(出所)FCA / Cyber and Technology Resilience

英国の金融行動監督機構(Financial Conduct Authority:FCA)が2018年11月に発表した調査報告書「Cyber and Technology Resilience: Themes from cross-sector survey 2017-2018」では、英国内の296の金融機関を対象として、2017年10月~2018年9月までの1年間におけるIT関連のトラブルの発生状況を調査した結果がまとめられている。これは2018年7月にFCAがイングランド銀行および英国の健全性規制機構(Prudential Regulatory Authority)と共同で発表したジョイント・ディスカッション・ペーパー「Building the UK financial sector’s operational resilience」(注1)に関連して作成されたものである。

本稿のトップに掲載した画像は、前述の調査対象期間の間に報告された月ごとのインシデントの件数である。2018年1月以降のデータが「PSD」と「Non-PSD」に色分けされているが、ここで「PSD」とは「EU 決済サービス司令(Payment Services Directive)」を指す。本報告書の注釈によると、2018 年 1月から決済サービス事業者に対して報告が義務化された影響で、インシデントの報告件数が増えたため、それを区別するために色分けされているとの事である。したがって 2017年12月以前においても、報告されなかったインシデントがある程度発生していた可能性がある。

また図1は、同期間に報告された個々のインシデントについて、それらの根本原因をまとめたものである(ただし全報告数の約3割に相当する 186件については、まだ根本原因に関する報告が行われていないとの事である)。

まず何といっても「Change Management(変更管理)」が最も多いことが目を引く。変更管理とはソフトウェアのアップデートやシステムの構成変更など、現在稼働中の情報システムに対して何らかの変更を加える際の管理策の総称である。日本でもこれまでに銀行や交通機関などで、システム更新時の大規模なトラブルが複数発生している。このようなトラブルは英国においても(規模の大小は別として)多数発生しているようである。

図1.インシデントの根本原因(出所)FCA / Cyber and Technology Resilience

本連載で過去に紹介させていただいた BCI(注2)の Horizon Scan Report(注3)によると、世界のBCM関係者が経験している事業途絶(business disruption)の原因の中で最も多いものは、ここ数年連続で「計画外の IT・通信の途絶」となっている(注4)。もちろん調査対象が異なるので単純比較はできないが、Horizon Scan Reportではサイバー攻撃や停電などの外部要因が別の選択肢となっており、「変更管理」という選択肢はないので、「計画外のIT・通信の途絶」には「変更管理」によるものがある程度含まれていると思われる。

一方で図2は、自組織における管理策の成熟度を自己評価した結果をまとめたものである。横軸にある5つの観点について、それぞれ4段階評価したもので、業種別の平均が色分けして示されている。これを見ると右から2番目の「Change Management(変更管理)」に対する自己評価が他の観点に比べて概ね高めなのがわかる。図2は小規模事業者に関する集計結果だが、大規模事業者においても概ね高めであり、「Retail Lending(個人向け融資)」以外は 3.5〜3.8 くらいの間に収まっている(Retail Lending のみ 3.0)。

図2.管理策の成熟度の自己評価結果(小規模事業者)(出所)FCA / Cyber and Technology Resilience

このように、変更管理のための管理策を十分備えている(と認識されている)一方で、変更管理に伴うトラブルが多いというギャップがある。このあたりが変更管理を確実に実施することの難しさなのかもしれない。本連載においては世界の BCM 関係者が外部からのサイバー攻撃に関して最も驚異を感じているという状況をお伝えしてきたが、外部からの脅威だけでなく内部に起因するトラブルに関しても、あらためて脇を固めていかなければならないであろう。

■ 報告書本文の入手先(PDF14ページ/約0.9MB)
https://www.fca.org.uk/publication/research/technology-cyber-resilience-questionnaire-cross-sector-report.pdf

注1) https://www.bankofengland.co.uk/prudential-regulation/publication/2018/building-the-uk-financial-sectors-operational-resilience-discussion-paper

注2) BCIとは The Business Continuity Institute の略で、BCMの普及啓発を推進している国際的な非営利団体。1994年に設立され、英国を本拠地として、世界100カ国以上に8000名以上の会員を擁する。http://www.thebci.org/

注3) 本連載では2018年3月13日に2018年版を(http://www.risktaisaku.com/articles/-/5276)、また2017年2月27日には 2017年版を紹介させていただいた(http://www.risktaisaku.com/articles/-/2435)。また、かつて紙媒体の『リスク対策.com』2014年9月発行vol.45で、2014年4月に公開された2014年版を紹介させていただいた。

注4)Horizon Scan Reportにおいて、世界のBCM関係者が最も懸念しているのは「サイバー攻撃」であるが、一方で実際に最も多く経験したものは「計画外の IT・通信の途絶」である。

(了)