デロイト トーマツ サイバーが、金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査を実施

昨今、金融機関の外部委託先等のサードパーティ関係が多様化し、ICTサプライチェーンが複雑化している中で、サードパーティ・サプライチェーンサイバーリスク管理の重要性が高まっています。この度、本邦金融機関におけるリスク管理等への参考となる情報を得ることを目的として、その対応が進んでいるとされる米国の大手金融機関における管理手法（先進事例）に関する調査を実施し、報告書を取りまとめました。

具体的には、重要性が高まっているサードパーティ・サプライチェーンサイバーリスク管理（TPCRM/C-SCRM^※）について、（1）組織体制、リソース（人材、専門性など）及び仕組み（管理枠組みやツールなど）、（2）契約による管理をはじめとしたリスク管理プロセス、（3）TPCRM/C-SCRMの観点から、金融機関が課題として認識すべきソフトウェア管理、並びに（4）ハードウェア管理を主たる調査項目とし、関連する基準やガイダンス等から要素を整理した上で、米国大手金融機関数社を対象に質問票への回答を依頼するとともにヒアリングを行いました。

金融庁は2023年12月20日に調査結果に関して発表し、委託先としてデロイト トーマツ サイバー合同会社の社名も掲載されています。

「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」の公表について：金融庁
https://www.fsa.go.jp/common/about/research/20231220/20231220.html（外部サイト）

調査では、上記(1)～(4)の項目別で結果を整理し、「本邦金融機関における改善ステップの例示」も提供しております。金融機関における取り組みについてご検討される際にご参考として頂ければ幸いです。

※TPCRM: Third Party Cyber Risk Managementの略。
※C-SCRM: Cyber Supply Chain Risk Managementの略。