金融機関のサイバー危機に懸念を募らせる規制当局

デロイトが「アジアパシフィック地域のサイバー規制」レポートを発表

現代のデジタル経済社会ではサイバー攻撃や情報漏洩を避けることは不可能であり、アジアパシフィック地域の一部の規制当局は、適切な規制・監督能力を整備しない限り、サイバー攻撃が次の金融危機の引き金ともなりかねない状況だと考えています。



現代のデジタル経済社会ではサイバー攻撃や情報漏洩を避けることは不可能であり、アジアパシフィック地域の一部の規制当局は、適切な規制・監督能力を整備しない限り、サイバー攻撃が次の金融危機の引き金ともなりかねない状況だと考えています。

本日発表されたデロイトのアジアパシフィック地域のサイバー規制レポートlによると、サイバー攻撃は頻度が世界的に高まるとともに巧妙化する一方であり、アジアパシフィック地域もその例外ではありません。サイバー犯罪による経済的影響は最大で年間5,750億米ドル にのぼると推定されており、金融サービス機関はその主たるターゲットです。

アジアパシフィック地域のサイバー規制レポート
リンク

「金融システムは、データの機密保持、預金の保護、重要サービスの提供を基盤としていますが、近年、サイバー攻撃の増加に伴い、このいずれもが例外なく脅威にさらされるようになってきました。金融機関がデータに基づいたデジタルビジネスに移行し、より多くの金融サービスをオンラインで提供しつつある今、サイバーリスクはその拡大の兆しを見せ始めたばかりに過ぎません。サイバーリスクやリスク対応を適切に管理しなければ、金融システムの安定性を脅かすことにさえなりかねません。堅牢なサイバーセキュリティとサイバーリスク管理を導入している金融機関だけが、顧客や信頼を維持し、競争上の強みを高めることができるのです」（デロイト規制戦略センター グローバル&アジアパシフィック地域リーダー　ケビン・ニクソン）

こうしたリスクに対応するため、規制当局は適切な基準や監督ツールを検討し、企業に対して積極的にこうした新たな脅威への対応を強化するよう促しています。しかし、デロイトのアジアパシフィック地域のサイバー規制レポートでは、アジアパシフィック地域が直面しているサイバーセキュリティに関する多くの既存の課題を取り上げ、同地域の規制当局がこれらの課題にどのように対処しようとしているのかを検証しています。

規制に対する多様なアプローチ
サイバー脅威に国境はないとはいえ、アジアパシフィック地域におけるサイバーリスク規制へのアプローチは一様でなく、ローカライズされた状態にあり、また、地域全体の統一基準を制定しようという大きな動きもありません。金融機関は国ごとの規制の違いを理解し、新たに浮上する脅威を把握し、全法域を通じて一貫した堅牢なサイバーリスク対策プログラムを設計すべく苦闘しています。

しかしながら、各国の規制アプローチはセキュリティのみならず、ガバナンス、警戒態勢および対応に重点を置くという点で概ね一致しています。

業務の外注
アウトソーシング リスクの防衛という懸念は最近浮上し、大きな注目を集めつつあります。特にサイバーセキュリティ体制が比較的貧弱な法域にITサービスを外注することが広く行われている国でその傾向が見られます。

人材不足
アジアパシフィック地域で業務を営む金融機関にとってのもう一つの課題は、金融機関において専門のITセキュリティ スペシャリストやサイバー分野の専門家が不足している点であり、すなわち、そうした金融機関ではサイバー関連の変化のスピードについていくことが困難ともいえる状況になっているということです。多くの金融機関では経営陣がサイバーセキュリティの重要性について十分な認識や理解を持っておらず、部門の枠を超えた協調的アプローチを採用するに至っていないというのが実情です。

デロイトのレポートでは、こうした課題を克服し、サイバーレジリエンスを強化するための枠組みを提示しています。

「サイバー攻撃は避けられないものであり、規制当局や金融機関がそのことを認めれば、全体的かつ臨機的で全社的なサイバーリスク対策プログラムを構築し、これを継続的にテストおよびアップデートすることによって、機敏かつ迅速な復旧を実現することに焦点を当てられるようになるでしょう。セキュリティを高め、新たに浮上する脅威への警戒を怠らず、サイバーエコシステムにインサイトを投入し、上層部による支援・監視を受ける戦略こそが、金融機関が規制当局の求める水準に一歩先んじるための最適な戦略といえるでしょう」（デロイト アジアパシフィック地域　サイバーリスクリーダー　ジェームズ・ニューン・プライス）。

金融業界と規制当局はこのほかにも、サイバースキルや専門知識の育成を推進し、共通の基準やアプローチを作成し、情報共有を支援し、インシデントや攻撃に対する協調的対応を促すため、互いに協力して取り組む必要があります。

詳細については、デロイト アジアパシフィック地域 規制戦略センター、およびデロイト サイバー インテリジェンス センターをご覧ください。

デロイト アジアパシフィック地域 規制戦略センター
リンク
デロイト サイバー インテリジェンス センター
リンク

デロイト規制戦略センターについて
デロイト規制戦略センターは、金融サービス、ヘルスケア、ライフサイエンスおよびエネルギー業界の組織が新たな規制および遵守義務、規制導入のリーディングプラクティスおよびその他の規制トレンドを把握する助けとなる、有益な見識を提供しています。
同センターは経験豊かな経営幹部、監督省庁の元職員、規制上の複雑な問題解決において多彩な実績を誇るデロイトのプロフェッショナルがチームを組んで活動する拠点であり、ソートリーダーシップ、リサーチ、フォーラム、ウェブキャスト、イベント等幅広いメディアを通じて、関連情報および専門的な視点をクライアントに届けしています。ケビン・ニクソン、デビッド・ストローンおよびクリストファー・スポスを含むデロイト有数のリスクおよび規制専門家が同センターを率いています。

デロイト サイバー インテリジェンス センターについて
デロイト サイバー インテリジェンス センターは、先端技術とともにデロイトのサイバーセキュリティ・アナリストの有する経験および知識を駆使し、関連性の高いビジネス・インテリジェンスを提供することによって、サイバー脅威から保護を支援します。サイバー インテリジェンス センターはクライアントに以下のサービスおよびソリューションをご提供しています。

・Cyber Watch
インテリジェンスに基づいたアプローチによってサイバーリスクを管理します。Cyber Watchはオンラインでの高度なインターネット監視・偵察機能を提供し、クライアントを標的にしたアクティブな、あるいは拡大しつつある外的脅威を把握し、情報漏洩の詳細を知ることができます。

・Cyber Monitor
Cyber WatchをベースにしたCyber Monitorは、高度なセキュリティ情報／イベント管理（SIEM）ソリューションを提供します。クライアントのログの消費状況をモニタリングすることでコンプライアンスおよびサイバーセキュリティ問題の有無を確認し、内的脅威の追加分析と事業への影響について情報を提供することで、脅威への対応を可能にします。

・Cyber Respond
効果的なサイバー・インシデント対応サービスを、アウトシーソングを通じて、または社内で、あるいはオンデマンドで実施します。高度なマルウェア対策、サイバー・インシデント対応チーム（CIRT）および犯罪捜査などを組み合わせた、迅速かつ徹底的で断固とした対応活動により、漏洩による影響と将来的なサイバー攻撃の可能性を最小限に抑えます。

・Cyber Check
Cyber Checkは各クライアントに合わせたオンラインでの脆弱性スキャンと脆弱性管理を行い、ハッカーより先に脆弱性を発見して対処することで、クライアントの重要なビジネス資産を守ります。

・Cyber Govern
ガバナンス、リスク、コンプライアンスを管理する機能。企業内のセキュリティ・リスクとコンプライアンス問題を把握し、調整し、評価するとともに、業界基準と比較します。

・Cyber Prepare
企業のあらゆる階層でサイバー・インシデントに備え、準備態勢を整えるための手法、プロセス、能力および機能。これには、執行部への報告、レジリエンシー対策およびその他のプログラムが含まれます。

・Cyber Protect
データの喪失を防ぐ持続的標的型攻撃（ART）対策ソリューション。クライアントのネットワークを出入りする機密情報の流れをモニタリングし、コンプライアンスまたはサイバーセキュリティ問題に関する警告を発します。

・Digital Identity Services
ID管理サービス。IDの使用期間を通じて企業に効果的かつ効率的なID管理プロセスや特権アクセス管理サービスを提供し、企業と顧客の間にオンライン上での信頼関係を築きます。

本件は2017年8月16日にオーストラリアで配信されたニュースリリースを翻訳・加筆したものです。

プレスリリース提供：PR TIMES リンク