「金融分野におけるサイバーセキュリティに関するガイドライン」実践の手引

書籍紹介

対策を「正しく」進めるために

◆金融庁によるガイドラインを軸に、管理態勢の構築からリスク管理プロセス、脆弱性管理、ペネトレーションテスト、教育・研修、認証・アクセス管理、ログ管理、インシデント対応計画、サードパーティリスク管理まで、幅広いテーマを体系的に解説。ガイドラインにある内容について、背景を紹介し共通的な解説をしつつ、求められる事項を提示し、事例も紹介。

◆経営資源の確保や人材育成、内部監査やリスク管理部門の牽制など、経営・ガバナンスの視点も取上げ。経営層がサイバーセキュリティを戦略的に捉えられるようなヒントも満載。「脆弱性の修正日数」を経営リスク指標（KRI）として活用する考え方や危機管理広報のポイント、サイバー保険や法的防御の役割などもコラムで解説。

◆豊富な現場経験と専門知識をもとに、読者が「正しく」サイバーセキュリティ対策を進められるよう、実践的なアドバイスを提供する、斯界の雄によるガイダンス。単なる理論やガイドラインの解説にとどまらず、現場で役立つ「武器」となる具体的なヒントや課題解決策を提示。サイバー攻撃の防御・検知・対応・復旧やサードパーティリスク管理、経営報告や法的対応まで、サイバーセキュリティ対策のあらゆる現場課題に応える一冊。サイバーセキュリティ対策担当者必読の書。

主要目次

第１章　本書を「武器」にするために

本書のねらい

ガイドライン解説の読み方

第２章　ガイドラインの解説

2.1.　サイバーセキュリティ管理態勢の構築

　2.1.1.　基本方針、規程類の策定等

　2.1.2.　規程等及び業務プロセスの整備

　2.1.3.　経営資源の確保、人材の育成

　2.1.4.　リスク管理部門による牽制

　2.1.5.　内部監査

2.2.　サイバーセキュリティリスクの特定

　2.2.1.　情報資産管理

　　2.2.1.1.　情報システム及び外部システムサービス

　　2.2.1.2.　ハードウェア・ソフトウェア等

　　2.2.1.3.　情報（データ）

　　2.2.1.4.　データフロー図・ネットワーク図

　2.2.2.　リスク管理プロセス

　　2.2.2.1.　脅威情報及び脆弱性情報の収集・分析

　　2.2.2.2.　リスクの特定・評価

　　2.2.2.3.　リスク対応

　　2.2.2.4.　継続的な改善活動

　2.2.3.　ハードウェア・ソフトウェア等の脆弱性管理

　2.2.4.　脆弱性診断及びペネトレーションテスト

　2.2.5.　演習・訓練

2.3.　サイバー攻撃の防御

　2.3.1.　認証・アクセス管理

　2.3.2.　教育・研修

　2.3.3.　データ保護

　2.3.4.　システムのセキュリティ対策

　　2.3.4.1.　ハードウェア・ソフトウェア管理

　　2.3.4.2.　ログ管理

　　2.3.4.3.　セキュリティ・バイ・デザイン

　　2.3.4.4.　インフラストラクチャ（ネットワーク等）の技術的対策

　　2.3.4.5.　クラウドサービス利用時の対策

2.4.　サイバー攻撃の検知

　2.4.1.　監視

2.5.　サイバーインシデント対応及び復旧

　2.5.1.　インシデント対応計画及びコンティンジェンシープランの策定

　2.5.2.　インシデントへの対応及び復旧

　　2.5.2.1.　初動対応（検知・受付、トリアージ）

　　2.5.2.2.　分析

　　2.5.2.3.　顧客対応、組織内外の連携、広報

　　2.5.2.4.　封込め

　　2.5.2.5.　根絶

　　2.5.2.6.　復旧

2.6.　サードパーティリスク管理

　　　　巻末資料

資料１：略語集

資料２：金融分野におけるサイバーセキュリティに関するガイドライン