域の取組み 4.1 日本の動向 4.1.1 金融庁の取組み 日本では2018年以降、金融庁が「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の下で大手金融機関にTLPTの実施を要求している。2023年度には165の金融機関が参加する「金融業界横断的なサイバーセキュリティ演習（Delta Wall VIII）」を実施し、実践的な対応能力の向上を図っている。 4.1.2 実装状況と課題 KPMGの調査によると、日本の金融機関の8割以上がTLPTを実施済みまたは実施予定である一方、地域金融機関では「コスト負担増やシステムへの影響を懸念して予算化のメドが立たない」状況が課題となっている。 4.2 シンガポールの枠組み 4.2.1 ABS-AASE Framework シンガポール銀行協会（ABS）は2018年に「Red Team: Adversarial Attack Simulation Exercise Guidelines」を策定し、金融機関向けの包括的なレッドチーム演習ガイドラインを提供している。2024年9月には最新版が発行され、より実践的な要件が整備されている。 4.2.2 MAS規制との連携 シンガポール金融管理庁（MAS）のTechnology Risk Management Guidelinesと連携し、銀行・保険・投資会社に対する段階的なサイバーレジリエンス要件を設定している。 4.3 香港の取組み 4.3.1 Cybersecurity Fortification Initiative (CFI) 香港金融管理局（HKMA）は2016年12月にCFIを開始し、2020年にはCFI 2.0にアップグレードしている。同イニシアチブには以下の要素が含まれる。 Intelligence-Led Cyber Attack Simulation Testing (iCAST)Professional Development ProgrammeCyber Resilience Assessment FrameworkCybersecurity Information Sharing Platform 4.4 オーストラリアの規制 4.4.1 APRA CPS 230 オーストラリア健全性規制庁（APRA）は2025年7月から適用されるCPS 230「Operational Risk Management」において、規制対象機関に対する定期的なペネトレーションテストと第三者リスク管理を義務化している。年次ベースでのテスト実施と重要なシステム変更後の追加テストが要求されている。 5. 実装事例と成功要因 5.1 欧州大手銀行の事例 5.1.1 実装アプローチ 欧州の大手銀行では、DORA施行に先立ちTIBER-EU フレームワークに基づくTLPTを実施している。成功要因として以下が挙げられる。 経営層の強いコミットメントと予算確保専任のControl Team（ホワイトチーム）の設置外部専門プロバイダーとの長期パートナーシップ構築段階的なスコープ拡大による経験蓄積 5.2 アジア太平洋地域の先進事例 5.2.1 三菱UFJ銀行のケース 三菱UFJ銀行は2024年にCrowdStrikeのレッドチーム演習を採用し、顧客環境や問題に合わせたカスタマイズされたテストを実施している。複数のセキュリティベンダーの提案を評価した結果、実効性の高いアプローチを選択している。 6. 技術・運用上の課題と対策 6.1 主要課題の分析 TLPTの実装において、以下の技術・運用課題が共通して確認されている。 分類課題主な対策ガバナンスセキュリティ部門の立場が弱く、施策実施が停滞セキュリティ戦略の検討・実装・振り返りサイクルの組織文化醸成識別CSIRTがネットワーク・システム全体像を把握不足インシデント対応を見据えた全容把握に向けた情報整理の施策化防御クラウド利用・ゼロトラスト化による外部抜け道の発生セキュリティ観点での設計見直し、要件定義段階からの専門家関与検知疑似攻撃に対してアラートが期待通りに上がらないTLPT等の効果測定推進、多層的検知態勢構築対応正常性バイアスによるアラート看過、初動遅れTLPT等の実践的訓練による危機感醸成、重要スキル者への人事制度措置 6.2 リスク管理要件 本番環境でのTLPT実施には固有のリスクが伴うため、厳格なリスク管理が要求される。 テスト実施前のリスク評価と継続的監視緊急停止手順（Kill Switch）の整備業務継続性への影響最小化措置データ保護・機密性確保の徹底インシデント発生時の迅速な復旧体制 7. 市場機会と将来展望 7.1 新興市場機会 7.1.1 中小金融機関市場 現在はコスト面で導入が困難な中小金融機関向けに、簡易版TLPTやクラウドベースソリューションの需要が高まっている。コンソーシアム型の共同実施や標準化されたテストパッケージの開発が市場機会として期待される。 7.1.2 業界横断的展開 金融業界で蓄積されたTLPTのノウハウは、他の重要インフラ業界（エネルギー、通信、交通）への横展開が予想される。特に供給連鎖リスクの観点から、業界を超えた連携テストの需要が拡大している。 7.2 技術革新の影響 7.2.1 AIと自動化 人工知能技術の活用により、以下の領域での革新が進んでいる。 脅威インテリジェンスの自動収集・分析攻撃シナリオの自動生成テスト結果の自動評価・レポート生成継続的セキュリティ評価プラットフォーム 7.2.2 クラウドネイティブTLPT クラウド環境に特化したTLPTツールとサービスの開発が加速している。コンテナ化された攻撃ツール、オンデマンドテスト環境、クラウドセキュリティポスチャ管理（CSPM）との連携が主要な技術トレンドとなっている。 7.3 グローバル標準化の進展 TIBER-EU、CBEST（英国）、TIBER-NL（オランダ）等の地域フレームワークの相互認証と標準化が進展している。ISO/IEC 27001、NIST Cybersecurity Frameworkとの整合性確保により、多国籍金融機関での効率的なTLPT実施が可能になっている。 8. 結論と提言 8.1 主要所見 TLPTは金融業界のサイバーセキュリティ対策において、従来の守りのセキュリティから攻めのセキュリティへのパラダイムシフトを象徴する取組みである。DORA規制により欧州で本格化するTLPT義務化は、グローバルな金融機関のサイバーレジリエンス向上に重要な役割を果たすことが期待される。 一方で、専門人材不足、高コスト、技術的複雑性といった課題は短期的には解決が困難であり、段階的なアプローチと産業界全体での能力構築が必要である。 8.2 金融機関への提言 早期準備の開始：TLPT義務化を待たず、内部体制整備と外部パートナー選定を早期に開始すべきである。段階的スコープ拡大：重要度の高いシステムから順次TLPT対象を拡大し、組織の習熟度を高めるアプローチが効果的である。業界協力の推進：コンソーシアム型共同実施や知見共有により、コスト削減と品質向上を同時に実現すべきである。継続的改善体制の構築：TLPTを一過性のイベントとせず、継続的なサイバーレジリエンス向上のプロセスに組み込むべきである。 8.3 今後の展望 TLPTは2025年以降、金融機関の標準的なサイバーセキュリティ対策として定着することが予想される。技術革新と市場成熟により、より効率的で実効性の高いTLPTソリューションが登場し、中小金融機関への普及も進むと考えられる。また、国際的な標準化と相互認証の進展により、グローバル金融システム全体のサイバーレジリエンス向上に寄与することが期待される。 主要参考資料: European Banking Authority, "Final Report - Draft Regulatory Technical Standards on TLPT", July 2024Deloitte, "Threat-Led Penetration Testing: A proactive approach to cybersecurity", 2024KPMG Japan, "金融機関における脅威ベースのペネトレーションテストの動向", October 2024Association of Banks in Singapore, "Red Team: Adversarial Attack Simulation Exercises Guidelines", September 2024Market Monitor Global, "Threat Led Penetration Testing Service Market Global Outlook", 2024金融庁, "金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅸ）", 2024 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE