近年、世界におけるサイバー攻撃の脅威は増大し、我が国でもデジタル化やコロナ禍によるテレワークの普及等によって一層サイバーセキュリティリスクが高まっています。具体的には、ランサムウェア感染・DDoS攻撃・標的型攻撃・不正アクセス等、様々な手法を利用したサイバー攻撃事案の発生が確認されています。とりわけ、サイバー攻撃により、不正アクセスやマルウェア感染による情報漏えい、ランサムウェア感染による情報の暗号化など情報資産への脅威が高まっています。また、これまでの企業そのものへのサイバー攻撃にとどまらず、サービス提供事業者、協業先又は外部委託先事業者等、外部事業者を通じたサイバー攻撃により、外部機関が保有する自社の情報資産への攻撃リスク（いわゆるサードパーティリスクの顕在化）も想定せねばならない状況です。

当社では、こうした状況を踏まえ、情報セキュリティ態勢の整備又は高度化に向けた対応を支援しています。具体的には、情報セキュリティに関するガバナンス面からの態勢拡充、技術面のアセスメントによる情報セキュリティ対策の不足事項の特定をはじめとしたトータルでのご支援が可能です。とりわけガバナンス面では、３つの防衛線による管理を念頭にした体制構築、リスク管理の枠組みから実行に至るまでの一連のPDCAサイクルに即した対応態勢の整備を提供しています。

なお、令和6年10月に金融庁が公表したサイバーセキュリティガイドラインにおいて、新たに一般的な情報セキュリティそのものについても、サイバー攻撃への対処方針を導出のうえ、対策を施すことが下命されています。そこで当社では、入退室管理や建物そのものの入館管理、といった重要性の高い要件も評価対象とし、網羅的にリスクを評価し、課題を特定のうえ有効な対策をご提案します。

また、サイバーセキュリティに関連する政府機関等の諸外国を含む調査・研究の数多い受託実績を有す等、政策立案の支援も当社の得意とする分野です。当社では、複数の省庁からの、諸外国のサイバーセキュリティ関連諸規制の調査研究プロジェクトの受託実績を有しています。

組織体制を含むガバナンス面の整備では、法規制・各種ガイドラインを踏まえた目指すべき姿と現状のギャップ分析に加え、人的リソース、必要となる運用の内容、組織の役割等を踏まえ、フィージビリティを確保したグランドデザインの構築、実行支援を行います。また、リスク管理の枠組みの構築では、情報の重要度や、サイバー攻撃が発生するリスク等を踏まえた、リスク評価手法を提供します。

技術面のアセスメントにおいては、例えば、米国で利用されるFFIECの「Cybersecurity Assessment Tool」のほか、昨今金融庁により金融機関におけるアセスメントが開始されている「サイバーセキュリティ・セルフアセスメントツール」（CSSA）をベースとしたアセスメントサービスの提供と課題特定に向けた評価レポートのご提供が可能です。弊社では、諸外国における有意事例等も念頭に、技術面のチェックとして有用な項目を抽出のうえ、お客様金融機関の現状の対応状況を的確に評価し、不足する技術的因子を炙り出し、効果的な対策導出を支援いたします。

• なお、一般的な情報セキュリティについても、令和6年10月に金融庁が公表したサイバーセキュリティガイドラインの対象とされたことから、弊社では広範にセキュリティ評価の対象を捕捉のうえ、網羅的に評価、課題抽出、対策立案に向けた支援機能をご提供いたします。

• 情報セキュリティに関する各種ガイドラインに準拠したセキュリティリスク管理、及びセキュリティインシデント対応手順等の規程類・マニュアル類の策定を通じた態勢整備
• セキュリティへの技術的な対応状況の把握、不足する技術的対策の把握

• 諸外国の金融分野のサイバーセキュリティへの取組みに関する調査（中央省庁）

• 【FinTech Journal】なぜ金融庁が「セキュリティ自己診断ツール」を作成するのか？ その経緯と動向とは