金融機関にSCSが必要な理由
金融機関はこれまでFISC安全対策基準を中心にセキュリティ対策を進めてきました。しかし、フィンテック企業や決済事業者、クラウドサービスプロバイダーとの連携が拡大する中で、金融機関自身もサプライチェーンの一部として評価される時代が到来しています。
SCS評価制度は業種横断の格付け制度であり、金融機関が取引先のセキュリティレベルを確認するだけでなく、自らのセキュリティレベルを対外的に証明する手段としても活用できます。
- フィンテック企業:銀行APIを利用する決済事業者やレンディング事業者も評価対象に
- システムベンダー:勘定系・情報系システムの開発・運用委託先のセキュリティ確認
- BPO事業者:コールセンター、データエントリーなど業務委託先の管理
- クラウドサービス:SaaS/IaaSプロバイダーのセキュリティレベル評価
FISC安全対策基準とSCSの比較
FISC安全対策基準は金融機関のIT統制に関する事実上の業界標準です。SCS評価制度との主な違いを整理します。
| 比較項目 | FISC安全対策基準 | SCS評価制度 |
|---|---|---|
| 策定主体 | 金融情報システムセンター | 経済産業省(IPA運営) |
| 対象範囲 | 金融機関に特化 | 全業種横断 |
| カバー領域 | 技術基準・運用基準・設備基準 | 組織・技術・運用・サプライチェーン管理 |
| 評価方法 | 自己点検(300以上の基準項目) | ★1〜★5の格付け評価 |
| サプライチェーン | 委託先管理の基準あり | 取引先全体の格付け・相互評価 |
| 第三者評価 | 金融庁検査で間接的に確認 | ★4以上で第三者評価 |
| 公開性 | 非公開 | 格付け結果を公開可能 |
| 更新頻度 | 数年ごとに改訂 | 年次更新 |
金融庁サイバーセキュリティガイドラインとの整合
2024年に策定された金融庁サイバーセキュリティガイドラインは、金融機関に対してサプライチェーンリスク管理の強化を求めています。このガイドラインとSCS評価制度は相互補完的な関係にあります。
- ガバナンス:経営層のサイバーセキュリティ関与 → SCS★3以上で組織体制の要件と整合
- リスク管理:サードパーティリスクの評価 → SCSの格付けで定量的に管理可能
- インシデント対応:迅速な検知・報告体制 → SCS要件にも含まれる
- サプライチェーン:委託先管理の高度化 → SCS格付けの活用で効率化
金融庁検査での評価
金融庁はサイバーセキュリティガイドラインに基づく監督を強化しています。SCS格付けを取得し、対外的にセキュリティレベルを証明できる状態にしておくことは、金融庁検査への備えとしても有効です。
FISC対策でカバーできる項目と追加対応
FISC安全対策基準に適切に対応している金融機関は、SCS★3の要件の約80%をすでに満たしていると考えられます。主な差分は以下の通りです。
| SCS要件 | FISC対応状況 | 追加対応の要否 |
|---|---|---|
| アクセス制御・MFA | FISC基準で対応済み | 追加不要(確認のみ) |
| マルウェア対策 | EDR/アンチウイルス導入済み | 追加不要(確認のみ) |
| バックアップ | DR/BCPで対応済み | 追加不要(確認のみ) |
| ログ管理・監査証跡 | FISC基準で詳細に規定 | 追加不要(確認のみ) |
| インシデント対応 | CSIRT体制あり | SCS報告様式への対応が必要 |
| サプライチェーン格付け管理 | 委託先管理はあるが格付けなし | 追加対応が必要 |
| 格付け結果の公開・共有 | FISC対応は非公開 | 追加対応が必要 |
| 年次更新・継続的改善 | PDCA運用あり | SCS更新手続きへの対応が必要 |
SCS評価制度とISMS・Pマークの比較も参考にしてください。追加対応はサプライチェーン格付け管理と公開手続きが中心であり、技術的な新規対応は限定的です。
金融機関の★目標と対応スケジュール
金融機関の規模と役割に応じた推奨★レベルは以下の通りです。
| 金融機関の種別 | 推奨★レベル | 対応スケジュール |
|---|---|---|
| メガバンク・大手証券 | ★5 | 2026年度中 |
| 地方銀行・信用金庫 | ★4 | 2027年3月まで |
| フィンテック企業 | ★3〜★4 | 2027年度中 |
| 保険会社 | ★4 | 2027年度中 |
| 決済事業者 | ★3 | 2027年度中 |
SCS対応のコストについては、FISC対応済みの金融機関は追加投資を抑えられる傾向にあります。
BTNコンサルティングの支援
BTNコンサルティングのSCS対応支援では、金融機関向けに以下のサービスを提供しています。
- FISC安全対策基準とSCS要件のギャップ分析
- 金融庁ガイドラインとの整合性確認
- サプライチェーン格付け管理体制の構築
- ★3〜★4取得のためのロードマップ策定
- Microsoft 365を活用したセキュリティ基盤の最適化
詳しくはSCS評価制度の概要ページをご覧ください。