(5)サイバーセキュリティへの対応
サイバーセキュリティ管理については、サイバーインシデント(注20)発生時の被害・影響の大きさに鑑み、システム障害等とは別に特化した対策を講じている。
規程化という点では、2016年6月に当社の「システムリスク管理規則」を改定し、サイバー攻撃に関わる態勢を明確化するとともに、三井住友銀行においても「情報管理規程」の改定、「サイバー攻撃対策規則」の新規制定を行った。
実務的には、さらに早い段階から対応を進めていた。2013年9月に、セキュリティに関する専門性強化・最新技術活用を目的に、日本総合研究所にJRIセキュリティ専任チームを設置。2013年10月には、当社IT企画部を事務局として日本シーサート協議会(注21)に参加し、SMFG-CSIRT(注22)を中心にグループ会社間での情報共有を行うなどセキュリティ強化を図った。
また2016年に、セキュリティ監視・分析とその対処を行う専門組織であるSOC(Security Operation Center)を立ち上げ、三井住友銀行におけるサイバー攻撃等の平日日中監視を開始した。その後、欧米SOCの立ち上げ(2018年5月)、24時間365日監視の開始(2019年1月)、グループ会社向けセキュリティ監視の開始(2020年4月)など、監視の対象時間・範囲を拡大していった。
こうしたSOCによる監視のほか、ネットワーク通信解析による不正検知システムの導入、ペネトレーションテスト(注23)の実施など様々な対策を講じたほか、2017年度および2019年度には、FFIEC(米連邦金融機関検査協議会)のCAT(Cybersecurity Assessment Tool)による第三者評価を実施した。CAT評価は、金融機関のサイバーセキュリティに関わるリスクと対策の成熟度のレベルを評価する仕組みで、主要グループ会社に対してCAT評価を実施したほか、それ以外のグループ会社約160社に対してもCAT評価を参考にした簡易評価を行い、評価結果に基づくフォローアップを通じて対策を強化していった。
サイバー攻撃については、従業員の不用意な行動がサイバーインシデントにつながる可能性があることから、従業員教育も重要である。三井住友銀行では2011年度に標的型メール攻撃に関するDVDを作成して啓発に努めてきたが、2015年度頃からは標的型メール対応や広報対応等の訓練を定期的に実施。順次、グループ各社や海外にも拡大することで、対応力を強化している。また、2016年9月に『サイバーセキュリティ対策ハンドブック』を作成してグループ各社に配布したほか、各種勉強会の実施、事例集の作成・周知、教育コンテンツ『マンガでわかるサイバーセキュリティ』の掲示など、継続的に教育・啓発を行っている。

-
第1章不確実性が増す外部環境
-
第2章新たなガバナンスの下でのグループ・グローバル経営の強化
-
第3章「カラを、破ろう。」
-
第4章「お客さま本位の業務運営」の徹底
-
第5章リテール金融ビジネスにおけるビジネスモデルの変革
-
第6章ホールセールビジネスにおける真のソリューションプロバイダーを目指して
-
第7章グローバル・プレーヤーとしての進化
-
第8章高まる不透明感の下での市場ビジネスの進化
-
第9章アセットマネジメントビジネスの強化
-
第10章デジタル戦略の本格展開
-
第11章G-SIBsとしての内部管理態勢の確立
-
第12章業務インフラの高度化
-
第13章グループ経営を支える人事戦略
-
第14章持続可能な社会の実現に向けた取り組み
-
第15章「コロナ危機」への対応
- おわりに