Shinhan Financial Groupは4月6日、金融保安院が整備した「金融セキュリティ水準診断フレームワーク」をグループ会社に導入したと発表した。現場での適用は金融業界で初めて。約2カ月にわたる合同診断を通じて各社の改善課題を洗い出し、今後はグループ全子会社へ段階的に展開する方針だ。

今回の取り組みは、金融機関が規制遵守中心の受け身のセキュリティ管理から脱し、自ら現状を診断しながら水準を引き上げる自律セキュリティ体制へ移行する事例と位置付けられる。

「金融セキュリティ水準診断フレームワーク」は、金融保安院が2月に整備した自律セキュリティ管理の枠組み。金融当局の規定に沿った順守状況の確認にとどまらず、各金融機関が自社のセキュリティ能力を診断し、目標水準を定めたうえで主体的に改善を進める仕組みとしている。

フレームワークは、ガバナンス、識別、保護、検知、対応、復旧、サプライチェーンの7分野で構成。45項目、127の詳細原則を定め、成熟度は「初期」「基盤」「発展」「高度化」の4段階で評価する。各社が目標水準を設定し、段階的にセキュリティ水準を引き上げられる設計だ。

従来、金融機関のセキュリティ管理は、金融当局の規定をチェックリスト形式で順守する運用が中心だった。一方で、実質的なセキュリティ水準を体系的に診断し、継続的に高度化していくには限界があるとの指摘もあった。今回のフレームワークは、そうした課題を補う狙いがある。

Shinhan Financial Groupは、持株会社に加え、銀行、カード、証券、生命保険の計5社で、金融保安院と合同診断を実施した。診断期間は先月初めから約2カ月間。

診断は各社ごとに、自社診断を5日間、現場インタビューを5～7日間、その後に結果報告を10日間かけて進めた。持株会社の担当者が子会社の診断に相互参加し、グループ全体で診断基準の一貫性を確保した。金融保安院の自律セキュリティ研究チームは、実務教育から合同診断、結果報告書の作成に向けたコーチングまで全工程に関与した。

同グループは今回の診断を通じて、各社の業務特性やIT・セキュリティ環境を踏まえた改善課題を抽出した。今後は、グループに最適化した自律セキュリティ診断ガイドを整備し、全子会社に段階的に適用範囲を広げる計画としている。

Shinhan Financial Groupの関係者は「自律セキュリティ体制を先行して内製化し、実効性のあるセキュリティ水準の向上につなげるため、金融保安院との合同診断を進めた」とコメントした。そのうえで「今回の適用事例を基に、グループとして自律セキュリティの基準とベストプラクティスを確立し、今後の金融業界におけるセキュリティ標準の議論でも主導的な役割を果たしたい」としている。