あなたのお金を守る組織について不安ですか? 英国の2025年年次サイバーセキュリティレビューは、不安になるべきだと示唆しています。長年にわたる規制にもかかわらず、金融機関は基本的なサイバーセキュリティ上の安全策をなおも見落とし続けています。
最新の調査結果は、健全性規制機構(Prudential Regulation Authority)、金融行為規制機構(Financial Conduct Authority)、およびイングランド銀行の代表者が共同執筆したCBEST報告書によるものです。
2025年に実施された13件のCBEST評価と、規制当局が支援する金融事業者向けペネトレーションテストの主要な所見を踏まえ、BoEは、アクセス制御の不備やパスワードの弱さといった脆弱性が、企業および金融市場インフラ(FMI)に共通して見られることを明らかにしました。
技術的観点では、設定ミスや一貫性のないパッチ適用が繰り返しの問題として指摘され、潜在的な侵入や脆弱性を検知する仕組みも同様に課題として挙げられました。
報告書は次のように述べています。「一部の攻撃者は高度化していることを踏まえると、企業およびFMIは、防御的な制御のみに依存するのではなく、侵害が発生した場合にそれを効果的に処理できるよう備えておくことが重要である。
「技術的対策に加えて、私たちは職員の文化、認識、訓練における課題も引き続き観察しており、技術的対策だけでは十分ではないことが浮き彫りになっている。」
CBEST評価では、ソーシャルエンジニアリング戦術を用いる犯罪者が、セキュリティ文化の弱い組織を標的にした場合、制御を回避できることが明らかになりました。評価者は、場合によってはフィッシングが成功し得ること、また職員がソーシャルメディアや職務記述書を通じて機微情報を漏らすことも現実的に起こり得ると考えています。
発信者の身元確認など、ヘルプデスクに厳格な手順を設けていないFMIも、正規の認証情報を不正に入手した攻撃者に対して脆弱でした。
NCSCもこの問題に言及し、こうした攻撃はScattered Spiderのようなグループにとって日常茶飯事だと述べました。同グループは英語を母語とする話者で構成されていると考えられており、サイバー捜査当局は、昨年の英国企業に対する注目度の高い攻撃の少なくとも一部の背後にいると推測しています。
「彼らは、組織内で確立された信頼を悪用するために、フィッシングやスピアフィッシングを用いることで知られている」とNCSCは述べました。「したがって、組織内のすべての人が、起こり得る手口を認識し、こうした試みに対抗する方法を理解していることが重要である。」
ソーシャルエンジニアリング攻撃は、2025年のCBEST評価における数少ない重点領域の一つであり、FMIに対して最も深刻で現実的な脅威をシミュレートすることが求められています。
規制対象の金融機関が試験された他の攻撃タイプには、高度で国家支援のグループによるもの、侵害された第三者やサプライチェーン、そして悪意ある内部者が含まれていました。
これら4つのテーマはいずれも、年間を通じて現実世界の攻撃で頻繁に観測されました。関係機関は、規制対象事業体がそれらに対するレジリエンスを向上させる必要があると述べました。
2025年の評価結果を過去の年と比較すると、興味深い(とはいえ驚きはない)内容になります。
過去12か月の評価で強調された主要な弱点の多くは、以前からの主要課題でもありました。
脆弱な設定、過度に許容的なアクセス制御、効果の薄いネットワークおよび脆弱性監視、そしてソーシャルエンジニアリングやフィッシングに影響を受けやすい職員は、2023年および2024年のBoE報告書にも共通して見られる特徴でした。
とはいえ、悪いことばかりではありません。CBEST評価者は、組織およびFMIが「サイバー脅威インテリジェンス(CTI)管理の各領域において、さまざまな成熟度を示した」と見出しました。
評価対象の組織の大半は、CTIの運用モデル全体にわたって「比較的有効な基盤」を有すると判断されましたが、報告書によれば、そのインテリジェンスは事業全体に十分統合されていないことが多いとされています。
さらに、過去数年に特定された主要な弱点の多くが2025年になっても未解決のままである一方で、MFAのように改善が見られる点もあります。
2023年および2024年の報告書では、組織が効果的なMFAプログラムの展開に苦戦しているとされていましたが、最新の年次レビューでは、この制御は主要な失敗と並べて言及されていませんでした。
CBEST評価の目的は、サイバーセキュリティ面で既に最も厳しく規制されている部類に入る金融セクターに対し、新たな規制要件を導入することではありません。
BoEは、これらの評価は、成功するサイバー攻撃につながりやすい最も一般的なセキュリティギャップと、それによって生じ得る損害を伴う結果を、すべての規制対象事業体が理解するための指針となると述べています。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/financial_sector_cyber_gap/
