米国の金融規制当局:銀行に対して 36時間以内でのサイバー攻撃の報告を要求

US regulators order banks to report cyberattacks within 36 hours

2021/11/19 BleepingComputer — 米国の連邦銀行規制機関 (Federal Bank Regulatory Agencies) は、重大なコンピュータ・セキュリティ事件が発生した場合に、それぞれの銀行は 36時間以内に、主要な連邦規制機関に通知することを命じる新規則を承認した。この報告が求められるのは、重大なサイバー攻撃が、銀行業務/銀行商品/サービス提供能力/米国金融セクターの安定性などに対して、影響を与えている場合と、影響を与える可能性が高い場合にのみに限定される。

また、銀行に対してサービスを提供するプロバイダーには、サイバー攻撃が4時間以上にわたって顧客に重大な影響を与えた場合、または、影響を与える可能性が高い場合に、可能な限り早急に、その旨を顧客に通知する必要性が生じる。

この新ルールで報告が必要となるインシデントの例としては、銀行サービスを介した口座アクセスを妨害する、大規模な分散型サービス拒否攻撃や、銀行業務を長時間停止させるハッキング・インシデントなどが挙げられる。

なお、Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers では、「セキュリティ・インシデントとは、破壊的なマルウェアや悪意のソフトウェアによるサイバー攻撃だけではなく、ハードウェアやソフトウェアの悪意のない故障/人為的なミスなどの原因により発生する可能性がある。金融サービス業界を標的としたサイバー攻撃は、近年、その頻度と深刻さを増している。これらのサイバー攻撃は、銀行組織のネットワーク/データ/システムに悪影響をおよぼし、最終的には通常の業務を再開する能力にまで、影響をおよぼす可能性がある」と説明されている。

コンプライアンス遵守は 2022年5月までに

Federal Deposit Insurance Corporation (FDIC)/Board of Governors of the Federal Reserve System (Board)/Office of the Comptroller of the Currency (OCC) による最終規則は、2022年4月1日には発効され、完全なコンプライアンス遵守については、2022年5月1日までの猶予が提供される。

木曜日に、連邦預金保険公社 (FDIC) は、2022年初頭には、FDIC 通知に関するロジスティックを、監督下の機関に提供すると発表している。今回のサイバー攻撃報告規則は、米国の銀行や金融システムへの新たな脅威に対して、銀行監督者が認識を高めることを目的としている。これにより、連邦銀行監督機関は、増加/蓄積する脅威が全体におよぶ前に対応することが可能となる。

FDIC の Chairman である Jelena McWilliams は、「最終に定められた規則により、銀行監督機関が最も重要なサイバー攻撃の情報を、タイムリーに得られるようになる。その一方で、困難で時間のかかる不必要な報告義務を回避することも目的としている。そのため、最終規則では、通知要件を満たすためのインシデント評価を必要としない」と述べている。

また、今月に米国の議会では、ランサムウェア攻撃に対応する、金融機関のための rules of road を定める新法案 (Ransomware and Financial Stability Act) が提出された。この法案が成立すると、ランサムウェア攻撃の影響を受けた米国の金融機関は、財務省の金融犯罪執行ネットワーク (FinCEN) の長官に対して、攻撃の詳細と関連する身代金要求を通知することが義務づけられる。

10月27日に、「米国のランサムウェア報告法案:48時間以内に身代金支払い情報の提供を義務付ける」という記事をポストしましたが、金融に関しては、さらに厳しい要求が突きつけられるようです。その背景になると思われるトピックとしては、「金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大」や、「ランサムウェアによる損失がサイバー保険のコストを押し上げている」などがあります。また、カテゴリ Finance には、その他のトピックがまとまっています。よろしければ ど〜ぞ。

%d bloggers like this: