TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術

Similar documents
[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

ISO9001:2015内部監査チェックリスト

修-CIA Exam Change Handbook_FAQs_ indd

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 関連する利害関係者の特定 プロセスの計画 実施 3. ISO 14001:2015への移行 EMS 適用範囲 リーダーシップ パフォーマンス その他 (

文書管理番号

組織内CSIRT構築の実作業

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

品質マニュアル(サンプル)|株式会社ハピネックス

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

ISO19011の概要について

平成18年度標準調査票

J-SOX 自己点検評価プロセスの構築

なぜ社会的責任が重要なのか

個人情報保護法の3年ごと見直しに向けて

JIS Q 27001:2014への移行に関する説明会 資料1

特定個人情報の取扱いの対応について

監査に関する品質管理基準の設定に係る意見書

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

米国財務省がノンバンクSIFIの指定プロセスに関する覚書を公表-ノンバンクSIFI指定プロセスの改善方法を勧告-

1 BCM BCM BCM BCM BCM BCMS

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

1. のれんを資産として認識し その後の期間にわたり償却するという要求事項を設けるべきであることに同意するか 同意する場合 次のどの理由で償却を支持するのか (a) 取得日時点で存在しているのれんは 時の経過に応じて消費され 自己創設のれんに置き換わる したがって のれんは 企業を取得するコストの一

チェック式自己評価組織マネジメント分析シート カテゴリー 1 リーダーシップと意思決定 サブカテゴリー 1 事業所が目指していることの実現に向けて一丸となっている 事業所が目指していること ( 理念 ビジョン 基本方針など ) を明示している 事業所が目指していること ( 理念 基本方針

PowerPoint プレゼンテーション

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

ログを活用したActive Directoryに対する攻撃の検知と対策

5. 文書類に関する要求事項はどのように変わりましたか? 文書化された手順に関する特定の記述はなくなりました プロセスの運用を支援するための文書化した情報を維持し これらのプロセスが計画通りに実行されたと確信するために必要な文書化した情報を保持することは 組織の責任です 必要な文書類の程度は 事業の

実地審査チェックリスト (改 0) QA-057_____

~この方法で政策形成能力のレベルアップが図れます~

Microsoft Word - JSQC-Std 目次.doc

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

Microsoft Word - 内部統制システム構築の基本方針.doc

IATF16949への移行審査

平成18年度標準調査票

パラダイムシフトブック.indb

取組みの背景 これまでの流れ 平成 27 年 6 月 日本再興戦略 改訂 2015 の閣議決定 ( 訪日外国人からの 日本の Wi-Fi サービスは使い難い との声を受け ) 戦略市場創造プラン における新たに講ずべき具体的施策として 事業者の垣根を越えた認証手続きの簡素化 が盛り込まれる 平成 2

機能紹介:コンテキスト分析エンジン

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

<4D F736F F F696E74202D A B837D836C CA48F435F >

内部統制ガイドラインについて 資料

セキュリティ委員会活動報告

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

Microsoft PowerPoint - M1001_1_ ppt [互換モード]

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

9100 Key Changes Presentation

個人情報保護規定

PowerPoint プレゼンテーション

CSR(企業の社会的責任)に関するアンケート調査結果《概要版》

組織内CSIRTの役割とその範囲

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

プライベート・エクイティ投資への基準適用

BIM/CIM 活用における 段階モデル確認書 作成マニュアル 試行版 ( 案 ) 平成 31 年 3 月 国土交通省 大臣官房技術調査課

Microsoft Word - RM最前線 doc

4.7.4 プロセスのインプットおよびアウトプット (1) プロセスへのインプット情報 インプット情報 作成者 承認者 備 考 1 開発に関するお客様から お客様 - の提示資料 2 開発に関する当社収集資 リーダ - 料 3 プロジェクト計画 完了報 リーダ マネージャ 告書 ( 暫定計画 ) 4

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

<4D F736F F F696E74202D EF8B638E9197BF82CC B A6D92E894C5816A E >

Microsoft Word - IRCA250g APG EffectivenessJP.doc

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

FSMS ISO FSMS FSMS 18

12_モニタリングの実施に関する手順書 

Microsoft PowerPoint - ITGI JapanPresentation( 島田)

15 変更管理

AAプロセスアフローチについて_ テクノファーnews

JISQ 原案(本体)

Transcription:

脅威ベースのペネトレーションテストに関する G7 の基礎的要素 ( 仮訳 ) 要旨サイバー攻撃の巧妙さや執拗さが増大し グローバルに相互接続された金融システムに混乱を生じさせるおそれがある中 G7 は 2016 年の 金融セクターのサイバーセキュリティに関する G7 の基礎的要素 (G7 基礎的要素 ) の公表以降 金融システム上 重要な金融機関のサイバーレジリエンス ( サイバー攻撃への耐性やダメージからの回復 ) 対策の強化に向けて 公的 民間部門の取組みを一層強めるためのフレームワーク策定を促している これらの取り組みには 2017 年に公表された 金融セクターのサイバーセキュリティの効果的な評価に関する G7 の基礎的要素 ( 評価の G7 基礎的要素 ) によって強調されているように 確実な評価のもと サイバーレジリエンス対策の強靭性を確保するためのステップが含まれる 評価の G7 基礎的要素 には サイバーレジリエンスを評価するフレームワークを策定する際に 検討され取り入れられるべき要素が含まれる 脅威ベースのペネトレーションテストに関する G7 の基礎的要素 (TLPT の G7 基礎的要素 ) は シミュレーションを通じて悪意のあるサイバーインシデントに対するレジリエンスを評価するための指針 (guide) を金融機関に提供するとともに 当局がそれぞれの国において脅威ベースのペネトレーションテスト (TLPT) の活用を検討するための指針を提供する TLPT の G7 基礎的要素 は サイバーレジリエンスの幅広い評価ツールを補完することを意図しており 唯一の手法とみなされることを意図していない TLPT の G7 基礎的要素 の中心的な目的は 以下により 金融機関や より一般的には金融セクターのサイバーレジリエンスを強化および評価することである G7 各国で共通した TLPT を実施するための中心的な要素や手法を提供する TLPT の G7 基礎的要素 は 各国における TLPT の手法の互換性の確保を容易にすることを目指すとともに 各国独自の市場や規制への柔軟性や地域適合性の確保を促すこと TLPT の活用を検討する各国当局に指針を提供すること 金融機関に TLPT による自己評価の実施に関する指針を提供すること 当局間の相互連携および多国籍で活動する金融機関のクロスボーダーの TLPT を支援し テスト結果の相互認証を容易にすること 1

TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術 テクニック 手順をまねることにより 金融機関のサイバーレジリエンスを侵害しようとする 攻撃の試行である これは 特定の脅威情報 (threat intelligence) に基づき攻撃を試行するものであり 予備知識と 業務への影響を最小限に抑えつつ 金融機関の職員 プロセス テクノロジーに焦点を当てた攻撃を試行するものである TLPT の目的は? TLPT の目的は 現実世界をまねたサイバーインシデントに対する 金融機関のレジリエンス能力を評価し 気付きを与えることにある TLPT は 決められたスコープ内で実施され 金融機関へのリスクを最小限に抑えるテストとなるよう 確実にコントロールされたリスク管理プロセスを取り入れるべきである TLPT の G7 基礎的要素は誰のため? TLPT の G7 基礎的要素 は 以下の主体に指針を提供することを意図している (1) それぞれの国において TLPT の設計 実施 運営に向けて TLPT の活用を検討している当局 (2) TLPT を実施する金融機関 (3) サイバー脅威情報のサービスを提供する組織 ( 脅威情報プロバイダ ) (4) ペネトレーションテストのサービスを提供する組織 ( ペネトレーションテストプロバイダ ) (5) 認証 資格付与 (accreditation and certification) プロバイダ 2 TLPT の G7 基礎的要素 の適用はノンバインディングである しかしながら 当局は特定の金融機関のサイバーレジリエンスを評価する際に とりわけ以下 の要素を考慮して TLPT を取り入れてもよい 1 Ethical Red Teaming と呼ぶ国もある 2 認証 資格付与プロバイダは 脅威情報およびペネトレーションテストのサービスを提供するためのベンダーの基本的な技量を確認している 2

金融の安定性および市場の公正性の観点からみた サイバーレジリエンスの優先度 金融セクターにおいて重要な機能やサービスを提供する金融機関の重要性 サイバーレジリエンスをテストする他のリスク評価のツールやテクニックの利用 ( 不 ) 可能性 また 当局は 対象となる金融機関の業種 規模 複雑性 成熟度 リスク プロファイルから TLPT を適用する度合いについて考慮してもよい 多国籍で活動する金融機関の場合 異なる国の当局は タイミング スコー プの決定および実施に関して最適な結果を得ることができるよう 計画 協力 調整してテストを実施すべきである 効果的な TLPT は 評価のプロセス全体を通じて多様な関係者の強い関与を必要とする クロスボーダーの評価に関与する金融機関は 必要に応じて TLPT の実施に先立って 関連当局のリストを明確にすべきである これは クロスボーダーの評価をサポートし 多国籍で活動する金融機関の TLPT の結果の国境を越えた相互認証に関する議論を促進し TLPT による評価の成果物を共有するためのプロトコルを策定することを目的とする 情報共有とデータ保護金融機関は すべての関連当局の要求に従い TLPT による評価を実施し 成果物を共有する責任を有する 関連当局は 必要に応じて データ保護やクロスボーダーの情報共有の規範と整合的に 情報共有の協力を希望する可能性がある TLPT の活動に関連するすべての詳細情報が保護されるための 効果的なコン トロールを設けるべきである コントロールは情報の機微性 ( センシティビテ ィ ) を反映すべきである 情報は関係者に限定して提供されるべきである TLPT の基礎的要素 TLPT の全体的な目標を達成するため TLPT の G7 基礎的要素 は TLPT の策定および実施を検討する当局や金融機関のために6つの基礎的要素を示し 各フェーズにおける異なる関係者の責任を明確化している 一般的に TLPT は スコープ設定 リスクマネジメント 脅威情報 ペネトレーションテストおよび 3

完了のフェーズから構成される 要素 1: スコープ設定とリスクマネジメントすべての関係者にとって TLPT には潜在的な固有リスクがある こうした潜在的リスクを踏まえて TLPT の G7 基礎的要素 は 評価全体を通じてテストのスコープを明確に定めるとともに 効果的なリスク管理措置 (risk management control) を適用することを重要視している 役割と責任ホワイトチーム 3 は 適切なリスク管理措置を確実に機能させ 関係者からテストのスコープについて合意を得る責任を有する テストは レッドチーム 4 が金融機関のレジリエンス能力を効果的に評価するために ブルーチーム 5 に事前に知らせることなく実施されることから ホワイトチームはスコープ設定とリスクマネジメントのフェーズを含む評価のプロセスを通して プロジェクトマネジメントの役割を果たすことが奨励される スコープ第一に テストのスコープは金融機関の重要な役割およびサービスの評価に基づき決定されるべきであり それが次にテスト期間やパラメータの採用 不採用の決定につながる 金融機関は サードパーティプロバイダ (IT サービスプロバイダ サプライチェーン関係者など ) を含む重要な役割やサービスを担う人々 プロセス 技術を特定すべきである テストがサードパーティプロバイダをスコープに含めることを要求する場合には サードパーティプロバイダに連絡し参加させることは金融機関の責任である 金融機関は 関連する国の当局によるスコープ設定の要求を理解すべきであり それぞれの要求を分析することが奨励される これは 金融機関が他国の当局からの TLPT の要求を満たすために結果の利用を希望する場合に特に重要となる そのような場合には 金融機関は最初のスコープ設定のフェーズにおいて テストのスコープに関するガイダンスを金融機関に提示する可能性があるすべての関連当局を巻き込み連絡すべきである 3 ホワイトチームは 攻撃者に扮するレッドチームと 金融機関の情報システム利用の実際の防御者であるブルーチームの関与を調整する責任を有する テストにおいて ホワイトチームはルールの実効性を確保し テストの実施を監視し 起こりうる問題を解決し すべての情報要求や質問を受け付け 意図された方法でテストが確実に実行されるようにする 4 レッドチームは テスト実施者のグループであり 金融機関のセキュリティ状況に対して 攻撃者の可能性のある攻撃や侵入能力をまねる権限が与えられ 組織されている 5 ブルーチームは 攻撃者に扮したグループ ( すなわちレッドチーム ) に対して 金融機関のセキュリティ状況を維持す ることにより情報システムの利用を防御する責任を有するグループである 4

テストのライフサイクルにおいて スコープおよび期間は脅威情報およびペネトレーションテストのプロバイダが実施する作業の相互作用の結果 変化しうる 当局の要求に注意を払いつつ 関係者 ( 金融機関 脅威情報およびペネトレーションテストのプロバイダ 当局など ) の間でスコープの修正について合意しておくべきである リスクマネジメント金融機関は 関係者と協議し 金融機関のデータへの起こりうる影響 金融機関の資産への損害 金融機関や金融セクターにおける重要なサービスや業務の中断のリスクを減らすため 効果的なリスク管理措置を適用すべきである リスクマネジメントの一環として ホワイトチームは テストの継続が金融機関にとって許容できないリスクを引き起こすと考える場合には あらゆる時点でテストを中断することができる テストの完全性を守るため 金融機関内でのコミュニケーションは最小限に 抑えるべきである一方 金融機関は すべての関係者に対し適切なリスク管理 措置が伝えられ 理解されたことを確認すべきである 発見事項の分類スコープ設定のフェーズにおいて ペネトレーションテストプロバイダを含む関係者は テストにおいて発見された脆弱性の分類の概念および金融機関への侵入成功を示す指標について合意しておくべきである 分類の概念は 金融機関のリスクマネジメントのフレームワークと整合的な形で 発見された脆弱性の重要性や対応の優先度を示すことを目的としている スコープ設定の成果物は 重要なサービスをテストするための脅威ベースの シナリオ策定を支援するため 脅威情報のプロバイダに提供されるべきである 要素 2: リソース確保金融機関は 脅威情報およびペネトレーションテストのプロバイダを調達する責任を有する TLPT のセンシティブな性質のため 金融機関は専門知識の水準 倫理規定 保証の十分性 ( 例 : 損害賠償保険 ) といった要素に基づき 脅威情報およびペネトレーションテストのプロバイダを慎重に選定すべきである 認証 資格付与 (accreditation and certification) は このようなプロバイダの専門知識を確認する一つの手法となりうる 5

外部の脅威情報およびペネトレーションテストのプロバイダは 一般的に独立した立場を示すが その利用はそれぞれの国の要求による 金融機関は スコープ設定のフェーズにおいて 手法が対象国の要求を満たすことを確認すべきである 例えば いくつかの国では 外部の脅威情報およびペネトレーションテストのプロバイダの利用や 認証 資格付与機関によるプロバイダの専門知識の確認を義務づけていることもありうる 要素 3: 脅威情報脅威情報は TLPT のプロセス全体の中心的なフェーズである 脅威情報のプロバイダは テストの活動のスコープ設定にとって重要となる 実際のサイバー攻撃者を模倣した説得力のある脅威プロファイルを創り出すために 金融機関に焦点を当てた脅威情報や予備調査を活用する 脅威プロファイルは レッドチームがペネトレーションテストのフェーズにおいて使用するテスト計画を策定するのに役立つ 脅威シナリオを含む 役割と責任脅威情報プロバイダは 通常 以下の責任を有する (1) 金融機関の指示に従い テストのスコープに合わせて 脅威情報についての成果物を作成する (2) 脅威情報についての成果物の妥当性の根拠を示す (3) ホワイトチームに対し脅威情報についての成果物を周知する (4) 必要に応じて レッドチームを支援する 支援には 脅威シナリオの策定を助けるとともに ペネトレーションテストのフェーズの進行に伴い発生する新たな脅威情報の必要性を満たすことを含む 金融機関は 以下を提供すべきである (1) 脅威情報のプロバイダに対するスコープ内の機能やシステムに関する指示 (2) 脅威情報のプロバイダによる適時かつ効果的な脅威プロファイルの策定を支援するための追加的な背景情報 (3) ペネトレーションテストプロバイダや適切な関係者 必要に応じ当局に対し 脅威情報についての成果物 脅威情報のプロバイダの適格性 効果的な脅威情報のプロバイダは 通常 以下の最低限の能力を示す 6

金融機関 金融セクターおよび地理的な地域に適合したサイバー攻撃者像を描く能力 選択した攻撃者の手法を再現した攻撃シナリオを作成する能力 人 プロセス テクノロジーに焦点を当てて 金融機関の脆弱性攻撃の対象となりうる領域について 正確かつ最新の状況を明らかにするためのさまざまな手法や 公開情報からの情報収集 分析 (OSINT) や業界に関連したセキュリティ侵害の痕跡 (IoCs) といった多様な情報や情報源の利用 多言語の情報収集能力 脅威情報の成果物それぞれの TLPT の契約ごとに脅威情報プロバイダは以下のような情報を含む成果物を作成すべきである 脅威情報レポート (TIR) TIR には 金融機関に対し想定される脅威を示す サイバー攻撃者のプロファイルが含まれるべきである 対象金融機関に関連するレポートが利用可能でない場合には 関連するセクターや地域における過去にあった既知の攻撃に基づき攻撃者を選定しうる それぞれの攻撃者のプロファイルには 攻撃者によって利用される手法やツールを最大限強調した脅威シナリオを含むべきである 脅威シナリオは ペネトレーションテストプロバイダが効果的なテスト計画を練り上げるために必要となるすべての関連する手法や情報を提供できるくらい十分に詳細なものとすべきである ターゲティングレポート (TR) TR は スコープに従い 人 プロセス テクノロジーに関連する脆弱攻撃にさらされた領域を強調した 金融機関のプロファイルを提供すべきである レポートは ペネトレーションテストプロバイダに対し 対象となる金融機関への可能性のある脅威の経路を提供することを目指すべきである ペネトレーションテストの計画に組み入れる前に 関係者が脅威情報の成果物に意見を述べるとともに スコープ内のシステムへの合意された攻撃シナリオを描くことができるような協調的アプローチが展開されるべきである 一般的に金融機関によってとりまとめられるこうした協調により レッドチームがテストの主要な目的と整合的で より焦点を絞ったペネトレーションテスト計画を策定することが可能となる このプロセスを通じて またペネトレーションテストのフェーズにおいて 7

脅威情報のプロバイダは 必要に応じて適時に 専門知識を継続的に提供すべきである 金融機関がさまざまな国においてサービスを提供している場合には 異なる関係者は 情報の機微性 ( センシティビティ ) と機密性を踏まえつつ 国を跨いで成果物を共有することを考慮すべきである 要素 4: ペネトレーションテスト脅威情報のフェーズの完了後 レッドチームはスコープとして決定されたとおり 対象となるシステムやサービスに対するテストを計画し実行すべきである レッドチームがスコープに基づき 脅威シナリオに沿った実践的なテストを実施することを可能にするために ペネトレーションテストのフェーズには十分な時間が割り当てられることが奨励される 役割と責任レッドチームは 通常 以下の責任を有する (1) スコープとリスクマネジメントプロセスに合わせて テストで従うシナリオを明示したペネトレーションテスト計画を作成する (2) 脅威情報のプロバイダの成果物から作成された脅威シナリオに従いテストを実施する (3) 金融機関に対し最終的なペネトレーションテストレポートを作成し発行する ホワイトチームは 以下の責任を有する (1) テストの活動を調整し 推進する (2) レッドチームと継続的な対話を実施し 必要に応じて追加的な支援を提供する (3) ブルーチームを監視 監督する (4) 効果的なリスク管理措置を適用する ( 必要と考えられる場合のあらゆる時点でのテストの中断を含む ) 関連当局は ホワイトチームとともにテストにオブザーバーとして立ち会う ことができる テストの手法 アプローチおよび成果物 金融機関は テストの受諾を求めることを希望する関連当局の要求に従って TLPT の評価を実施すべきである 8

レッドチームは ペネトレーションテスト計画の一環として 対象金融機関へのテストシナリオを策定するため 脅威情報の成果物を利用すべきである 金融機関は テストを適切に実施するために十分な時間をレッドチームに確実に与えるようにすべきである リスク管理措置に従い 対象システムへのリスクを最小限に抑えるため ホ ワイトチームは全体を通してテストの実施を監督すべきである テスト対象とする環境の要件を定めている国もありうるので 金融機関は テスト要件が本番環境か非本番環境か 対象を理解しておくべきである テストの最後に レッドチームはペネトレーションテストレポートを作成すべきである このレポートは テストで採用されたアプローチの詳細やテストからの発見事項や所見を含むべきである レポートでは リスクや現状のコントロールについて評価し 必要に応じて改善すべき分野に関する助言を提供すべきである 要素 5: 完了および改善ペネトレーションテストのフェーズ終了後 TLPT は完了フェーズに移行する 完了フェーズでは すべての関係者がテスト結果を分析し テスト結果に対応してテストを受けた金融機関のサイバーレジリエンスをさらに強化するための改善策を作ることが目的となる ペネトレーションテストプロバイダは 通常 金融機関へのテスト結果のプ レゼンテーションを含む テスト後のワークショップを支援する責任を有する 金融機関は 以下に責任を有する (1) 合意された安全な送付手段を用いて 適切な関係者に発見事項を送付する (2) 発見事項について議論し リスク軽減策を特定するため 関係者とのテスト後のワークショップを準備する (3) 不足のない改善計画を作成し実行する 関連当局は 金融機関への監督活動を通じ 改善計画を承認する責任がある また 金融機関への通常の監督活動の一環として 改善計画の実行をフォロー アップする責任を有する 9

要素 6: 類型化したデータ TLPT の G7 基礎的要素 の中心的な目的の一つは 金融機関 より一般的には金融セクターのサイバーレジリエンスの改善に貢献することである これを達成するための重要な手段は 類型化したデータを作成し当局と金融機関の間で共有することである 類型化したデータとして セクターに共通する発見事項や脆弱性を特定すべきである すべての類型化した結果は 個別金融機関の特定ができないようにしなければならない TLPT 実施後の分類を作成する基礎として 独自のフレームワークを活用するかは当局の裁量に委ねられており TLPT の実施に関連する類型化したデータの作成は関連当局の責任である 当局は 必要に応じて データ保護やクロスボーダーの情報共有の規範と整合的な形で 多様な情報共有の手法を考慮することができる 10

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック