表紙

はじめに

目次

凡例

第1章 経済安全保障推進法の概要

１ 経済安全保障推進法の背景と目的

２ 法律制定の背景

1 自由民主党による政策検討

2 国内外の情勢変化

３ 経済安全保障推進法の目的

４ 経済安全保障推進法の４つの施策

1 重要物資の安定的な供給の確保

2 基幹インフラ役務の安定的な提供の確保

3 先端的な重要技術の開発支援

4 特許出願の非公開

５ 基幹インフラ役務の安定的な提供の確保に関する制度の概要

1 制度の背景と目的

2 対象となる基幹インフラ分野

3 特定社会基盤事業者の指定

4 重要設備の導入等に係る事前審査制度

5 リスク管理措置

6 報告義務と立入検査

６ 罰則規定

第2章 金融セクターにおける経済安全保障推進法・基幹インフラ制度の解説

１ 金融セクターにおける基幹インフラ役務の位置づけ

２ 特定社会基盤事業者として指定された金融機関

1 特定社会基盤事業者の指定基準

2 特定社会基盤事業者として指定された金融機関

３ 金融セクターにおける重要設備

1 銀行

2 系統中央機関

3 資金移動業者

4 保険会社

5 取引所

6 金融商品取引清算機関

7 証券会社

8 信託業者

9 資金清算機関

10 前払式支払手段（第三者型）発行者

11 預金保険機関

12 振替機関

13 電子債権記録機関

４ 導入等計画書に関する運用の枠組み

1 制度のスキーム

2 特定妨害行為

3 特定重要設備の導入

4 重要維持管理等の委託

5 子会社等からの導入（届出不要のケース）

５ 導入等計画書の作成・届出

1 供給者及び委託先に関する記載範囲

2 構成設備に関する記載省略の特例

3 リスク管理措置に関する記載

4 導入等計画書の届出

5 バイパス提出（機微情報等の直接提出）

6 緊急導入等の場合（事後提出）

7 記載事項の変更

8 重要維持管理等の契約更新時の注意

６ 審査・勧告

1 審査の内容

2 審査に伴う検査等

3 勧告及び応諾等

4 事後的な勧告

第3章 リスク管理措置に係る用語の定義・理解の前提

１ 主な参考資料

２ リスク管理措置における基本方針

1 特定重要設備の導入に係るリスク管理措置

2 重要維持管理等の委託に係るリスク管理措置

3 管理体制の確認のために必要なリスク管理措置

３ ベースラインの対策について

1 ベースラインの対策の定義と重要性

2 金融セクターにおけるベースラインの対策の例

3 ベースラインの対策を実装する際の留意点

4 ベースライン対策の継続的な見直しと更新

5 まとめ

４ 工程や環境に関する用語について

1 工程に関する用語

2 環境に関する用語

５ 「導入」における関係者等の枠組み

1 導入に携わる者

2 構成設備の供給者の対象範囲

3 製造設備（開発環境を含む。）の対象範囲

６ 「重要維持管理等」における関係者等の枠組み

1 重要維持管理等の委託に該当する範囲

2 プログラムの更新について

７ 実践ガイドにおける対策の分類について

第4章 リスク管理措置の実践ガイド

１ リスク管理措置の項目について

1 リスク管理措置の項目一覧

2 リスク管理措置の主な実施者

3 リスク管理措置の実践ガイドの記載例

２ リスク管理措置：基本方針①【導入（１）】

1 導入①-1,2：（第三者による）受入検査等の検証体制の構築，脆弱性検査の実施

2 導入②-1,2：情報セキュリティ要件（最新のセキュリティパッチや不正プログラム対策ソフト等）の実装

3 導入③-1,2：品質保証体制の確立

4 導入④-1,2：開発・製造過程における不正な変更等の定期的又は随時の確認

5 導入⑤-1,2：開発・製造環境への物理的（入退室管理）及び論理的な制御（システムへのアクセス制御）

6 導入⑥：インターネット接続時の不正アクセス防止機能実装，マニュアル整備

7 導入⑦：供給者・導入に携わる者が，設備設置時に不正な変更等を加えることを防止する体制

8 導入⑧-1,2：不正な変更のおそれの原因究明体制の担保

３ リスク管理措置：基本方針②【導入（２）】

1 導入⑨-1,2：供給者によるサービス保証（故障対応や脆弱性対応等）

2 導入⑩-1,2：サービス保証が受けられなくなった場合の代替手段の検討

４ リスク管理措置：基本方針③【導入（３）】

1 導入⑪：不正な妨害が行われた場合でも役務の提供を継続できる体制の整備

2 導入⑫：インシデント発生時の対応方針や体制の整備

3 導入⑬：設備に対するアクセスの制御及び不正アクセスの監視の仕組みの実装

５ リスク管理措置：基本方針④【維持管理（１）】

1 維持管理①：操作ログや作業履歴等の保管や不正な変更の有無の定期的又は随時の確認

2 維持管理②：最新のセキュリティパッチ適用等の定期的な資産管理

3 維持管理③：保有している設計書・設備等の情報への物理的（入退室管理）及び論理的な制御（システムへのアクセス制御）

4 維持管理④：実施環境における物理的（入退室管理）及び論理的な制御（システムへのアクセス制御）

5 維持管理⑤：サイバーセキュリティ教育

６ リスク管理措置：基本方針⑤【維持管理（２）】

1 維持管理⑥：再委託を行う場合における特定社会基盤事業者の承認等

2 維持管理⑦：再委託を行う場合の委託先と同等のサイバーセキュリティ対策の確保

７ リスク管理措置：基本方針⑥【維持管理（３）】

1 維持管理⑧：事業計画等による事業の安定性の確認

８ リスク管理措置：基本方針⑦【導入（４）・維持管理（４）】

1 導入⑭-1,2／維持管理⑨-1,2：過去３年間の国内関連法規及び国際的な基準の違反の確認

９ リスク管理措置：基本方針⑧【導入（５）・維持管理（５）】

1 導入⑮-1,2／維持管理⑩-1,2：外国の法的環境等による契約違反が生じたおそれがある場合の報告義務

2 導入⑯／維持管理⑪：映像機器の情報の取扱いの適切性確認（特定重要設備の設置場所）

10 リスク管理措置：基本方針⑨【導入（６）・維持管理（６）】

1 導入⑰／維持管理⑫：供給者に関する詳細な情報提供の担保

11 実践ガイドにおける主要ポイントの解説

1 「契約等により担保」が求められるリスク管理措置

2 導入①-1,2で必要な「供給者ではない第三者」による措置

3 「不正な変更」に関するリスク管理措置

4 「不正な変更の有無の確認」に関する対策

5 アクセス制限に関するリスク管理措置

6 セキュリティパッチ等の適用確認

7 組織的対策におけるルール等の定期的な遵守状況の確認

第5章 サプライチェーンセキュリティの更なる強化

１ サプライチェーンセキュリティの重要性

1 委託先管理，サードパーティリスク管理からサプライチェーンリスク管理へ

2 金融セクターにおけるサプライチェーンセキュリティの特殊性

２ サプライチェーン攻撃・リスクの分類

1 ビジネスサプライチェーン攻撃

2 サービスサプライチェーン攻撃

3 ソフトウェアサプライチェーン攻撃

4 金融機関に求められるサプライチェーンセキュリティ戦略

３ ソフトウェアサプライチェーンセキュリティの詳細

1 ソフトウェア開発ライフサイクルにおけるリスク

2 オープンソースソフトウェアのセキュリティリスク

3 ソフトウェア更新プロセスを悪用した攻撃

4 ソフトウェア依存関係の複雑性がもたらすリスク

5 コード署名の偽造や悪用

6 ソフトウェアサプライチェーンセキュリティの実践に求められる事項

４ ソフトウェアサプライチェーン攻撃の事例研究

1 SolarWinds攻撃

2 Log4j脆弱性

3 XZUtilsバックドア

4 金融セクターにおけるソフトウェアサプライチェーン攻撃事例

5 事例研究から得られる主要な教訓

５ ソフトウェアサプライチェーンセキュリティ対策の実践

1 セキュアな開発プラクティスの導入（DevSecOps）

2 ソフトウェア構成分析（SCA）ツールの活用

3 ソフトウェア部品表（SBOM）の作成と管理

4 SAST/DAST/IASTを活用した脆弱性・不正プログラム検知

5 コード署名と完全性検証の強化

6 脆弱性管理とパッチ適用プロセスの最適化

7 ゼロトラストアーキテクチャの採用

8 ソフトウェアサプライヤーの評価と監査

Column 本番端末室作業の新たな形：リモートワーク化で切り拓く次世代運用モデル

６ 組織的アプローチと人材育成

1 サプライチェーンセキュリティガバナンスの確立

2 サプライチェーンリスク管理の専門人材の育成

3 組織全体でのサプライチェーンセキュリティ意識の向上

4 サプライヤーとの協力関係構築と能力向上支援

5 組織的アプローチと人材育成の重要性

第6章 海外関連法令・関連国内ガイドラインの動向

１ 米国国家サイバー戦略（National Cyber Strategy of the United States of America）

1 国家サイバー戦略の概要と戦略的目標

2 サプライチェーンのリスク管理

3 日本のサイバーセキュリティ戦略

２ NIST Secure Software Development Framework（SSDF）

1 SSDFの背景と目的

2 SSDFの主要な原則

3 日本における自己認証制度

３ 欧州委員会（EU）デジタルオペレーショナルレジリエンス法（DORA：Digital Operational Resilience Act）

1 DORAの概要

2 DORAの主要な規制要件

3 日本におけるICTサードパーティ管理

４ 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」

1 金融分野におけるサイバーセキュリティに関するガイドラインの概要

第7章 今後の展望と課題

１ 金融セクターにおける経済安全保障推進法への対応の課題

1 金融セクターにおける経済安全保障推進法の対象

2 特定重要設備以外のリスク管理措置対策

3 ムービングターゲット

4 リスク管理コストの恒常的な増加

5 リスク管理要員の確保

２ 経済安全保障推進法への対応のための継続的な改善の必要性

３ 金融機関における経済安全保障推進法への対応の将来展望

編者・著者紹介

奥付