近年、世界におけるサイバー攻撃の脅威は増大し、我が国でもデジタル化やコロナ禍によるテレワークの普及等によって一層サイバーセキュリティリスクが高まっています。具体的には、ランサムウェア感染・DDoS攻撃・標的型攻撃・不正アクセス等、様々な手法を利用したサイバー攻撃事案の発生が確認されています。また、これまでの企業そのものへのサイバー攻撃にとどまらず、サービス提供事業者、協業先又は外部委託先事業者等、外部事業者を通じたサイバー攻撃といった、いわゆるサードパーティリスクの顕在化も想定せねばならない状況です。

当社では、こうした状況を踏まえ、サイバーセキュリティ態勢の整備又は高度化に向けた対応を支援しています。具体的には、サイバーセキュリティに関するガバナンス面からの態勢拡充、技術面のアセスメントによるサイバーセキュリティ対策の不足事項の特定をはじめとしたトータルでのご支援が可能です。とりわけガバナンス面では、3つの防衛線による管理を念頭にした体制構築、リスク管理の枠組みから実行に至るまでの一連のPDCAサイクルに即した対応態勢の拡充、さらにはサイバー攻撃を受けた場合を想定したインシデント対応演習プログラムを提供しています。当社のサイバーセキュリティ演習プログラムは、金融庁サイバーセキュリティ演習をはじめ、多くの省庁で実効性の高い演習プログラムとして導入実績を有しております。

また、サイバーセキュリティに関連する政府機関等の諸外国を含む調査・研究の数多い受託実績を有す等、政策立案の支援も当社の得意とする分野です。当社では、複数の省庁からの、諸外国のサイバーセキュリティ関連諸規制の調査研究プロジェクトの受託実績を有しています。

組織体制を含むガバナンス面の整備では、法規制・各種ガイドラインを踏まえた目指すべき姿と現状のギャップ分析に加え、人的リソース、必要となる運用の内容、組織の役割等を踏まえ、フィージビリティを確保したグランドデザインの構築、実行支援を行います。また、リスク管理の枠組みの構築では、システム重要度や、サイバー攻撃が発生するリスク等を踏まえた、サイバーセキュリティリスク評価手法を提供します。

インシデント対応演習プログラムでは、最近のサイバー攻撃におけるトレンド及び各社の業務内容等に沿った現実的な演習シナリオを設定したうえで、演習の実施及び結果を踏まえた改善案を提案します。一般的な演習では、演習の実施までにとどまることが多いものの、当社では多くの演習プログラムを提供した実績を踏まえ、演習シナリオに対するあるべき対応の流れとの分析を行い、具体的な改善案を提供できることが特徴です。

技術面のアセスメントにおいては、例えば、米国で利用されるFFIECの「Cybersecurity Assessment Tool」のほか、昨今金融庁により金融機関におけるアセスメントが開始されている「サイバーセキュリティ・セルフアセスメントツール」（CSSA）をベースとしたアセスメントサービスの提供と課題特定に向けた評価レポートのご提供が可能です。当社では、諸外国における有意事例等も念頭に、技術面のチェックとして有用な項目を抽出のうえ、お客様金融機関の現状の対応状況を的確に評価し、不足する技術的因子を炙り出し、効果的な対策導出を支援いたします。

• サイバーセキュリティに関する各種ガイドラインに準拠したサイバーセキュリティリスク管理、及びサイバーセキュリティインシデント対応手順等の規程類・マニュアル類の策定を通じた態勢整備
• サイバー攻撃を想定したインシデント対応演習プログラムを通じた緊急時の対応態勢強化
• サイバーセキュリティへの技術的な対応状況の把握、不足する技術的対策の把握

• サイバーセキュリティ管理態勢構築支援（地方銀行）
• サイバーインシデント対応手順策定支援（金融業界団体、地方銀行）
• サイバーセキュリティインシデント対応演習（中央省庁、金融業界団体、地方銀行）
• 諸外国の金融分野のサイバーセキュリティへの取組みに関する調査（中央省庁）

• 【 FinTech Journal 】なぜ金融庁が「セキュリティ自己診断ツール」を作成するのか？ その経緯と動向とは
• 【 FinTech Journal 】金融庁が求めるものは？ 自社で進める「資産、アクセス、ログ」管理の勘所
• 【 FinTech Journal 】金融庁が求める「インシデント対応」「サードパーティ管理」、自己管理のキモとは？