金融機関のランサムウェア対策｜金融庁ガイドライン・FISC対応ガイド

金融機関を狙ったランサムウェアの脅威

金融機関が標的となる理由

金融機関はランサムウェア攻撃者にとって魅力的な標的です。その理由は複数あります。

高い身代金支払い能力

金融機関は資金力があり、システム停止による損失が巨額になるため、身代金を支払う能力と動機の両方を持つと見なされています。

機密性の高い顧客情報

口座情報、取引履歴、資産情報など、金融機関が保有する顧客情報は極めて機密性が高く、情報漏洩時の影響は甚大です。二重恐喝型攻撃では、この情報公開が脅迫材料となります。

業務停止が社会インフラに影響

預金の引き出し、送金、決済といった金融サービスは社会インフラの一部です。停止による社会的影響の大きさが、身代金支払いへの圧力を高めます。

金融機関特有のリスク

金融機関がランサムウェア被害を受けた場合、一般企業とは異なる深刻なリスクが発生します。

決済システム停止

勘定系システム、決済システムが暗号化されると、預金者は預金にアクセスできなくなります。クレジットカード、デビットカードの決済も停止し、日常生活に支障をきたします。

顧客資産情報の漏洩

預金残高、投資ポートフォリオ、借入状況などの資産情報が漏洩すると、顧客のプライバシーが侵害されるだけでなく、詐欺やフィッシングの標的にされるリスクが高まります。

風評リスク

金融機関の信頼は事業の根幹です。セキュリティ被害が報道されると、預金流出や株価下落を招く恐れがあります。信頼回復には長期間を要します。

規制当局からの処分

金融庁の監督下にある金融機関は、セキュリティ管理の不備が認められた場合、業務改善命令などの行政処分を受ける可能性があります。

---

金融庁サイバーセキュリティガイドライン（2024年版）対応

2024年10月公開ガイドラインの概要

金融庁は2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を公開しました。これは金融機関のサイバーセキュリティ対策の新たな基準となる重要な文書です。

NIST CSF 2.0をベースとした175項目

米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク2.0（CSF 2.0）を参考に、金融機関向けに175項目の対策事項が策定されています。

サイバーセキュリティの組織的対応強化

技術的対策だけでなく、経営層のコミットメント、ガバナンス体制、人材育成など、組織的な対応が重視されています。

サードパーティリスク管理の強化

クラウドサービス、外部委託先など、サードパーティを通じたリスクへの対応が新たに強調されています。サプライチェーン全体でのセキュリティ管理が求められます。

対応すべき主要項目

ガイドラインは6つのカテゴリに分類されています。

カテゴリ	主な対策項目	確認ポイント
ガバナンス	経営層の関与、方針策定、リソース配分	取締役会への定期報告体制
識別	資産管理、リスク評価、脅威分析	重要資産の特定と優先順位付け
防御	アクセス制御、データ保護、脆弱性管理	多要素認証、暗号化の実施状況
検知	監視体制、異常検知、ログ分析	24/365監視体制の有無
対応	インシデント対応計画、コミュニケーション	対応手順の文書化と訓練
復旧	復旧計画、バックアップ、改善	RTO/RPOの設定とテスト

経営層の関与

ガイドラインでは、サイバーセキュリティを経営課題として位置づけることが求められています。

取締役会への報告体制

サイバーセキュリティの状況を定期的に取締役会に報告する体制を構築してください。リスク評価、インシデント発生状況、対策の進捗などを報告項目に含めます。

予算・人員の確保

セキュリティ対策に必要な予算と専門人材を確保することが求められています。経営層の理解と支援なしには、実効性のある対策は困難です。

セキュリティ投資の意思決定

セキュリティ投資の費用対効果を評価し、適切な投資判断を行う仕組みが必要です。詳細は経営層を説得するセキュリティ投資提案術をご参照ください。

---

FISC安全対策基準第13版の要点

FISCとは

金融情報システムセンター（FISC）

金融情報システムの安全対策に関する調査研究、基準策定を行う一般財団法人です。「金融機関等コンピュータシステムの安全対策基準・解説書」は、金融機関のセキュリティ対策の実質的な業界基準として広く参照されています。

安全対策基準の位置づけ

法的拘束力はありませんが、金融庁の監督指針でも参照されており、金融機関は実質的にこの基準への対応が求められています。

ランサムウェア対策関連の要点

FISC安全対策基準第13版から、ランサムウェア対策に関連する主要項目を抽出しました。

バックアップの分離保管

バックアップデータは、本番システムとは物理的または論理的に分離した場所に保管することが求められています。ネットワーク接続された状態での保管は、ランサムウェアによる暗号化リスクがあります。

アクセス制御

重要システムへのアクセスは、業務上必要な最小限の範囲に制限します。特権アカウントの管理を厳格化し、不正アクセスリスクを低減してください。

インシデント対応

サイバー攻撃を想定したインシデント対応計画を策定し、定期的な訓練を実施することが求められています。

外部委託管理

クラウドサービス、システム運用委託など、外部委託先のセキュリティ管理状況を評価・監視する体制が必要です。

FISC基準対応チェックリスト

対策項目	FISC要件	対応状況
バックアップの分離保管	運64	□対応済 □未対応 □一部対応
アクセス制御・認証	技23-25	□対応済 □未対応 □一部対応
ログの取得・保存	技31	□対応済 □未対応 □一部対応
脆弱性管理	技18	□対応済 □未対応 □一部対応
インシデント対応計画	運16	□対応済 □未対応 □一部対応
外部委託先管理	運57-59	□対応済 □未対応 □一部対応

---

バックアップ暗号化対策と世代管理

金融機関のバックアップ要件

金融機関特有の厳格なバックアップ要件について理解し、対策を講じる必要があります。

複数世代の保持

ランサムウェアの潜伏期間を考慮し、複数世代のバックアップを保持することが重要です。感染が発覚した時点で直近のバックアップが既に汚染されている可能性があるためです。

オフサイト保管

本番サイトとは異なる場所（別建物、別データセンター、クラウド）にバックアップを保管します。災害対策とランサムウェア対策の両方に有効です。

復旧テストの実施

バックアップからの復旧が実際に機能することを定期的にテストしてください。テストなしでは、いざという時に復旧できない恐れがあります。

イミュータブルバックアップ

改ざん不可能なバックアップ

一度書き込んだデータを変更・削除できないイミュータブル（不変）バックアップは、ランサムウェアによる暗号化から保護する有効な手段です。

WORM（Write Once Read Many）技術

一度書き込んだら読み取り専用となるWORM技術を活用したストレージやクラウドサービスが利用可能です。保持期間を設定し、その間はいかなる操作でも削除できないようにします。

詳細はバックアップ戦略をご参照ください。

バックアップ世代管理

金融機関向けの推奨バックアップ構成を示します。

世代	頻度	保持期間	保管場所	用途
第1世代	日次	7日間	オンサイト	通常の復旧
第2世代	週次	4週間	オフサイト	1週間以上前への復旧
第3世代	月次	12ヶ月	オフサイト（イミュータブル）	長期潜伏への対応
第4世代	年次	7年以上	オフサイト（イミュータブル）	法定保存・監査対応

---

業務継続計画（BCP）の策定

金融機関に求められるBCP

金融機関のBCPは、社会インフラとしての責任を踏まえた内容が必要です。

復旧目標時間（RTO）の設定

システムごとに復旧目標時間を設定します。勘定系システムなど重要度の高いシステムは、数時間以内の復旧が求められることがあります。

復旧目標地点（RPO）の設定

どの時点のデータまで復旧できるかを示すRPOを設定します。リアルタイム処理が求められるシステムでは、データ損失を最小限に抑える設計が必要です。

代替処理手段の確保

主要システムが使用できない場合の代替処理手段を準備します。紙ベースの運用、代替システム、他拠点での処理など、複数の選択肢を検討してください。

訓練・テストの実施

BCPは策定しただけでは機能しません。定期的な訓練とテストにより、実効性を確認し、課題を改善していくことが重要です。

サイバーレジリエンス

攻撃を受けても事業継続できる体制

サイバー攻撃を完全に防ぐことは困難であるという前提に立ち、攻撃を受けても被害を最小化し、迅速に復旧できる「レジリエンス」の考え方が重要視されています。

レジリエンス強化のポイント

早期検知、影響範囲の局限化、迅速な復旧、継続的な改善の4つが鍵となります。

詳細はIT-BCP策定ガイドをご参照ください。

---

24/365監視体制の構築

SOCの構築・運用

金融機関では24時間365日の監視体制が求められます。

自社SOCと外部SOCの選択

SOC（Security Operation Center）を自社で構築するか、外部に委託するかの判断が必要です。規模、コスト、専門人材の確保可能性を考慮して選択してください。地域金融機関では外部SOCサービスの活用が現実的な選択肢となることが多いです。

監視対象と検知ルール

ファイアウォール、IDS/IPS、EDR、各種サーバーログなどを監視対象とします。ランサムウェアの兆候（大量のファイル暗号化、異常な通信など）を検知するルールを設定します。

インシデント対応フロー

検知から対応、報告までのフローを明確にし、対応担当者の役割を定義します。夜間・休日の対応体制も整備してください。

検知から対応までの流れ

ステップ1：検知・アラート

監視システムが異常を検知し、SOCにアラートが通知されます。誤検知を減らすため、相関分析やAI活用による精度向上が進んでいます。

ステップ2：初動対応（トリアージ）

アラートの重要度を判断し、対応の優先度を決定します。真の脅威と誤検知を切り分け、必要な対応を開始します。

ステップ3：封じ込め・調査

被害拡大を防ぐため、感染端末のネットワーク隔離などの封じ込めを実施します。同時に、感染経路や影響範囲の調査を進めます。

ステップ4：復旧・報告

被害システムの復旧を進めながら、経営層、規制当局、顧客への報告を行います。

ステップ5：事後分析・改善

インシデントの根本原因を分析し、再発防止策を講じます。得られた教訓をセキュリティ対策の改善に活かします。

---

よくある質問（FAQ）

Q: 金融庁ガイドラインへの対応は義務ですか？

A: ガイドライン自体は法的拘束力のある規制ではありませんが、金融庁の監督指針に基づく検査・監督において、ガイドラインへの対応状況が確認されます。対応が不十分な場合、業務改善命令などの行政処分につながる可能性があります。実質的には対応が必要と考えてください。

Q: 地方銀行や信用金庫でも同等の対策が必要ですか？

A: ガイドラインは金融機関の規模・特性に応じた対応を認めていますが、基本的な対策事項は共通です。地域金融機関向けには、外部SOCサービスの共同利用や、業界団体を通じた情報共有の活用が推奨されています。リスクの大きさに応じて、適切なレベルの対策を講じてください。

Q: サイバー保険に加入していれば十分ですか？

A: サイバー保険は被害発生時の財務的なリスク軽減に有効ですが、それだけでは不十分です。保険は対策の代替にはなりません。また、対策が不十分な場合、保険金が支払われないケースもあります。保険の詳細はサイバー保険の選び方をご参照ください。

Q: 外部委託先のセキュリティはどう管理すればよいですか？

A: 外部委託先の選定時にセキュリティ要件を明確にし、契約書に盛り込んでください。定期的な評価・監査を実施し、インシデント発生時の報告義務を契約に含めることが重要です。クラウドサービスについては、FISCの「金融機関等におけるクラウドサービスの利用について」も参照してください。

Q: ランサムウェア被害時の金融庁への報告は必要ですか？

A: 金融庁の監督指針により、システム障害や情報漏洩が発生した場合は報告が必要です。ランサムウェア被害により業務に支障が生じた場合や、顧客情報が漏洩した可能性がある場合は、速やかに金融庁（財務局）に報告してください。報告の詳細は法的責任のページをご参照ください。

---

まとめ：金融機関が今すぐ実施すべきこと

金融機関がランサムウェアの脅威から顧客資産と金融インフラを守るためには、以下の対策を優先的に実施してください。

1. 金融庁ガイドライン（2024年版）の確認と自己評価（即時）
2. バックアップのオフサイト・イミュータブル化（1ヶ月以内）
3. 24/365監視体制の確認・強化（1ヶ月以内）
4. インシデント対応計画の見直しと訓練（3ヶ月以内）
5. 外部委託先のセキュリティ評価（3ヶ月以内）

ランサムウェア対策の全体像については、ランサムウェアとは？仕組み・感染経路・対策を徹底解説をご参照ください。また、より詳細な対策についてはランサムウェア対策完全ガイドもあわせてご確認ください。

---

【ご注意・免責事項】

• 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
• 金融庁ガイドライン、FISC基準は最新版をご確認ください
• 実際に被害に遭われた場合は、以下の公的機関にご相談ください
  • 警察相談専用ダイヤル：#9110
  • IPA情報セキュリティ安心相談窓口：03-5978-7509
  • 金融庁・財務局
• 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
• セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
• 記載内容は作成時点の情報であり、攻撃手口やガイドラインは更新される可能性があります

ランサムウェア総合対策ナビ