1. ホーム
  2. ガバナンス
  3. サイバーセキュリティ態勢

サイバーセキュリティ態勢

基本的な考え方

近年のデジタル技術の著しい発展により、インターネットやスマートフォンを利用した取引が増加しており、当行においてもデジタルチャネルによるサービスの拡充を推進しています。
一方、サイバー攻撃手法の高度化・巧妙化も進んでおり、金融機関を取り巻くサイバーリスクが高まっています。
当行では、サイバー攻撃によるリスクを経営上のトップリスクのひとつと位置づけ、経営主導によるサイバーセキュリティの継続的な強化に取り組んでいます。

ガバナンス態勢

当行では、経営主導によるサイバーセキュリティ態勢強化のため、代表執行役社長、サイバーセキュリティ担当役員(CISO:Chief Information Security Officer)の下、専門組織(サイバーセキュリティ対策部)を設置し、取締役会や経営会議に対する定期的かつ随時のレポーティングを通じて、環境の変化に応じた適時適切な経営判断ができるガバナンス態勢を整備しています。
サイバーセキュリティを含むシステム管理状況等については、取締役会の諮問機関である「リスク委員会」にて、定期的に審議しているほか、少なくとも年に一回取締役会へ報告しており、取締役会は、サイバーセキュリティ対応に関する監督機能を有しています。

サイバーセキュリティ経営宣言

当行は、日本郵政グループの一員として、サイバーセキュリティ経営宣言を表明しています。

管理体制

サイバーセキュリティ専門組織として、サイバーインシデントの予防および発生時の対応を行う「ゆうちょCSIRT(Computer Security Incident Response Team)」、セキュリティ機器、ネットワーク機器等のログを監視し、サイバーインシデントの予兆を検知、分析する「ゆうちょSOC(Security Operation Center)」を設置し、日々、サイバー攻撃の防衛に努めています。
事案発生時に、情報連携、意思決定、広報、対策などを的確かつ迅速に行えるよう、定期的に訓練や演習を実施するとともに、金融庁や警視庁主催の訓練・演習への参加など、社外の活動にも積極的に参加しています。また、金融機関向け管理態勢評価ツールとして国際的に活用されているFFIEC-CAT(FFIEC(米国金融機関検査協議会)が金融機関向けに作成したサイバーセキュリティの成熟度評価ツール。Federal Financial Institutions Examination Council - Cybersecurity Assessment Toolの略)に基づく、第三者による評価および提言を受けて、サイバーセキュリティ態勢の強化に取り組んでいます。
加えて、官公庁や業界他社、関連団体との連携を通じて、新たな攻撃手口の分析や対策を行うなど、多層的な検知・防御対策を整備しています。

<FFIEC-CATにおける評価観点>

  1. サイバーリスクの管理と監督(ガバナンス、リスク管理、リソース、研修と企業文化)
  2. 脅威情報の収集と共有(脅威情報、モニタリングと分析、情報共有)
  3. サイバーセキュリティ統制(防御、検知、改善)
  4. 外部依存関係の管理(外部との接続、関係管理)
  5. サイバーインシデント管理とレジリエンス(インシデントレジリエンスに関する計画策定と戦略、検知・対応および低減、エスカレーションと報告)
図:サイバーセキュリティ専門組織

※1:

取締役会には少なくとも年に一回報告。

サイバーセキュリティを支える人財育成

クラウドサービスやAIなどのデジタル活用が進展する現在、事業活動のあらゆる場面において、サイバーセキュリティリスクを意識した対応が不可欠となっています。
当行では、「一層信頼される銀行となるための経営基盤の強化」を図るため、サイバー専門人財を配置するとともに、必要なスキルを体系的に整理し、担当業務やスキルにあわせた人財育成を計画的に推進し、専門性の向上に努めています。
また、経営層を含めた社員一人ひとりが、サイバーセキュリティに関する意識を高め、対策の実施に求められる基礎知識等を積極的に身に付けています。

サイバー専門人財の育成

サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛実践のため、必要とされる専門知識と経験を踏まえた育成計画を定め、スキルアップ講義や資格取得支援を行うとともに、年に一度インシデント対応訓練などを実施しています。さらに、金融業界の情報連携組織「金融ISAC」や金融庁・警視庁主催の各種訓練など、社外の取り組みにも積極的に参加し、専門知識とともに、経験を積み重ね、実行態勢を強化しています。

サイバーセキュリティ教育

サイバーセキュリティに関する意識や基礎知識の向上を図るため、経営層向けのサイバーセキュリティ研修やすべての役員・社員(非正規社員を含む)向けの標的型攻撃メール訓練などを実施しています。
加えて、定期的なサイバー攻撃への注意喚起や対応策(サイバー攻撃の脅威への必要な対策に加え、社員がサイバーセキュリティ上の問題を発見した場合の対応を含む)を周知する社内情報誌の発行、基礎知識から最新の専門知識まで学べるeラーニングコンテンツを提供し、社員教育を行っています。

サイバーセキュリティに対する主な取り組み

当行では、デジタルチャネルを通じて提供するサービスを、お客さまにより安心・安全にご利用いただけるよう、本人確認・当人認証の強化、ウイルス対策、脆弱性対策、脅威動向の分析、サイバー攻撃の検知や不正な取引のモニタリングなど、サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛に日々取り組んでいます。

  • 本人確認の強化
    お客さまになりすました不正登録を防止するため、eKYC(electronic Know Your Customerの略。本人確認書類のIC情報と登録時に撮影する顔の情報を照合し、オンラインで本人確認を完結させる技術)を導入
  • 当人認証の強化
    送金時等、重要な取引時の当人認証のさらなる強化のため、FIDO(Fast Identity Onlineの略。オンライン認証の国際標準規格)に準拠した「ゆうちょ認証アプリ」、一度しか使えないパスワード(ワンタイムパスワード)を生成する機器「トークン」を導入
  • ウィルス対策
    お客さまの暗証番号等を詐取する攻撃を検知する不正送金対策ソフト「PhishWall プレミアム」を無料配布
  • 脆弱性対策
    日々のサイバー攻撃の脅威や脆弱性情報の収集・対策、攻撃によるシステムへの侵害に対する能力を高めることを目的としたTLPT※2(脅威ベースのペネトレーションテスト)を実施
  • 不正な取引のモニタリング
    インターネットバンキングシステムにおける不正なアクセスの監視、不正送金等被害を防止

※2:

TLPT・・・Threat-Led Penetration Testing