平成30年5月16日
金融庁
諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について
諸外国の大手金融機関を中心に、近年、対象企業ごとに脅威分析を行い、個別にカスタマイズしたシナリオに基づき現実の脅威を再現した上で、より実戦的に行う「脅威ベースのペネトレーションテスト」(以下、「TLPT」)が活用されており、英国をはじめ欧州や香港では、当局が関与するTLPTの枠組みもあります。
こうしたことから、諸外国の動向を把握するため、諸外国のTLPTの手法や金融機関の活用状況等について、PwCあらた有限責任監査法人に調査を委託しました。今般、その報告書について公表します。
金融庁は、「金融行政方針(平成29事務年度)」において、大規模な金融機関については、そのサイバーセキュリティ対応能力をもう一段引き上げるため、TLPT等のより高度な評価手法の活用を慫慂しているところです。
金融分野におけるサイバー攻撃の高度化・複雑化が進む中、このような現実的な脅威シナリオを踏まえた効果的な評価手法を活用し、技術的な側面だけではなく、人・組織、プロセス面も含めてサイバー攻撃対応態勢を向上させていくことが重要です。
金融庁としても、引き続き、金融機関に対してTLPTの活用を促すとともに、実際にテストを行うサービスプロバイダーの品質の向上を促し、将来的には、欧州中央銀行(ECB)が導入を進めているTLPTのフレームワークにおいても採用される見込みの、汎用的な脅威インテリジェンスレポートの策定を、関係団体と検討するなど効果的な手法も模索しながら、テスト対象金融機関の拡大を目指す等、金融機関のリスク管理態勢の強化を促してまいります。
報告書については、別添PDFをご覧ください。
- お問い合わせ先
-
総務企画局政策課サイバーセキュリティ対策企画調整室
金融庁 Tel 03-3506-6000(代表)(内線2983、3601)