金融安定理事会(FSB)公開 サイバー用語集(原題:Cyber Lexicon)をGoogle翻訳(仮訳)してみた
注意:以下は、原文をGoogle翻訳したもので仮訳であり、この内容の正確性については保証いたしかねます。正確な理解のため、原文も参照してください。
金融安定委員会(FSB)は本日、今年初めに公開協議を行い、サイバーレキシコンを発行した。このレキシコンは、金融分野におけるサイバーセキュリティとサイバーレジリエンスに関連する約50のコア用語からなる。
サイバーレキシコンは、FSB、標準設定機関、当局および民間セクターの参加者、例えばFSBの作業をサポートすることを目的としています。金融機関や国際標準化団体などと協力して、金融セクターのサイバー・レジリエンスに取り組んでいます。レキシコンは、次の分野の作業をサポートするのに役立ちます。
•関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解。筆者注1
•サイバーリスクシナリオの財務安定性リスクを評価および監視するための作業。
•適切な情報共有。そして
•効果的な練習の特定を含む、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するため、FSBおよび/または標準設定機関による作業。
例えば、Cyber Lexiconは、サイバーインシデントへの金融機関の対応や回復に関連した効果的なプラクティスを開発するために、最近発表されたFSBプロジェクトの作業を支援するために使用されます。このプロジェクトの進捗状況レポートは、2019年中頃に発行されます。
FSBは、2017年10月のG20財務大臣と中央銀行総裁からの要請に応じて、レキシコンを作成した。 FSBは、既存の公的に利用可能な規制および監督慣行について、
金融セクターにおけるサイバーセキュリティを尊重する。
レキシコンは今月末にブエノスアイレスのG20首脳会議に引き渡される予定です。
FSBは本日、昨年7月に公開されたパブリック・コンサルテーションで提起された問題を要約し、それに対処するために辞書に加えられた主な変更を説明するサイバー・レキシコンに関する公開コンサルテーションへの対応の概要を発表した。パブリックコンサルテーションに対する個々の回答は、FSBのウェブサイトで入手できます。
編集者へのメモ
FSBは、国際レベルで、国家金融当局および国際標準体制機関の業務を調整し、財務安定のために効果的な規制、監督およびその他の金融部門政策の実施を開発し促進する。それは、24カ国および管轄地域、国際金融機関、規制当局および監督の分野別国際グループ、中央銀行専門家の委員会における財務安定性を担う中央当局を集めたものです。 FSBはまた、6つの地域協議グループを通じて約70の他の管轄区域とのアウトリーチを実施している。
FSBは、イングランド銀行知事マークカーニーが議長を務めています。事務局はスイスのバーゼルにあり、国際決済銀行が主催しています。
FSBの詳細については、FSBのWebサイトwww.fsb.orgを参照してください。
金融安定委員会(FSB)は、効果的な規制、監督およびその他の金融セクター政策の実施を開発および促進するために、国際レベルで国家金融当局および国際標準化機関の作業を調整するために設立された。 FSBの義務は、FSBの政策決定および関連活動を支配するFSB憲章に定められている。これらの活動は、それらの文脈で達成されたいかなる決定を含めても、FSBの定款に基づく法的権利または義務を拘束するものではない。
財務安定委員会への連絡
電子メールアラートにサインアップする:www.fsb.org/emailalert
TwitterでFSBに従ってください:@FinStbBoard
FSBに電子メールを送る:fsb@fsb.org
Copyright©2018 Financial Stability Board。以下を参照してください:http://www.fsb.org/terms_conditions/
1.レキシコンの目的.............................................................. 3
2.レキシコンの開発.............................................................. 4
2.1レキシコンを開発するプロセス........................................... 4
2.2レキシコンに含まれる用語の選択........................................ 4
2.3レキシコンの用語の定義を開発する際に使用される基準........... 5
付属書:サイバーレキシコン.................................................. 7
前書き
サイバーインシデントは金融システム全体にとって脅威であり、金融セクターの内部と外部の両方で重大かつ致命的なインシデントが最近報告されたことによって強調されている事実です。バングラデシュ銀行に対する2016年の攻撃は8100万ドルの盗難をもたらし、2017年のWannaCryのトランスクリプト攻撃は150カ国の25万台以上のコンピュータシステムを感染させ、2017年のEquifaxのハックは1億4600万人を超える個人情報の妥協をもたらしました1。金融機関に対するサイバー・リスクは、新たな脆弱性や脆弱性の増大につながる技術の進化を含むいくつかの要因によって引き起こされます。金融機関間及び金融機関と外部当事者との間の相互接続。クラウドコンピューティングとFinTechプロバイダーを通じて、金融セクター当局による規制の対象にならない場合があります。サイバー犯罪者がICTシステムを妥協する新しい方法を見つけるための確かな努力、不正な金銭的利益を追求するサイバー犯罪者の標的となる金融機関の魅力2。サイバーインシデントによるリスクを認識し、世界中の当局は、金融機関によるサイバーリスクの軽減とサイバーインシデントへの効果的な対応、およびサイバーインシデントからの回復の両方を容易にするように設計された規制および監督手順を講じています。
2017年3月にG20財務大臣とバーデン・バーデン中央銀行総裁会議で発表されたコミュニケは、情報通信技術(ICT)の悪意のある使用が国内外の金融システムに不可欠な金融サービスを混乱させる可能性があると指摘し、信頼と経済的安定を危険にさらす3。国境を越えた協力を強化する目的で、金融安定委員会(FSB)は、G20の管轄区域における既存の関連する規制および監督慣行の摘要ならびに既存の国際指針の執行を第一段階として行うよう求められた効果的なプラクティスを特定する。 2017年10月、FSBは、ワシントンDCの財務大臣および中央銀行総裁会議に、金融セクターのサイバーセキュリティに関する既存の公的に利用可能な規制および監督慣行に関する要請書を提出した。 4閣僚および総裁は、FSBの保有報告書を歓迎し、FSBに、ICTの悪意のある使用に対する財政的安定性を保護するための作業を継続するよう声明を出し、この作業が、共通の用語集の作成によって支持される追求される仕事。 5公的協議の後、FSBはサイバーセキュリティとサイバーレジリエンスに関連する用語の最終覚書を作成し、公表している。6
1.レキシコンの目的
サイバーレキシコンを開発するためのFSBの作業の目的は、FSBの作業を支援することです。バーゼル銀行監督委員会(BCBS)、ペイメント・アンド・マーケット・インフラ委員会(CPMI)、国際保険監督者協会(IAIS)、国際証券委員会(IOSCO)などの標準設定団体(SSB)当局;民間部門の参加者、例えば、金融機関や国際標準化団体などと協力して、金融セクターのサイバーセキュリティーとサイバーレジリエンスに取り組んでいます。このレキシコンは、国際契約または契約または民間契約の法的解釈に使用することは意図していません。レキシコンは、次の分野の作業をサポートするのに役立ちます。
関連するサイバーセキュリティとサイバーレジリエンス用語の共通セクターの共通理解 レキシコンは、バンキング、金融市場インフラストラクチャ、保険および資本市場、および他の業界セクターを含む、金融セクター全体にわたる関連するサイバーセキュリティーおよびサイバーレジリエンス用語の共通理解を促進するのに役立つ可能性があります。当局や民間の参加者を含む金融セクターの共通の理解は、セクター全体のサイバー・セキュリティーとサイバー・レジリアンスを向上させるのに役立ちます。より一般的に言えば、共通のレキシコンは、他の業界との共通理解を促進し、サイバーセキュリティとサイバー耐性を高めるための適切な協力を促進することができる。
サイバー・リスク・シナリオの財務安定性リスクを評価し監視するために働きます。 FSBとそのメンバーは、サイバーインシデントに関連する財務安定性リスクを評価し監視するために、サイバーリスクに関連する用語に関する共通の理解を促進するレキシコンによってサポートされる可能性がある。例えば、FSBは、世界的な金融システムにおける脆弱性の定期的な評価の一環として、サイバーリスクを含む運用リスクの可能性が金融システム全体に伝達される可能性があると考えている。
適切な情報共有。 公的および私的な参加者を含む金融部門全体の共通の理解を促すレキシコンは、適切な情報共有を強化するための努力に役立つ可能性があります。
効果的な練習の特定を含む、サイバーセキュリティとサイバー弾力性に関するガイダンスを提供するため、FSBおよび/またはSSBによって作業する。レキシコンは、効果的な練習を特定することを含め、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するために、FSBおよび/またはSSBによる作業に役立つ可能性がある。例えば、効果的な規制アプローチを醸成しながら、重複し、矛盾する可能性のある規制要件のリスクを軽減することができます。
FSBは、共通の用語を使用することで、上記の分野での作業が容易になると予想しています。レキシコンは、FSB、SSB、当局、民間セクターの参加者がこれらの分野で取り組むことを決定する作業を支援することを意図しているが、有用なツールとして設計されており、その使用は必須ではない。
2.レキシコンの開発
2.1レキシコンを開発するプロセス
上記で概説された目的に効果的に役立つレキシコンを開発するにあたり、FSBは積極的に多様な意見を取り入そうとした。レキシコンを開発するため、FSBは米連邦準備理事会(FRB)議長を務める専門家グループを結成した。グループメンバーは、サイバーセキュリティとサイバーレジリエンスの規制と監督の専門家、FSB加盟国の広範な管轄区域や金融セクター(銀行、金融市場インフラ、証券、保険)の代表として選ばれました。ワーキンググループには、各SSBの代表者、すなわちBCBS、CPMI、IAIS、IOSCOが含まれていた。
ワーキンググループは、初期草案辞書を作成した。これに続いて、ワーキンググループと金融部門以外の専門家を雇用するための関与期間が続いた。当初、ワーキンググループのメンバーは、より広い視野を引き出し、金融セクターとコミュニケーションの両方に役立つレクシコンの作成を促進するために、自国の管轄地域の他の公務員とSSBのメンバーと協議した金融セクターと他の産業セクターとの間のその後、ワーキンググループは、フィードバックを求めるために、サイバーセキュリティ基準の策定および/または訓練を積極的に行っている組織の代表者と会合した。これらの組織には、国際標準化機構(ISO)、ISACA(以前は情報システム監査および管理協会)、SANS研究所および米国国立標準技術研究所(NIST)が含まれます。7
さらに、FSBの監督・規制協力常任委員会とFSBの完全加盟は、レキシコンのドラフトに貢献する機会を得た。その後、草案レキシコンが相談のために公表され、最後のレキシコンは、相談の際に回答者によって提出されたコメントのFSBによる対価を反映する。この最終レキシコンの発行と同時に、FSBは、パブリックコメントを要約したレポートを発行し、解決方法を説明します。 8
2.2レキシコンに含まれる用語の選択
用語集に含まれる用語の選択には、以下の基準が適用されています。
レキシコンの目的を達成する。レクシーコンは、FSB、SSB、当局者、金融セクターのサイバーセキュリティーやサイバーレジリエンスに関連する民間セクター参加者の他の作業を支援することに焦点を当てるべきである(この文書の目的欄に列挙されている4つの分野を含む)。これらの分野は、関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解、サイバー・リスク・シナリオの財務上の安定性リスクを評価し監視する作業適切な情報共有。 FSBおよび/またはSSBによって、サイバーセキュリティおよびサイバー耐性に関するガイダンス(効果的なプラクティスの特定を含む)を提供するよう働きかけます。 FSBやSSB、金融セクター規制当局、監督者、民間セクターの参加者が行う作業を支援するのに役立つ、金融セクターに関連した用語に焦点を当てています。レキシコンに含まれるすべての用語は金融部門に関連していますが、用語は他のセクターとの関連性に基づいて除外されませんでした。
レキシコンの範囲。レキシコンは、その範囲が限定され、レキシコンの目的をサポートするのに必要な中核的な用語に焦点を当てるべきである。レキシコンは、すべてのサイバーセキュリティおよびサイバーレジリエンス関連用語の包括的なレキシコンではありません。 ISO、ISACA、SANSインスティテュート、NISTの作業を含む、サイバーセキュリティ、サイバー耐性、ICT定義の開発には、かなりの質の高い作業がすでに完了しています。 FSBのレキシコン開発の目標は、この作業を再現するのではなく、公的部門と民間部門の金融部門参加者に関連する主要な用語の定義を作成し、提案することでした。
技術用語の除外。レクシコンが金融部門の中核用語に焦点を当てていることを考慮すると、技術的ICT用語は一般にレクシコンから除外されるべきである。第1に、それらはレキシコンの目的をサポートするのに必要な中核用語ではない。第二に、これらの用語を定義することは、一般的に、FSBの会員である金融部門当局の専門知識の外にあり、ICTおよび関連分野に専門知識を持つ標準的なセッターに任せられることがより適切です。第3に、FSBは、技術的およびその他の変更の結果として、時代遅れとなるかもしれない技術用語を定義するうえで十分ではない。つまり、技術用語とその他の用語の間の線は必ずしも明確ではなく、FSBがそれらの目的を達成するのに有用であると結論づけた場合には、サービス拒否などのICT関連の用語が含まれているレキシコン。
一般的なビジネスおよび規制条件の除外。レキシコンには、一般に、サイバーセキュリティとサイバーレジリエンスを超えた分野の金融セクター参加者が使用する用語は含まれません。これらの用語は、サイバーセキュリティとサイバー耐性に重点を置いているかもしれませんが、一般的によく定義され、よく理解されていて、サイバーセキュリティとサイバーレジリエンス特有のものではありません。この基準で除外される用語の例には、事業継続計画、重要性、リスク、リスクアセスメント、リスクアペタイトおよびリスク管理が含まれます。レキシコンには、さまざまな監督上の文脈においてより広い意味または複数の意味を有する用語がいくつか含まれている。そのような場合、レクチャーのドラフトの定義は、サイバーセキュリティとサイバー耐性の文脈にのみ関連する。そのような用語の1つの例は機密性です。
2.3レキシコンの用語の定義を開発する際に使用される基準
ワーキンググループは、レキシコンの用語の定義を開発する際に以下の基準を適用した。
既存の情報源への依存。レキシコンの開発は、CPMI-IOSCOがサイバー・レジリエンス・ガイダンスのようなサイバー・セキュリティとサイバー・レジリエンスに関するレクシーコンや用語集を開発する際に、以前に行われていた、 9 G-7サイバーエキスパートグループの作業、10 NISTの重要な情報セキュリティ用語集の作業11、およびISOの作業.12 FSBの作業は、これまでの努力に基づいて構築されるべきであり、 FSBの目的に関連しており、必要に応じてFSBの目的に適した変更のみを行う。
包括的な定義。用語集に含まれる定義は包括的でなければならない。用語集の用語に選択された定義は、用語の定義に必要なすべての重要な要素を網羅している必要があります。用語集に含めるために選択された既存の定義でギャップが識別された場合、既存のソースの定義への変更は適切である。
分かりやすい言葉。レキシコンで使用されている定義は、簡潔で分かりやすく明瞭な言葉を使用し、専門用語や複雑な文法構造を避けなければなりません。可能であれば、レキシコンはICT専門家間のコミュニケーションを促進するために設計された高度な技術的言語を使用すべきではありません。
•以下の出典の引用は省略されています。 附属書の最後には、完全な情報源の引用が記載されている。
•レキシコン内で定義されている用語は、レキシコン内の定義で使用されている場合はイタリック体になっています。
•レキシコンで使用する場合、「エンティティ」には、文脈が必要とする自然人が含まれます。
1 See “How cyber criminals targeted almost $1bn in Bangladesh Bank heist”, Financial Times, 18 March 2016,
https://www.ft.com/content/39ec1e84-ec45-11e5-bb79-2303682345c8; “Ransomware cyber-attack threat escalating – Europol”, BBC, 14 May 2017, http://www.bbc.com/news/technology-39913630; and Form 8-K of Equifax Inc. (filed 7 May 2018), https://www.sec.gov/Archives/edgar/data/33185/000119312518154706/0001193125-18-154706-index.htm.
2 For a discussion of cyber risk in the context of FinTech (i.e. technology-enabled innovation in financial services), see FSB, Financial Stability Implications from FinTech: Supervisory and Regulatory Issues that Merit Authorities’ Attention, 27 June 2017, http://www.fsb.org/2017/06/financial-stability-implications-from-fintech/. For an example of the evolution of attack methods, see B. Krebs, “Source Code for IoT Botnet ‘Mirai’ Released”, 1 October 2016, https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/. For an outline of the high yield of recent attacks targeting the financial sector, see C. Wueest, Symantec, “Financial Threats Review 2017, Targeted financial heists”, May 2017, https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/istr-financial-threats-review-2017-en.pdf.
3 See G20, Communiqué: G20 Finance Ministers and Central Bank Governors Meeting, Baden-Baden, Germany, 17-18 March 2017, http://www.bundesfinanzministerium.de/Content/EN/Standardartikel/Topics/Featured/G20/g20-communique.pdf?__blob=publicationFile&v=3.
4 See FSB, Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices, 13 October 2017, http://www.fsb.org/wp-content/uploads/P131017-2.pdf; and FSB, Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices, 13 October 2017, http://www.fsb.org/2017/10/summary-report-on-financial-sector-cybersecurity-regulations-guidance-and-supervisorypractices/.
5 See G20, Chair’s Summary: G20 Finance Ministers and Central Bank Governors Meeting, Washington, D.C., USA, 12-13 October 2017, http://www.bundesfinanzministerium.de/Content/EN/Standardartikel/Topics/Featured/G20/2017-11-03-g20-chairs-summary.pdf;jsessionid=B6890DCD16EB588B45663F2C579BF598?__blob=publicationFile&v=2.
6 See FSB, Cyber Lexicon Consultative Document, 2 July 2018, http://www.fsb.org/2018/07/cyber-lexicon-consultativedocument/.
7 In the FSB’s stocktake survey, FSB members frequently reported relying on the work of ISO, ISACA and NIST. See FSB, Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices (Figure 2 and accompanying text), 13 October 2017, http://www.fsb.org/wp-content/uploads/P131017-2.pdf.
8 See FSB, Cyber Lexicon Overview of Responses to the Public Consultation, http://www.fsb.org/2018/11/cyber-lexiconoverview-of-responses-to-the-public-consultation/.
9 See CPMI-IOSCO, Guidance on cyber resilience for financial market infrastructures, June 2016, www.bis.org/cpmi/publ/d146.pdf.
10 See G-7, G-7 Fundamental Elements for Effective Assessment of Cybersecurity in the Financial Sector, October 2017,http://www.g7italy.it//sites/default/files/documents/G7%20Fundamental%20Elements%20for%20Effective%20Assessment%20of%20cybersecurity%20in%20the%20financial%20sector.pdf.
11 See NIST, Glossary of Key Information Security Terms, May 2013, nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf.
12 See, for example, ISO, “ISO/IEC 27000:2018”, February 2018, https://www.iso.org/standard/73906.html.
br />
別紙注1: 用語集の用語および定義は、金融サービス部門およびその中の金融機関。レキシコンは、国際契約の法的解釈に使用することは意図していません。または契約または任意の私的契約。
筆者注1: セクター間の横断的かつ共通的な理解をしめすための用語、と筆者は解釈(原文:Cross-sector common understanding of ~)
プレス・リリース<原文>
2018年11月12日
FSB、Cyber Lexiconを発表
金融安定委員会(FSB)は本日、今年初めに公開協議を行い、サイバーレキシコンを発行した。このレキシコンは、金融分野におけるサイバーセキュリティとサイバーレジリエンスに関連する約50のコア用語からなる。
サイバーレキシコンは、FSB、標準設定機関、当局および民間セクターの参加者、例えばFSBの作業をサポートすることを目的としています。金融機関や国際標準化団体などと協力して、金融セクターのサイバー・レジリエンスに取り組んでいます。レキシコンは、次の分野の作業をサポートするのに役立ちます。
•関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解。筆者注1
•サイバーリスクシナリオの財務安定性リスクを評価および監視するための作業。
•適切な情報共有。そして
•効果的な練習の特定を含む、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するため、FSBおよび/または標準設定機関による作業。
例えば、Cyber Lexiconは、サイバーインシデントへの金融機関の対応や回復に関連した効果的なプラクティスを開発するために、最近発表されたFSBプロジェクトの作業を支援するために使用されます。このプロジェクトの進捗状況レポートは、2019年中頃に発行されます。
FSBは、2017年10月のG20財務大臣と中央銀行総裁からの要請に応じて、レキシコンを作成した。 FSBは、既存の公的に利用可能な規制および監督慣行について、
金融セクターにおけるサイバーセキュリティを尊重する。
レキシコンは今月末にブエノスアイレスのG20首脳会議に引き渡される予定です。
FSBは本日、昨年7月に公開されたパブリック・コンサルテーションで提起された問題を要約し、それに対処するために辞書に加えられた主な変更を説明するサイバー・レキシコンに関する公開コンサルテーションへの対応の概要を発表した。パブリックコンサルテーションに対する個々の回答は、FSBのウェブサイトで入手できます。
編集者へのメモ
FSBは、国際レベルで、国家金融当局および国際標準体制機関の業務を調整し、財務安定のために効果的な規制、監督およびその他の金融部門政策の実施を開発し促進する。それは、24カ国および管轄地域、国際金融機関、規制当局および監督の分野別国際グループ、中央銀行専門家の委員会における財務安定性を担う中央当局を集めたものです。 FSBはまた、6つの地域協議グループを通じて約70の他の管轄区域とのアウトリーチを実施している。
FSBは、イングランド銀行知事マークカーニーが議長を務めています。事務局はスイスのバーゼルにあり、国際決済銀行が主催しています。
FSBの詳細については、FSBのWebサイトwww.fsb.orgを参照してください。
サイバーレキシコン<原文>
サイバーレキシコン(注:サイバー用語集)
2018年11月12日
金融安定委員会(FSB)は、効果的な規制、監督およびその他の金融セクター政策の実施を開発および促進するために、国際レベルで国家金融当局および国際標準化機関の作業を調整するために設立された。 FSBの義務は、FSBの政策決定および関連活動を支配するFSB憲章に定められている。これらの活動は、それらの文脈で達成されたいかなる決定を含めても、FSBの定款に基づく法的権利または義務を拘束するものではない。
財務安定委員会への連絡
電子メールアラートにサインアップする:www.fsb.org/emailalert
TwitterでFSBに従ってください:@FinStbBoard
FSBに電子メールを送る:fsb@fsb.org
Copyright©2018 Financial Stability Board。以下を参照してください:http://www.fsb.org/terms_conditions/
目次
前書き .............................................................................. 11.レキシコンの目的.............................................................. 3
2.レキシコンの開発.............................................................. 4
2.1レキシコンを開発するプロセス........................................... 4
2.2レキシコンに含まれる用語の選択........................................ 4
2.3レキシコンの用語の定義を開発する際に使用される基準........... 5
付属書:サイバーレキシコン.................................................. 7
サイバーレキシコン
サイバーインシデントは金融システム全体にとって脅威であり、金融セクターの内部と外部の両方で重大かつ致命的なインシデントが最近報告されたことによって強調されている事実です。バングラデシュ銀行に対する2016年の攻撃は8100万ドルの盗難をもたらし、2017年のWannaCryのトランスクリプト攻撃は150カ国の25万台以上のコンピュータシステムを感染させ、2017年のEquifaxのハックは1億4600万人を超える個人情報の妥協をもたらしました1。金融機関に対するサイバー・リスクは、新たな脆弱性や脆弱性の増大につながる技術の進化を含むいくつかの要因によって引き起こされます。金融機関間及び金融機関と外部当事者との間の相互接続。クラウドコンピューティングとFinTechプロバイダーを通じて、金融セクター当局による規制の対象にならない場合があります。サイバー犯罪者がICTシステムを妥協する新しい方法を見つけるための確かな努力、不正な金銭的利益を追求するサイバー犯罪者の標的となる金融機関の魅力2。サイバーインシデントによるリスクを認識し、世界中の当局は、金融機関によるサイバーリスクの軽減とサイバーインシデントへの効果的な対応、およびサイバーインシデントからの回復の両方を容易にするように設計された規制および監督手順を講じています。
2017年3月にG20財務大臣とバーデン・バーデン中央銀行総裁会議で発表されたコミュニケは、情報通信技術(ICT)の悪意のある使用が国内外の金融システムに不可欠な金融サービスを混乱させる可能性があると指摘し、信頼と経済的安定を危険にさらす3。国境を越えた協力を強化する目的で、金融安定委員会(FSB)は、G20の管轄区域における既存の関連する規制および監督慣行の摘要ならびに既存の国際指針の執行を第一段階として行うよう求められた効果的なプラクティスを特定する。 2017年10月、FSBは、ワシントンDCの財務大臣および中央銀行総裁会議に、金融セクターのサイバーセキュリティに関する既存の公的に利用可能な規制および監督慣行に関する要請書を提出した。 4閣僚および総裁は、FSBの保有報告書を歓迎し、FSBに、ICTの悪意のある使用に対する財政的安定性を保護するための作業を継続するよう声明を出し、この作業が、共通の用語集の作成によって支持される追求される仕事。 5公的協議の後、FSBはサイバーセキュリティとサイバーレジリエンスに関連する用語の最終覚書を作成し、公表している。6
1.レキシコンの目的
サイバーレキシコンを開発するためのFSBの作業の目的は、FSBの作業を支援することです。バーゼル銀行監督委員会(BCBS)、ペイメント・アンド・マーケット・インフラ委員会(CPMI)、国際保険監督者協会(IAIS)、国際証券委員会(IOSCO)などの標準設定団体(SSB)当局;民間部門の参加者、例えば、金融機関や国際標準化団体などと協力して、金融セクターのサイバーセキュリティーとサイバーレジリエンスに取り組んでいます。このレキシコンは、国際契約または契約または民間契約の法的解釈に使用することは意図していません。レキシコンは、次の分野の作業をサポートするのに役立ちます。
関連するサイバーセキュリティとサイバーレジリエンス用語の共通セクターの共通理解 レキシコンは、バンキング、金融市場インフラストラクチャ、保険および資本市場、および他の業界セクターを含む、金融セクター全体にわたる関連するサイバーセキュリティーおよびサイバーレジリエンス用語の共通理解を促進するのに役立つ可能性があります。当局や民間の参加者を含む金融セクターの共通の理解は、セクター全体のサイバー・セキュリティーとサイバー・レジリアンスを向上させるのに役立ちます。より一般的に言えば、共通のレキシコンは、他の業界との共通理解を促進し、サイバーセキュリティとサイバー耐性を高めるための適切な協力を促進することができる。
サイバー・リスク・シナリオの財務安定性リスクを評価し監視するために働きます。 FSBとそのメンバーは、サイバーインシデントに関連する財務安定性リスクを評価し監視するために、サイバーリスクに関連する用語に関する共通の理解を促進するレキシコンによってサポートされる可能性がある。例えば、FSBは、世界的な金融システムにおける脆弱性の定期的な評価の一環として、サイバーリスクを含む運用リスクの可能性が金融システム全体に伝達される可能性があると考えている。
適切な情報共有。 公的および私的な参加者を含む金融部門全体の共通の理解を促すレキシコンは、適切な情報共有を強化するための努力に役立つ可能性があります。
効果的な練習の特定を含む、サイバーセキュリティとサイバー弾力性に関するガイダンスを提供するため、FSBおよび/またはSSBによって作業する。レキシコンは、効果的な練習を特定することを含め、サイバーセキュリティとサイバーレジリエンスに関するガイダンスを提供するために、FSBおよび/またはSSBによる作業に役立つ可能性がある。例えば、効果的な規制アプローチを醸成しながら、重複し、矛盾する可能性のある規制要件のリスクを軽減することができます。
FSBは、共通の用語を使用することで、上記の分野での作業が容易になると予想しています。レキシコンは、FSB、SSB、当局、民間セクターの参加者がこれらの分野で取り組むことを決定する作業を支援することを意図しているが、有用なツールとして設計されており、その使用は必須ではない。
2.レキシコンの開発
2.1レキシコンを開発するプロセス
上記で概説された目的に効果的に役立つレキシコンを開発するにあたり、FSBは積極的に多様な意見を取り入そうとした。レキシコンを開発するため、FSBは米連邦準備理事会(FRB)議長を務める専門家グループを結成した。グループメンバーは、サイバーセキュリティとサイバーレジリエンスの規制と監督の専門家、FSB加盟国の広範な管轄区域や金融セクター(銀行、金融市場インフラ、証券、保険)の代表として選ばれました。ワーキンググループには、各SSBの代表者、すなわちBCBS、CPMI、IAIS、IOSCOが含まれていた。
ワーキンググループは、初期草案辞書を作成した。これに続いて、ワーキンググループと金融部門以外の専門家を雇用するための関与期間が続いた。当初、ワーキンググループのメンバーは、より広い視野を引き出し、金融セクターとコミュニケーションの両方に役立つレクシコンの作成を促進するために、自国の管轄地域の他の公務員とSSBのメンバーと協議した金融セクターと他の産業セクターとの間のその後、ワーキンググループは、フィードバックを求めるために、サイバーセキュリティ基準の策定および/または訓練を積極的に行っている組織の代表者と会合した。これらの組織には、国際標準化機構(ISO)、ISACA(以前は情報システム監査および管理協会)、SANS研究所および米国国立標準技術研究所(NIST)が含まれます。7
さらに、FSBの監督・規制協力常任委員会とFSBの完全加盟は、レキシコンのドラフトに貢献する機会を得た。その後、草案レキシコンが相談のために公表され、最後のレキシコンは、相談の際に回答者によって提出されたコメントのFSBによる対価を反映する。この最終レキシコンの発行と同時に、FSBは、パブリックコメントを要約したレポートを発行し、解決方法を説明します。 8
2.2レキシコンに含まれる用語の選択
用語集に含まれる用語の選択には、以下の基準が適用されています。
レキシコンの目的を達成する。レクシーコンは、FSB、SSB、当局者、金融セクターのサイバーセキュリティーやサイバーレジリエンスに関連する民間セクター参加者の他の作業を支援することに焦点を当てるべきである(この文書の目的欄に列挙されている4つの分野を含む)。これらの分野は、関連するサイバーセキュリティとサイバー耐性用語のクロスセクター共通理解、サイバー・リスク・シナリオの財務上の安定性リスクを評価し監視する作業適切な情報共有。 FSBおよび/またはSSBによって、サイバーセキュリティおよびサイバー耐性に関するガイダンス(効果的なプラクティスの特定を含む)を提供するよう働きかけます。 FSBやSSB、金融セクター規制当局、監督者、民間セクターの参加者が行う作業を支援するのに役立つ、金融セクターに関連した用語に焦点を当てています。レキシコンに含まれるすべての用語は金融部門に関連していますが、用語は他のセクターとの関連性に基づいて除外されませんでした。
レキシコンの範囲。レキシコンは、その範囲が限定され、レキシコンの目的をサポートするのに必要な中核的な用語に焦点を当てるべきである。レキシコンは、すべてのサイバーセキュリティおよびサイバーレジリエンス関連用語の包括的なレキシコンではありません。 ISO、ISACA、SANSインスティテュート、NISTの作業を含む、サイバーセキュリティ、サイバー耐性、ICT定義の開発には、かなりの質の高い作業がすでに完了しています。 FSBのレキシコン開発の目標は、この作業を再現するのではなく、公的部門と民間部門の金融部門参加者に関連する主要な用語の定義を作成し、提案することでした。
技術用語の除外。レクシコンが金融部門の中核用語に焦点を当てていることを考慮すると、技術的ICT用語は一般にレクシコンから除外されるべきである。第1に、それらはレキシコンの目的をサポートするのに必要な中核用語ではない。第二に、これらの用語を定義することは、一般的に、FSBの会員である金融部門当局の専門知識の外にあり、ICTおよび関連分野に専門知識を持つ標準的なセッターに任せられることがより適切です。第3に、FSBは、技術的およびその他の変更の結果として、時代遅れとなるかもしれない技術用語を定義するうえで十分ではない。つまり、技術用語とその他の用語の間の線は必ずしも明確ではなく、FSBがそれらの目的を達成するのに有用であると結論づけた場合には、サービス拒否などのICT関連の用語が含まれているレキシコン。
一般的なビジネスおよび規制条件の除外。レキシコンには、一般に、サイバーセキュリティとサイバーレジリエンスを超えた分野の金融セクター参加者が使用する用語は含まれません。これらの用語は、サイバーセキュリティとサイバー耐性に重点を置いているかもしれませんが、一般的によく定義され、よく理解されていて、サイバーセキュリティとサイバーレジリエンス特有のものではありません。この基準で除外される用語の例には、事業継続計画、重要性、リスク、リスクアセスメント、リスクアペタイトおよびリスク管理が含まれます。レキシコンには、さまざまな監督上の文脈においてより広い意味または複数の意味を有する用語がいくつか含まれている。そのような場合、レクチャーのドラフトの定義は、サイバーセキュリティとサイバー耐性の文脈にのみ関連する。そのような用語の1つの例は機密性です。
2.3レキシコンの用語の定義を開発する際に使用される基準
ワーキンググループは、レキシコンの用語の定義を開発する際に以下の基準を適用した。
既存の情報源への依存。レキシコンの開発は、CPMI-IOSCOがサイバー・レジリエンス・ガイダンスのようなサイバー・セキュリティとサイバー・レジリエンスに関するレクシーコンや用語集を開発する際に、以前に行われていた、 9 G-7サイバーエキスパートグループの作業、10 NISTの重要な情報セキュリティ用語集の作業11、およびISOの作業.12 FSBの作業は、これまでの努力に基づいて構築されるべきであり、 FSBの目的に関連しており、必要に応じてFSBの目的に適した変更のみを行う。
包括的な定義。用語集に含まれる定義は包括的でなければならない。用語集の用語に選択された定義は、用語の定義に必要なすべての重要な要素を網羅している必要があります。用語集に含めるために選択された既存の定義でギャップが識別された場合、既存のソースの定義への変更は適切である。
分かりやすい言葉。レキシコンで使用されている定義は、簡潔で分かりやすく明瞭な言葉を使用し、専門用語や複雑な文法構造を避けなければなりません。可能であれば、レキシコンはICT専門家間のコミュニケーションを促進するために設計された高度な技術的言語を使用すべきではありません。
別紙:サイバーレキシコン別紙注1
ノート:•以下の出典の引用は省略されています。 附属書の最後には、完全な情報源の引用が記載されている。
•レキシコン内で定義されている用語は、レキシコン内の定義で使用されている場合はイタリック体になっています。
•レキシコンで使用する場合、「エンティティ」には、文脈が必要とする自然人が含まれます。
出典
1 See “How cyber criminals targeted almost $1bn in Bangladesh Bank heist”, Financial Times, 18 March 2016,
https://www.ft.com/content/39ec1e84-ec45-11e5-bb79-2303682345c8; “Ransomware cyber-attack threat escalating – Europol”, BBC, 14 May 2017, http://www.bbc.com/news/technology-39913630; and Form 8-K of Equifax Inc. (filed 7 May 2018), https://www.sec.gov/Archives/edgar/data/33185/000119312518154706/0001193125-18-154706-index.htm.
2 For a discussion of cyber risk in the context of FinTech (i.e. technology-enabled innovation in financial services), see FSB, Financial Stability Implications from FinTech: Supervisory and Regulatory Issues that Merit Authorities’ Attention, 27 June 2017, http://www.fsb.org/2017/06/financial-stability-implications-from-fintech/. For an example of the evolution of attack methods, see B. Krebs, “Source Code for IoT Botnet ‘Mirai’ Released”, 1 October 2016, https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/. For an outline of the high yield of recent attacks targeting the financial sector, see C. Wueest, Symantec, “Financial Threats Review 2017, Targeted financial heists”, May 2017, https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/istr-financial-threats-review-2017-en.pdf.
3 See G20, Communiqué: G20 Finance Ministers and Central Bank Governors Meeting, Baden-Baden, Germany, 17-18 March 2017, http://www.bundesfinanzministerium.de/Content/EN/Standardartikel/Topics/Featured/G20/g20-communique.pdf?__blob=publicationFile&v=3.
4 See FSB, Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices, 13 October 2017, http://www.fsb.org/wp-content/uploads/P131017-2.pdf; and FSB, Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices, 13 October 2017, http://www.fsb.org/2017/10/summary-report-on-financial-sector-cybersecurity-regulations-guidance-and-supervisorypractices/.
5 See G20, Chair’s Summary: G20 Finance Ministers and Central Bank Governors Meeting, Washington, D.C., USA, 12-13 October 2017, http://www.bundesfinanzministerium.de/Content/EN/Standardartikel/Topics/Featured/G20/2017-11-03-g20-chairs-summary.pdf;jsessionid=B6890DCD16EB588B45663F2C579BF598?__blob=publicationFile&v=2.
6 See FSB, Cyber Lexicon Consultative Document, 2 July 2018, http://www.fsb.org/2018/07/cyber-lexicon-consultativedocument/.
7 In the FSB’s stocktake survey, FSB members frequently reported relying on the work of ISO, ISACA and NIST. See FSB, Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices (Figure 2 and accompanying text), 13 October 2017, http://www.fsb.org/wp-content/uploads/P131017-2.pdf.
8 See FSB, Cyber Lexicon Overview of Responses to the Public Consultation, http://www.fsb.org/2018/11/cyber-lexiconoverview-of-responses-to-the-public-consultation/.
9 See CPMI-IOSCO, Guidance on cyber resilience for financial market infrastructures, June 2016, www.bis.org/cpmi/publ/d146.pdf.
10 See G-7, G-7 Fundamental Elements for Effective Assessment of Cybersecurity in the Financial Sector, October 2017,http://www.g7italy.it//sites/default/files/documents/G7%20Fundamental%20Elements%20for%20Effective%20Assessment%20of%20cybersecurity%20in%20the%20financial%20sector.pdf.
11 See NIST, Glossary of Key Information Security Terms, May 2013, nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf.
12 See, for example, ISO, “ISO/IEC 27000:2018”, February 2018, https://www.iso.org/standard/73906.html.
br />
別紙注1: 用語集の用語および定義は、金融サービス部門およびその中の金融機関。レキシコンは、国際契約の法的解釈に使用することは意図していません。または契約または任意の私的契約。
筆者注1: セクター間の横断的かつ共通的な理解をしめすための用語、と筆者は解釈(原文:Cross-sector common understanding of ~)
コメント
コメントを投稿