金融機関のシステム障害は何が原因で発生しているのか 金融庁が分析レポートを公開：「冗長構成が意図通りに機能するかどうか確認する」など具体的な対策も

金融庁は、「金融機関のシステム障害に関する分析レポート」を公開した。金融庁が受領した金融機関からの報告書を基に、2023年度のシステム障害の傾向と、2018〜2024年のシステム障害事例の原因と対策がまとまっている。

[＠IT]

　金融庁は2024年6月26日、「金融機関のシステム障害に関する分析レポート」を公開した。金融庁に提出されたシステム障害の報告書を基にしており、2023年度（2023年4月〜2024年3月）のシステム障害の傾向と、2018年7月〜2024年3月のシステム障害のうち、代表的な事例の事象と原因、対策がまとめられている。

システム障害への具体的な対策を紹介

　金融機関のシステム障害に関する分析レポートは、2019年以降、毎年公表されている。今回のレポートで取り上げられている事例は大きく分けて4つ。「サイバー攻撃や不正アクセスなど意図的なもの」「システム統合、更改や機能追加に伴って発生したもの」「日常の運用、保守などの過程の中で発生したもの」「プログラムの更新や普段と異なる特殊作業などから発生したものの」となっている。

金融機関のシステム障害に関する分析レポート（提供：金融庁）

　1つ目のサイバー攻撃については、マルウェア感染やDDoS（分散型サービス妨害）攻撃が該当する。

　金融庁は、脆弱（ぜいじゃく）性に関する最新情報を把握し、パッチ適用を徹底するように促している。DDoS攻撃については「攻撃の軽減対策強化や、攻撃の早期検知、復旧のための態勢整備が必要だ」としている。

　2つ目のシステム統合などに伴う障害は、外部委託管理や危機管理体制の整備がどちらも不十分であることが主な要因だという。外部委託先管理の強化やプロジェクト固有のリスクを踏まえたBCP（事業継続計画）の整備などを対策として挙げている。

　3つ目の運用、保守過程での障害の主な原因は、冗長構成の機能不全や記憶領域の確保不足など。金融庁は、対策として「冗長構成が意図通りに機能するように実効性を確保する」「記憶領域の確保に関する設定内容を十分に確認、検証する」「事前検証によってシステムの処理能力の実効性を確保する」などを挙げている。

　4つ目の普段と異なる特殊作業にまつわる障害については、設定ミスや作業の誤りといったヒューマンエラーが主な原因になるため、作業手順書の確認強化や、作業実施体制の強化などが重要だとしている。

　金融庁は、金融機関に対して「本レポートに加えて、サイバーセキュリティを含むシステムリスク管理に関する各種標準やガイドラインを参照してほしい。自組織の体制と対策について見直して求められるITセキュリティやITレジリエンスとの差異を特定し、解消することが望ましい」としている。