デジタルの世界は、紛れもなく金融セクターと密接に絡み合っており、銀行業務におけるサイバーセキュリティの枠組みを強化する必要性を強調している。近年、2021年3月の欧州規制機関への攻撃や、米国の大手取引プラットフォームに影響を与えた大規模なデータ流出など、注目を集めたサイバー攻撃は、金融機関に対する脅威の進化と浸透を浮き彫りにしている。これらの重大事件は、米国国土安全保障省や欧州中央銀行のような規制機関が、金融機関に対してサイバーセキュリティ対策を強化するよう指示を出すきっかけとなった。
モデルリスク管理(MRM)による銀行業務のサイバーセキュリティ強化
サイバー攻撃の頻度と巧妙さが増す中、モデル・リスク管理(MRM)という概念が、特に銀行部門において、サイバー脅威を軽減するための焦点として浮上している。MRMは、不正確または誤用された可能性のあるモデルに基づく意思決定から生じ得るリスクを監視・管理することを中心に展開される。MRMを確立するための重要なステップは、分析ツールを特定し、モデル在庫に含めることである。2021年のマッキンゼーの調査によると、北米の銀行の70%が、MRMガバナンスにサイバーリスクモデルタイプを含めることを目指している。
ほとんどのサイバー・ソリューションが高度なアナリティクスと機械学習技術を採用していることから、それらは北米の機関によるモデルの基準を満たしており、したがってインベントリーに含まれている。
銀行業務におけるサイバーセキュリティ・ソリューションの多面的役割
銀行におけるサイバーセキュリティの取り組みは、主に3つの重要な分野に対応している:
- ウェブアプリケーションとモバイルアプリケーションの保護金融機関は、機械学習からルールベースのアプローチまで、さまざまなソリューションを活用して、侵入やその他の潜在的な脅威からWebおよびモバイル・アプリケーションを保護しています。
- リスクエクスポージャーの特定:サイバーリスクに起因する潜在的な経済的影響を定量化するための反復プロセスには、サイバーリスク領域の定性的カタログの作成、様々なシナリオにおける金額リスクのシミュレーション、リスクを軽減するためのコントロールの設計、新たな脅威を識別するためのリスク環境の継続的な見直しが含まれる。
- 既存のサイバー防御策の見直し変動するサイバーセキュリティの性質に対処するため、銀行は様々なツールやソリューションを用いて現在のサイバーセキュリティ防御策を定期的に検証するとともに、潜在的なサイバー攻撃を調査し対応するためのセキュリティ・インシデント・プロセスを確立する。
サイバーセキュリティ・ソリューションにおけるモデルリスクの特定とナビゲート
銀行のMRMフレームワークにサイバー・ソリューションを統合することで、目に見えないリスクを明らかにすることができ、それによってMRMがこれらのリスクを特定し、潜在的に軽減することが可能になる。サイバーソリューションによってもたらされるリスク領域と、サイバーセキュリティ・モデルのモデルリスク管理への影響には、以下のようなものがある:
- 手法の陳腐化:攻撃者が革新的なアプローチやソーシャル・エンジニアリングの手口を模索する中、進化する脅威に適応すること。
- 高速かつ突発的な攻撃:攻撃が具体化する前に脅威を予測し、特定する。
- 大きなリスクと長時間のダウンタイム重大な財務的影響、データ漏えい、評判の低下を防ぐために、サイバーモデルに強固なガバナンスとコントロールを確保する。
- ベンダーのリスク:サイバーソリューションの導入時にベンダーと効果的に関わり、その統合と機能の成功を確保する。
- インフラの課題:効果的な侵入テストを実施し、ソリューションがアプリケーション・スイート内で完璧に統合され、運用されていることを確認する。
サイバーセキュリティ・ソリューションのMRMに関する考察
リスクを認識することで、MRMの重要性とサイバーセキュリティへの適用がより鮮明になる。サイバーソリューションのリスクを効果的に管理するための主な検討事項には、モデルの在庫管理、重要性の評価、ベンダーとの連携、モデルのモニタリング、独立機関による検証などがある。
銀行業務における堅牢なMRMフレームワークの誕生
MRMに着手するには、銀行が一貫性のある効果的なアプローチを速やかに確立し、リスクを管理し、管理体制を確立する必要がある。組織にとって、次のような道筋が考えられる:
- 啓発ワークショップの開催
- チームの能力を開発する。
- モデルランドスケープを見直し、インベントリーを特定する。
- MRM標準のカスタマイズ。
- 独立した検証を行うこと。
- モデルリスクの測定と内部報告
サイバーが氾濫する時代には、サイバーセキュリティMRMを迅速に導入し、厳格に実施することが最も重要であり、潜在的な脅威に対して一致団結して立ち向かうことで、金融機関とその顧客の両方をサイバー攻撃の危険から守ることができる。今こそ、サイバーセキュリティMRMを導入し、全体的かつ統一的な戦線を確保することで、脅威行為者がコストのかかる攻撃を開始するのを阻止する時である。