金融機関のシステムマネジメントシリーズ Vol.1
金融庁公表の「金融機関のシステム障害に関する分析レポート」を読み解く

 

 

金融ビジネスユニット
新井 俊彦
松尾 直弥

1. 「金融機関のシステム障害に関する分析レポート」の概要

昨今、金融機関のシステムに関するトラブルなどの報道があるが、その背景としては、金融機関を取り巻く環境の変化や金融機関のシステムの固有のマネジメントの難しさ等、様々な要因が重なっているものと推測される。また、規制緩和が進み新規参入企業なども増加しているものの、当面、金融機関が果たす社会的責任の大きさは変わらないものと考えられる。
このインサイトでは、そうした金融機関のシステムの企画やマネジメントにおいて、参考となると考えらえる情報をシリーズとして発信していくものである。なお、昨今のトレンドとして、金融機関のITガバナンスが取り上げられることが多いが、ITガバナンスを支える要素であるシステムマネジメントについては論点が多く、必ずしも十分な対応ができていないケースもあると考えられる。本シリーズでは、金融機関のシステムマネジメントに着目し、動向を簡潔にまとめ、それらに対する当社の見解を発信していく。

第一回では、金融庁が公表している「金融機関のシステム障害に関する分析レポート」を取り上げる。「金融機関のシステム障害に関する分析レポート(以降、本レポート)」は令和元年6月と令和2年6月に公表されている。これらは、それぞれの前年の事務年度において金融機関から報告された「障害発生等報告書」や個別の確認・ヒアリング結果等をもとに金融庁で分析されたものとされている。これまで、金融機関のシステムリスク管理態勢等のITガバナンス・マネジメントについては、「金融検査マニュアル」が拠り所となっていたが、令和元年に廃止されている。金融検査マニュアル廃止後のシステム管理に関する態勢構築等については、本レポートや公益財団法人金融情報システムセンター(FISC)等の各種ガイドライン※などを活用していくことが本レポートにおいて推奨されており、金融機関のシステムの企画やマネジメントに関係する方々にとって参考になると考えられることから本シリーズの第一回のテーマとした。
なお、障害報告の事象のうちサイバーインシデントについては、「金融分野のサイバーセキュリティレポート」として切り出し、別途まとめられている。金融庁が発表しているITに関連する報道は本インサイトの末尾に掲載の「<参考>令和元年度・令和2年度上期における金融庁のITに関連する主な報道発表」を参照いただきたい。

※本レポートにおいて、公益財団法人金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準・解説書」、「金融機関等のシステム監査基準」、情報システムコントロール協会(ISACA)の「Control OBjectives for Information and related Technology(COBIT)」、経済産業省の「システム管理基準」及び「システム監査基準」が例示されている

2. レポートの構成

本レポートは、「はじめに(留意事項)」「障害分析概要」「事例集」から構成され、これは令和元年6月版、令和2年6月版に共通している。このうち、「障害分析概要」が主たる項目であるが、集計の期間などの前提を示した上で「主な障害の傾向」と「当局の今後の取組」が記載されている。
「主な障害の傾向」は、令和元年版では「業態共通」と「業態固有」に分けられていたが、令和2年度版ではその区分けはなくなり、「事例集」においてのみ業態が示されている。記載方法が変更された理由は示されていないが、発生した障害の根本原因は特定の業態に限ったものではなく業態に共通することが多いことや、金融サービスのボーダレス化により業態を一概に定義し難くなってきていることなどが推測される。

3. 障害傾向の比較

下に本レポートの令和元年6月版と令和2年6月版において、障害傾向としてどのようなテーマが挙げられているかを示す

表1 障害傾向(令和元年版と令和2年版の比較)

分類 令和元年6月版 令和2年6月版
(1)業態共通 ①サードパーティに起因する障害
(新たなサードパーティリスクへの対応)
①サードパーティを含む新たなリスクに関する障害 [継続]
②レガシーシステムにおける有識者不足に起因
する障害
②レガシーシステムにおける有識者不足等に起因する障害 [継続]
③システム統合・更改に関する障害 ③システム統合・更改に関する障害 [継続]
④取引量増加に起因する障害 ④取引量増加に起因する障害 [継続]
<令和2年6月版にて新たに追加された項目> ⑤新型コロナウィルス感染症の影響に関する障害
[新規]
⑥サービス継続等に関する障害 [新規]
⑦過去の大規模イベントに基づくシステム改修に関する障害 [新規]
⑧自然災害の影響に関する障害 [新規]
⑨データセンター・回線に関する障害 [新規]
(2)業態共通 ①暗号資産交換業者における障害 <令和2年6月版では「業態固有」の分類なし>    
②資金移動業者等における障害
③金融商品取引業者(ネット証券会社)における障害 

出典:金融庁「金融機関のシステム障害に関する分析レポート(令和元年6月)」と「同(令和2年6月)」を基に当社にて加工 ※「金融機関のシステム障害に関する分析レポート(令和2年6月)」では「(1)業態共通」「(2)業態固有」の区分けはない

令和元年6月版からの継続テーマとして挙げられた4項目については、令和2年6月版の集計期間でも類似する事象が引き続き発生していることなどが理由であると考えられる。
令和2年6月版で新たに追加されたテーマには、電源設備故障・回線障害や冗長構成への切り替え失敗などの従来から指摘されている障害に加え、改元・10連休対応、消費税変更対応や自然災害、新型コロナウィルス感染症による株価乱高下に伴う取引増加などイレギュラーな要因による障害が挙げられている。本レポートでは、こうしたイレギュラーな要因への対応方法の一つとして、特殊イベントのシステム変更作業等に関する事例をナレッジとして蓄積することが指摘されている。

4. 障害事象の割合

本レポートの事例集では、障害事象別割合が公表されている。全体の障害件数としては、令和元年6月版(図1)と令和2年6月版(図2)の集計期間を比較して2割の増加になっているという記載がある。事象の内訳をみると、「ソフトウェア障害」「管理面・人的要因」が約6割を占めるという状況は変わっていない。「ソフトウェア障害」は主にネット銀行・資金決済事業者・暗号資産交換業者などで設計やテストの考慮漏れ、バージョン管理の不備等によって顧客サービスに大きな影響を及ぼす障害の事例があることが指摘されている。「管理面・人的要因」は業態に偏りなく発生しており、本番環境における作業ミスや誤った作業の看過が指摘されている。「その他の非意図的要因」が令和2年6月版ではわずかに増加しているが、本レポートの中で具体的にどのような障害が増加しているかは示されていない。令和元年6月版の「その他の非意図的要因」では、貸金業における不正オーソリの集中発生によるソフトウェア障害が事例として挙げられていることから類似する事象が増えたものと想定される。

障害事象の割合

表2 障害発生等報告書における障害分類

脅威の類型 コード番号 原因の分類 説明
サイバー攻撃をはじめ
とする意図的要因
1-1 外部からの不正アクセス、DoS 攻撃 外部からのサイバー攻撃による障害
1-2 コンピュータウイルスへの感染 コンピュータウイルスへの感染による
障害
1-3 その他の意図的要因 その他の意図的要因による障害
非意図的要因 2-1 ソフトウェア障害 ソフトウェアの不具合等による障害
2-2 ハードウェア障害 ハードウェア等物理的な不具合等による障害
2-3 管理面・人的要因 設定ミス、操作ミス、外部委託管理上の問題等による障害
2-4 その他の非意図的要因 その他の非意図的要因による障害
災害や疾病 災害や疾病 災害や疾病による障害
他分野の障害からの
波及
4-1 情報通信分野(電気通信)からの波及 利用する電気通信サービスからの波及による障害
4-2 電力分野からの波及 利用する電力利用からの波及による障害
4-3 水道分野からの波及 利用する水道供給からの波及による障害
4-4 上記以外の他分野からの波及 上記以外の他分野からの波及による障害
その他 その他 上記の脅威の類型以外の理由による障害

出典:金融庁「障害等発生報告書」書式

5. 当社の見解

昨今、金融業界においてもDX(デジタルトランスフォーメーション)の推進といった新たな潮流があり、金融機関としてはそれらへのスピーディな対応が求められる一方で、従来の業務を継続するためのレガシーシステムを確実に運用していくことも求められている。特にレガシーシステムは、長い歴史の中で作りこまれてきているが、経験豊富な人材の定年退職や人事ローテーションによりナレッジの継承が難しくなってきている。この課題に関しては、本レポートで「当局の今後の取組み」として“レガシーシステムの有識者不足への対応“といったテーマが挙げられ、金融庁としても引き続き金融機関との対話等を通じて議論することとされており、事業を継続していくうえで重要なテーマの一つだと言える。
また、日本国内の銀行等の金融機関は、厳しい経営環境が続いており、ITに係るコスト圧縮も継続的に求められている。そのようなことを背景に、サードパーティの製品に対し十分に時間をかけて評価することや、納入されたシステム・製品に対して金融機関として十分な体制・期間をもって受け入れの検証を行うことも難しくなってきていることが、本レポートに記載されている事象から推測される。
一方、技術面に目を向けると、セキュリティやクラウドへの対応など、環境の変化やサービスの多様化に伴い、それぞれ異なるテーマに対応できるような態勢が必要となっており、従来以上に難しいマネジメントが求められるようになっている。
 これらへ対応していくためには、これまで以上に中長期的な視点を持ってIT戦略を策定し、重点をおくポイントを明確にするとともに、それを実現するための人材計画、それを支えるための教育の仕組みづくりが求められると考えられる。教育の仕組みづくりに当たっては、マネジメントのためのジェネラリストの育成のみでなく、セキュリティなどの専門技術を持った要員の育成なども必要となる。また、専門的な技術を持った人材育成には時間を要することから、技術的な面でリードできるような人材の採用による内製化の促進なども、今後は選択肢として考える必要が出てくると考えられる。

<参考>令和元年度・令和2年度上期における金融庁のITに関連する主な報道発表

令和元年 6月21日 「金融機関のシステム障害に関する分析レポート」について
令和元年 6月21日 「システム統合・更改に関するモニタリングレポート」について
令和元年 6月21日 「金融機関のシステム障害に関する分析レポート」について
令和元年 6月21日 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」(案)へのパブリックコメントの結果等について
令和元年 6月25日 金融モニタリングにおけるデジタライゼーションの取組状況について
令和元年 6月28日 金融機関の内部監査の高度化に向けた現状と課題
令和元年 11月19日 インターネット・バンキングによる預金の不正送金事案が多発しています。
令和元年 12月18日 預金等受入金融機関に係る検査マニュアル等の廃止について
令和元年 12月25日 インターネット・バンキングによる預金の不正送金事案が多発しています。
令和2年 3月10日 ブロックチェーンに関する新しい国際ネットワーク
(Blockchain Governance Initiative Network: BGIN)の設立について
令和2年 6月30日 IT・サイバーセキュリティの取組みに関するレポートの公表について
令和2年 7月10日 「諸外国の金融分野のサイバーセキュリティへの取組みに関する調査報告書」の
公表について
令和2年 9月17日 オンライン取引サービスを顧客に提供する金融商品取引業者における
システムリスク 管理態勢の自主点検及び顧客被害の発生状況の確認について

出典:金融庁のホームページに基づき当社にて加工

page top