金融保安院は31日、「2026年度脆弱性分析・評価基準」の改定版を配布すると発表した。金融業界でパブリッククラウドの利用が広がっていることに加え、暗号資産取引所が制度金融の枠組みに組み込まれつつあることを踏まえ、新たなセキュリティリスクへの対応を強化する。

今回の改定では、まず既存の電子金融インフラに対する評価枠組みを見直した。金融業界でパブリッククラウドの導入が拡大していることを受け、新たに「クラウド管理」分野を設けた。

また、仮想化システムの導入形態が多様化していることを踏まえ、評価対象をOSやコンテナを含む仮想化環境まで広げた。セキュリティパッチのサポートが終了した旧式システムや機器についても、リスクを継続的に管理できるよう評価基準を強化した。

評価の一貫性を高めるため、点検項目も細分化した。従来は一括していた「サーバ」分野を、「オペレーティングシステム（サーバ）」と「ミドルウェア（Webサーバ・WAS）」に分け、システム特性に応じた詳細診断を可能にした。電子金融監督規定の改定内容は「情報保護管理」分野に反映し、規制順守の状況も詳しく点検する。

今回の改定で柱となるのが、暗号資産取引所に特化した評価基準の新設だ。

金融保安院は、暗号資産取引所のIT環境が既存の金融会社とは構造的に異なる点に着目した。既存の金融会社がオンプレミス中心の環境であるのに対し、暗号資産取引所はクラウドへの依存度が高い。主要な脅威も顧客情報の漏えいにとどまらず、ホットウォレットの不正取得など、性質が異なるとしている。

このため金融保安院は、「暗号資産コンプライアンス」「ブロックチェーン」「ウォレット」「スマートコントラクト」の4分野を新設し、暗号資産の運用、管理、活用全般にわたるセキュリティを検証する方針だ。暗号資産利用者保護法の施行などを受け、暗号資産が制度金融に組み込まれる流れに対応し、関連リスクを体系的に管理する狙いがある。

パク・サンウォン院長は「今回の評価基準改定は、変化するデジタル金融環境を反映し、脆弱性分析・評価の実効性を高めるためのものだ」と述べた。その上で「評価基準の精緻化と適用対象の拡大を通じ、ハッキング事故につながり得る脆弱な要素を事前に点検し、金融消費者が安全にサービスを利用できる信頼の基盤強化につながることを期待している」とした。