ガバナンス体制

信金中金は、リスク管理部門であるシステム部をシステム利用部門から明確に分離することで牽制機能を働かせ、システム部を中心にサイバーセキュリティに係る管理態勢の整備を行うとともに、セキュリティリスク低減に向けた各種取組みを推進しています。

また、内部監査部門である監査部では、リスクベース監査の枠組みのもと、サイバーセキュリティを含む各業務に内在するリスクの種類や重要性等を評価し、その評価結果に基づき選定した監査テーマについて、内部監査を行っています。それぞれの部門は経営陣への報告ルートを確立しており、サイバーセキュリティリスクに関する報告を行っています。

さらに、サイバー攻撃に対する迅速かつ的確な対応体制を確立するため、本部横断型の組織として「SCB-CSIRT」を構築しています。SCB-CSIRTは金融ISACやJPCERT/CC、IPA等の関連団体や金融庁、日本銀行等の国・法執行機関、ならびに各信用金庫等とも適宜情報共有等を行っており、関係先との連携強化に努めています。また、有事の際の対応力向上を目的として、インシデント対応体制の整備や金融ISAC等主催の演習・訓練にも定期的に参加しています。

これらの体制を補完・強化する取組みとして、外部のセキュリティベンダーが運営する「SOC（Security Operation Center）」とも連携することで、24時間365日体制で監視を行い、サイバー攻撃の検出・分析に努め、インシデント発生時には即座に対応できる体制を整備しています。

管理プロセスやセキュリティ対策

信金中金は、定期的にサイバーセキュリティリスク評価を行い、サイバー脅威や脆弱性の特定、リスクへの適切な対応を図り、組織全体の安全性とお客様の情報資産の保護に努めています。具体的には、各種団体等が定めるガイドラインや基準を踏まえつつ、信金中金の特性に応じた評価基準を策定し、年次で評価を実施しています。

また、関連団体等とも情報連携することで攻撃者動向や脆弱性情報等の脅威情報を収集し、信金中金が保有するシステムへの影響を適宜確認するとともに、リスクが認められた場合には随時改善対応を行っています。

さらに、必要に応じて外部のセキュリティ専門家を活用し、脆弱性診断等を通じたリスクの詳細な把握にも取り組んでいます。検出された課題については、業務への影響度や取り扱う情報の重要度を考慮したうえで対応の優先順位を定め、計画的に対策を講じています。なお、セキュリティ対策の有効性についても適宜評価・見直しを行うことで、サイバーセキュリティ態勢の継続的な改善を図っています。

人材育成、教育

信金中金は、信用金庫業界の中央金融機関としての社会的責任を踏まえ、全ての役職員のサイバーセキュリティに対する意識および対応能力の向上に取り組んでいます。また、セキュリティ人材に求められるスキルを体系的に整理し、役職員が計画的かつ継続的にスキルを向上できるよう、育成環境の整備を進めています。

具体的には、全ての役職員を対象としたeラーニングの実施、標的型メール訓練に加え、グループ会社向けの勉強会実施、さらに経営層を含むインシデント対応訓練等を実施しています。これらを通じて、役職員のセキュリティリテラシーの維持向上を図っています。

サイバーセキュリティ管理の体制図