深刻な脆弱性に対してパッチを適用しない場合の承認者

深刻な脆弱性に対して、セキュリティパッチを適用しないことの判断に役員が関与している先は3割強にとどまった。

単一回答

ダウンロード

Excel　

調査名

地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果（2023 年度）

調査元URL

https://www.fsa.go.jp/news/r5/cyber/20240423.html https://www.fsa.go.jp/news/r5/cyber/honbun.pdf

調査機関

日本銀行金融機構局金融庁総合政策局

公表時期

2024-04-01

調査期間

2023年7月～2023年8月

調査対象

地域金融機関（地域銀行99 先、信用金庫254 先、信用組合145 先）

サンプルサイズ

498先（地域銀行99 先、信用金庫254 先、信用組合145 先）

調査概要

金融機関が他の金融機関対比での自組織の立ち位置や課題を認識することで、自律的なサイバーセキュリティ対策の強化に取り組むよう促す。

タグ

#セキュリティ・プライバシー

関連データ一覧

に並べる

公表時期:2024年04月01日

セキュリティ・プライバシー

セキュリティ関連の監視・分析等を行う組織（外部委託含む）の設置状況

概要外部委託を含むセキュリティ関連の監視・分析等を行う組織の設置状況をみると、これを設置している先は8割強となったが、2割弱の先が常時監視（24時間365日）ではなかった。

公表時期:2024年04月01日

セキュリティ・プライバシー

導入しているOA端末のサイバー攻撃対策

概要 OA端末のサイバー攻撃対策についてみると、インターネットとの分離、外部記憶媒体の接続制限、パターン検知型マルウェア対策製品の導入といった対策は8～9割の先で実施されている。

公表時期:2024年04月01日

セキュリティ・プライバシー

人材採用の取組み

概要外部からのサイバーセキュリティ人材採用の取組状況についてみると、「ウェブサイトを通した募集による中途採用」が21%で最も多い。全体として低調。

公表時期:2024年04月01日

セキュリティ・プライバシー

人材育成の取組み

概要サイバーセキュリティの担い手確保に向けて、自組織における人材育成の取組状況をみると、外部研修・セミナー等への参加や社内での講習・勉強会の実施など即効性を意識して取り組む先が半数以上となっていた。他方、サイバーセキュリティ人材の育成に配慮した長期的な人事ローテーションやセキュリティ人材育成計画の策定など、中長期的に取り組む先は限定的。

公表時期:2024年04月01日

セキュリティ・プライバシー

機能別にみたサイバーセキュリティ人材の確保状況

概要サイバーセキュリティ人材の確保状況について機能別に確認したところ、インシデント発生時の対応や戦略等の企画・立案といった自組織にとって重要な機能を優先しつつ、少ない自組織職員を外部人材で補完するかたちでの確保を図っている様子が窺われた。一方で、いずれの機能でも、人材が十分に確保できていないとの回答が大半を占めており、全体的には不足している状況。

公表時期:2024年04月01日

セキュリティ・プライバシー

クラウド事業者と契約等で定めている事項

概要サードパーティが提供するサービスのうちクラウドサービスについては、半数以上の先がこれを利用していた。次に、同サービスの利用先がクラウド事業者との間で定めている事項についてみると、障害時の連絡体制、責任分界点やサービス終了時の取扱いについては、6～7割の先がこれを定めていた。一方、業務データの所在や統制対象クラウド拠点を明確化している先は3～4割にとどまった。

公表時期:2024年04月01日

セキュリティ・プライバシー

重要なサードパーティ、また、それらが提供するサービス等のサイバーセキュリティに関するリスク管理状況

概要重要なサードパーティのリスク管理状況をみると、統括部署にて一元的に管理している先は6割弱にとどまったほか、リスクを管理していない先も1割強みられた。

公表時期:2024年04月01日

セキュリティ・プライバシー

深刻な脆弱性が判明した場合のパッチの適用方針

概要深刻な脆弱性が判明した場合のパッチの適用方針をみると、インターネットと接続しているシステムでは、直ちにまたは一定の対応期間内で適用している先が9割弱となった一方、インターネット接続していないシステムでは、3割強にとどまった。

公表時期:2024年04月01日

セキュリティ・プライバシー

リスク評価を踏まえた対応方針の決定者

概要リスク評価を踏まえた対応方針（低減、回避、移転、受容）や優先順位の決定についてみると、経営層の判断のもとで決定している先は4割強にとどまった。

公表時期:2024年04月01日

セキュリティ・プライバシー

重要なシステムのサイバーセキュリティに関するリスク評価の実施頻度

概要リスク評価の実施頻度をみると、定期的に実施している先が8割弱、システムの導入時や大規模更改時に実施している先が7割強。

公表時期:2024年04月01日

セキュリティ・プライバシー

サイバーセキュリティに関し、統括責任者に定例報告している内容

概要サイバーセキュリティを統括する責任者に定例報告している内容についてみると、自組織におけるサイバーインシデントの発生状況やセキュリティ対策の進捗状況が高い。他社におけるサイバーインシデント事例の報告については、前回より改善し、7割強の先が実施していたが、自組織にかかる報告と比べて実施した割合が低い。

公表時期:2024年04月01日

セキュリティ・プライバシー

サイバーセキュリティの統括責任者

概要自組織のサイバーセキュリティを統括する責任者は、96％が「役員」となっている。

公表時期:2024年04月01日

セキュリティ・プライバシー

サイバーセキュリティの経営計画

概要サイバーセキュリティに関する経営計画については、「複数年度の経営計画を策定している」が22％、「単年度の経営計画を策定している」が64％。

公表時期:2024年04月01日

セキュリティ・プライバシー

サイバーセキュリティの経営方針

概要サイバーセキュリティに関する経営方針の策定状況で最も多いのは「経営トップの関与のもと、経営方針としてサイバーセキュリティの確保を掲げている（（対外公表はしていない）」で、53％。経営方針を定めていない先も8％程度見られた。