Saudi Arabian Monetary Authority (SAMA) サイバーセキュリティフレームワーク - 完全ガイド

SAMAとは何か：知っておくべき全て

SAMAはSaudi Arabian Monetary Authorityの略です。

Saudiの中央銀行は1952年に設立され、国内の商業発展の規制に注力していました。金融専用組織の運営状況を調査し、政府の銀行関連業務の監視、国の通貨発行・管理、外国為替準備のチェックを行っていました。

当局は、銀行や金融業務に対するサイバー脅威が急速に増加していると認識し、そのため全ての関係者向けにデジタルセキュリティの手法を構築しました。

SAMAは、SAMAの規制対象となる機関向けに2017年に設立され、サイバー脅威を早期かつ正確に識別し、その拡散を抑えるための適切な指針を提供することを目的としています。

SAMAはリスク中心の手法であり、採用者が従うべき主要なセキュリティ義務や制御項目が多数定められています。

もし機関がSAMAの提案に沿わない場合、法的なリスク承認をSAMAに提出する必要があり、これによりSAMAはメンバー事業のセキュリティ成熟度を判断します。

本フレームワークの基盤は、ISO、PCI、NIST、BASEL、ISFで構成され、レビュー、メンテナンス、更新の権利は全てSAMAに留保されています。

SAMAの目的

本フレームワークは、SAMA規制下の金融機関がサイバーリスクを早期に識別し、対処できるかどうかを確認することを根幹としています。

SAMAは、重要なデータや情報を守るため、メンバー各社が考慮すべきサイバーリスク管理プロセスの全側面を丁寧にカバーしています。

その実施はSAMAメンバーにとって必須であり、

• 有効なサイバーリスク管理手法を採用できる
• 明確な成熟度レベルを把握できる
• 早期にデジタルリスクを管理し、被害を抑制できる

SAMAの目的は、金融機関が利用する電子・デジタルデータ、各種物理情報、全てのアプリ、電子機器、データベース、ソフトウェア、コンピュータ機器、データ記憶装置、及び技術インフラ全般の資産を守るために定義されています。

SAMAサイバーセキュリティ成熟度レベル

SAMAは、メンバー各社に現状のセキュリティ成熟度に応じた一定のセキュリティ制御の採用を求めており、その測定にはSAMA CSFがあらかじめ定めたモデルを参照します。

そのモデルによれば、以下の表で説明する6つの成熟度レベルがあります。

SAMAは、このセキュリティ成熟度により、設立間もない金融機関の主要リスクに対処し、被害を抑えることを目指しています。レベル3以上を目指す場合、前段階のレベルを全て達成することが必要です。

最初の3つの成熟度レベルは、十分な制御が存在しないことを示しています。信頼できる組織と呼ばれるためには、最低レベル3以上で運用する必要があります。

最低許容される成熟度であるレベル3では、メンバーとその取締役会が全面的に承認した必須のサイバーセキュリティポリシーを保有し、その目的が全員に明示されている必要があります。

従業員、顧客、及び第三者ベンダーは、受け入れ可能なポリシーについて十分に認識すべきです。

レベル4では、現行のセキュリティ制御の有用性を検証することに重点が置かれ、最新の脅威に対応すべく旧式の対策では十分な保護が得られないため、組織が制御の評価にどれだけ努めているかが問われます。

最後に、レベル5は実施・評価済みの制御の継続的改善に焦点を当て、リスク管理とセキュリティ制御が一体となり定期的に監視されることを求めています.

制御ドメイン

SAMAの基盤は4つのドメインに分かれており、さらに複数のサブドメインに区分されます。各サブドメインは特定のテーマや課題に焦点を当て、主に以下の3点が挙げられます。

• そのセキュリティ制御の存在理由となる原則
• 原則の目的と、当該制御が目指すもの
• 各ドメインで必ず考慮すべきセキュリティ制御（通常、4段階のレベルがある）

続いて、SAMAフレームワークの制御ドメインについて詳しく説明します.

1. サイバーセキュリティのリーダーシップとガバナンス

メンバーの統括機関は、強固なサイバーセキュリティ体制を守る責任を担い、その責任は適切に構成されたセキュリティ委員会に委ねることができます.

この委員会の役割は、どのガバナンス基準がサイバーセキュリティの見直しに適しているかを示し、メンバーに明確な基準を提供することです.

さらに、委員会はサイバーセキュリティポリシーの策定や、CSCの効果を高める運用手法の検討も担います.

適用されるサイバーセキュリティポリシーを設計・維持・管理するための独立した部門の設置は必須です.

ガバナンスにおいて、SAMAはサイバーセキュリティの統括構造が取締役会の権限下にあることを求め、主要なセキュリティ委員会の代表参加、定期的な内部監査、サイバーセキュリティ憲章の策定、及び委員会の目的の明確化などの制御が重要視されます.

2. サイバーリスク管理とコンプライアンス

メンバーは、サイバーリスクへの対策は継続的な取り組みであり、リスクの早期識別、監視、分析を中心とする必要があることを理解しなければなりません。SAMAは関係当局に対し、以下に重点を置くよう指示しています.

• 脅威やリスクの早期識別または予測を行う
• サイバーセキュリティリスクの発生確率を見極める
• 定期的なリスク分析を実施する
• 有効かつ成果重視の対応策を策定する
• リスク対応の定期的監視とCSCの効果分析を行う
• 定義されたCSC（サイバーセキュリティ制御）を遵守する

SAMAによれば、リスク管理の手続きは明確に定義・設計され、承認の上で実施されるべきであり、その目的はメンバー企業の重要情報の完全性と機密性を守ることにあります.

コンプライアンスに関しては、リスク管理の各プロセスはSAMAメンバー企業により設計され、その影響が関係者に伝えられる必要があります。定期的に実施されるリスクコンプライアンスプロセスは、サイバーセキュリティポリシーの更新において重要な役割を果たします.

国際的に認められた基準の遵守は欠かせず、ここで注目すべきコンプライアンスにはPCI-DSS、SWIFTカスタマーセキュリティ制御フレームワーク、及びEMV技術標準が含まれます.

3. サイバーセキュリティ運用と技術

SAMAは、メンバー企業に自社、従業員、第三者ベンダー、及び全メンバーの主要業務と技術を守るよう求めています.

業務で利用する技術が脅威をもたらさないよう、明確かつ向上されたCSCを整備することが重要です。サイバーセキュリティの要件は人事プロセスから浸透させる必要があります.

メンバー企業の従業員は、初期段階で精査され、採用から退職まで適切な対策が講じられていることを確認すべきです.

SAMAでは、物理資産が各種脅威から遠ざけられるよう、堅固な物理セキュリティ対策を講じる必要があるとしています.

メンバーの物理資産への不正アクセスを防ぐため、十分なセキュリティ制御が整備されるべきです。SAMAが推奨する対策としては、高度な監視ツールの活用、データセンターの保護、先進的な環境保護対策、データアクセスの監視、及び既存アクセス制御の分析が挙げられます.

SAMAはアプリのセキュリティについても対象とし、金融機関が使用する全アプリ・ソフトウェアは、有効なSDLCアプローチと安全なコード基準を採用する必要があります。また、IDおよびアクセス管理にも十分な注意が払われ、アクセス制御、ユーザーアクセス管理、及び要求管理は定期的に監視・規制されるべきです.

これがこのドメインでカバーする全てではなく、以下の画像が理解の助けとなります.

4. 第三者サイバーセキュリティ

この制御ドメインは、第三者サービスとそのセキュリティ制御に焦点を当てています。メンバー企業は、第三者リソースが安全でサイバー脅威から守られていることを特に重視し、以下の対策を講じることが求められます.

• 調達プロセスにリスク評価を含める
• 明確なセキュリティ要件を設定する
• 第三者ベンダーのセキュリティ制御をテストする
• ベンダーが最良の制御に従わない場合、契約を解除する
• 技術や人材の外部委託時にSAMAのアウトソーシング制御を遵守する
• クラウドサービスや施設利用前にSAMAの承認を得る
• 選定したクラウドサービスがデータを個人利用に使用しないことを確認する
• メンバー企業に契約解除権を付与する
• クラウドプロバイダーに対して定期的にサイバーセキュリティ監査を実施する

総じて、SAMAは第三者ベンダー、請負業者、及びその他の外部リソースに関する広範なセキュリティ制御をカバーしています.

‍

結論

すべての金融機関にとって、堅固なサイバーセキュリティ体制を守ることは不可欠です。脆弱性の初期兆候を見逃すと、将来大きな被害につながる可能性があります。SAMAサイバーセキュリティフレームワークは、全メンバーに対して標準化されたCSCとプロセスを提供します.

セキュリティ成熟度、サイバーリスク、及び対策を詳細に説明することで、金融機関が潜在的な脅威に迅速に対応できるようになり、このフレームワークは最新技術の採用を支援するため、サウジアラビアの金融機関のセキュリティ体制向上に寄与するでしょう.