2025年度当初予算
9,890万円
2024年度執行: 2.2億円
事業の目的・概要
事業の目的
金融分野のサイバーセキュリティ強化を通じて、金融サービス利用者の安全性や、我が国の金融システムの安定性を確保する。/サイバー攻撃が複雑化・巧妙化する中で、あらゆるサイバー攻撃を捕捉し、事前に防御することには限界がある。このため、サイバー攻撃に対する防御力の向上に加えて、攻撃を受けた際に的確な対応が行えるよう、サイバーセキュリティ演習を通じたインシデント対応能力を向上させることが重要である。/また、金融セクター全体のサイバーレジリエンス向上を図るべく、各金融機関に対するガイダンスの提供、公助の取組み(テストの機会及び参考情報の提供など)を深化させていく。
現状・課題
技術の発展や地政学リスクの高まりを背景に、近年サイバーセキュリティに関するリスクが顕著に増大している。例えば、外部委託先を含むサプライチェーンの弱点を悪用した攻撃により金融機関でも被害が発生しているほか、国家等が関与・支援している主体によるとみられる高度なサイバー攻撃が出現しており、こうしたサイバー攻撃の脅威は、金融システムの安定に影響を及ぼしかねない大きなリスクとなっている。/また、このような増大する脅威に追いつけていない金融機関も存在し、潜在的なシステミックリスクが高まっている状況である。/このため、金融業界全体のインシデント対応能力の更なる向上、及び金融システムの安定性向上を目的に、金融業界横断的なサイバーセキュリティ演習のほか、外部委託先やサプライチェーンのサイバーリスク管理上参考となる情報の提供等を実施する必要がある。
事業の概要
〇 サイバー攻撃を受けた際の金融機関内・金融業界内の対応態勢及び官民の連携体制の確認等を目的に、「金融業界横断的なサイバーセキュリティ演習(Delta Wall)」を実施する(事業概要URL参照)。/〇金融機関のITシステムや業務に関する外部委託先やサプライチェーンのサイバーリスク管理上参考となる情報を提供する。/〇金融機関に対し、サイバー攻撃を再現してセキュリティの検証を行うテストを実施し、判明した脆弱性への対策を求めることで、サイバーリスクの低減を図る。/〇量子コンピュータの進展により既存暗号技術の安全性が脅かされる中、金融システムの信頼性を維持するため、金融機関における耐量子計算機暗号(PQC)への円滑な移行を促進する。
予算・執行の年度推移
| 年度 | 当初予算 | 執行額 |
|---|---|---|
| 2025年度(当年度) | 9,890万円 | - |
| 2024年度 | 8,710万円 | 2.2億円 |
| 2023年度 | 9,050万円 | 8,620万円 |
| 2022年度 | 8,520万円 | 7,480万円 |
| 2021年度 | 7,620万円 | 5,640万円 |
執行率は当初予算ではなく、歳出予算現額合計を分母として算出しています。
2024年度実績支出先・契約情報
お金の流れ(ノード図)
支出先詳細
直接ブロック A日本ビジネスシステムズ株式会社
1.5億円
TLPT実証事業の企画・運営業務
日本ビジネスシステムズ株式会社
直接ブロック B株式会社エヌ・ティ・ティ・データ経営研究所
6,600万円
サイバー演習の企画・運営業務
株式会社エヌ・ティ・ティ・データ経営研究所
直接ブロック C伊藤忠テクノソリューションズ株式会社
150万円
サイバーセキュリティリスク評価ツールのライセンス購入
伊藤忠テクノソリューションズ株式会社
直接ブロック Dグローバルセキュリティエキスパート株式会社ほか
100万円
外部研修等の受講
グローバルセキュリティエキスパート株式会社
NECビジネスインテリジェンス株式会社
エディフィストラーニング株式会社
一般社団法人金融ISAC
点検・評価コメント
行政事業レビュー推進チームの所見
○ 引き続き競争性の確保に留意した調達を行い、適切な予算執行に努めること。○外部有識者の所見を踏まえ、適切な目標設定を検討していくこと。
事業所管部局による点検・改善
サイバーセキュリティ演習について、継続的に演習手法の高度化を図りつつ(例えば、令和6年度の演習においては、預金取扱金融機関に対してブラインド方式にて実施した)、金融業界に対する演習参加の重要性の啓発等により目標を上回る参加金融機関数を確保している。また、演習に参加した金融機関に振り返り研修を行い、好事例の還元や質疑応答にも対応することで、金融機関のインシデント対応能力強化に貢献している。TLPTについては、本テスト実施先のサイバーレジリエンス向上に寄与しているとともに、当庁がサイバーセキュリティに関するモニタリングを行ううえで必要な示唆が得られている。いずれの取組みについても、競争入札により委託事業者の競争性を確保しており、予算は適切に執行されている。
改善の方向性
サイバーセキュリティ演習について、改善の余地が大きい業態や高リスクな業態に合わせたシナリオを用意し、より多くの金融機関の参加を促進する。また、複数の金融機関への影響が波及するようなシナリオを用いることにより、個別金融機関の対応能力の向上に加えて、金融システム全体のインシデント対応能力の向上を図る。TLPTについては、テストの結果多くの金融機関で認められた脆弱性及び教訓や、TLPT実施に資する推奨事項も同業態全体に還元することで、金融機関全体のサイバーセキュリティ強化を図り、TLPT実施の障壁を下げる。また、公正性・公平性の観点を確保しつつ、入札の可能な委託事業者の参加を促すため、演習の目的・実施内容等に関する事前の打合せを行い、競争参加者の発掘に努める。
外部有識者による点検
○サイバーセキュリティ演習の効果をアウトカムにすることを検討してはどうか。○サイバーセキュリティ演習の参加金融機関を増やすことは予算の制約上困難であることは理解できるが、金融機関団体が主催する演習との分担も含めて、より多くの金融機関が参加できる方法を検討してはどうか。
所見を踏まえた改善点・反映状況
〇演習の効果は各金融機関のレジリエンス強化によってもたらされるものであること、またなるべく未参加の金融機関を優先的に参加いただくことを慫慂しており毎回異なる金融機関が参加することから、演習において客観的・網羅的な測定が行えず、効果をアウトカムにすることは困難であるが、どのようなアウトカムを設定することが適切か中長期的な課題として検討を継続する。〇改善の方向性に記載した、サイバーセキュリティ演習の金融システム全体のインシデント対応能力向上を図るための演習シナリオの工夫や、入札等への競争参加者の発掘等を引き続き実施する。
成果指標・目標値・実績値
実証実験により対象金融機関内の一部のシステムのクリプト・インベントリを作成する。
測定指標:クリプト・インベントリ一部作成済の金融機関数[単位: 社]
年度別データを表示(2025〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2025年度 | 15.0 | - | - |
金融業界横断的なサイバーセキュリティ演習に参加した金融機関数の増加
測定指標:演習に参加した金融機関数[単位: 社]
年度別データを表示(2021〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2021年度 | 120.0 | 150.0 | 125.0 |
| 2022年度 | 150.0 | 160.0 | 106.66667 |
| 2023年度 | 160.0 | 165.0 | 103.125 |
| 2024年度 | 165.0 | 170.0 | 103.0303 |
| 2025年度 | 170.0 | - | - |
金融セクター全体のサイバーレジリエンス向上
測定指標:金融機関によるサイバー攻撃への対応能力の強化
定量的な目標値・実績値は確認できません
金融業界横断的なサイバーセキュリティ演習の実施
測定指標:金融業界横断的なサイバーセキュリティ演習の実施件数[単位: 件数]
年度別データを表示(2021〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2021年度 | 1.0 | 1.0 | 100.0 |
| 2022年度 | 1.0 | 1.0 | 100.0 |
| 2023年度 | 1.0 | 1.0 | 100.0 |
| 2024年度 | 1.0 | 1.0 | 100.0 |
| 2025年度 | 1.0 | - | - |
金融機関に対する攻撃者目線での侵入テストを実施し、結果を実施した金融機関へ還元する。また、本テスト実施先のサイバーレジリエンスの強化のみならず、対象の業態に共通する脅威インテリジェンスを抽出し、同業態全体に還元することで、TLPT(※)実施の障壁を下げるとともに、TLPTの結果判明した脆弱性及び教訓のうち、よく認められるものを抽出し、同業態全体に還元する。※TLPT(脅威ベースのペネトレーションテスト):自組織が抱えるリスクを個別具体的に分析した上で、攻撃者が採用する戦術、手法を再現し疑似的な攻撃を仕掛けることで、侵入・改ざんの可否や検知の可否、対応の迅速性・適切性を検証する、より実践的なテスト
測定指標:2024年度:地域金融機関に対する攻撃者目線での侵入テスト及び結果還元の回数2025年度:暗号資産交換業者に対する攻撃者目線での侵入テスト及び結果還元の回数[単位: 回]
年度別データを表示(2024〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2024年度 | 1.0 | 1.0 | 100.0 |
| 2025年度 | 1.0 | - | - |
金融機関のITシステムや業務に関する外部委託先やサプライチェーンのサイバーリスク管理上参考となる情報を提供する。
測定指標:金融機関のITシステムや業務に関する外部委託先やサプライチェーンのサイバーリスク管理上参考となる情報の提供回数[単位: 回]
年度別データを表示(2024〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2024年度 | 0.0 | - | - |
| 2025年度 | 1.0 | - | - |
金融機関が保有するシステムの一部についてクリプト・インベントリ(※)の作成支援を伴走型実証実験で実施することにより、現場の人材育成を図るとともに、今後、各金融機関が自らインベントリ作成に取り組むための知見の蓄積と体制の構築を支援する。クリプト・インベントリ作成プロセスに関する知見を整理し、実験に参加しなかった金融機関でも自らのPQC対応に活用可能なレポートを作成し、金融庁のHPにて公表・還元する。※クリプト・インベントリ:組織内の暗号アルゴリズムの使用状況に関する情報を収録・管理するための情報を一覧化したもの
測定指標:複数の金融機関に対するクリプト・インベントリ作成支援の実施及びレポートの作成・公表[単位: 回]
年度別データを表示(2025〜2025年度)
| 年度 | 目標値 | 実績値 | 達成率 |
|---|---|---|---|
| 2025年度 | 1.0 | - | - |
※ アクティビティ(活動の記述)4件は省略しています
費目・使途の内訳(補足情報)
費目・使途はCSV5-3由来の補足情報です。金額は契約内の支出の内訳であり、上記の2024年度執行額(CSV2)とは集計対象・範囲が異なります。事業全体の執行額の計算には使用しないでください。
日本ビジネスシステムズ株式会社
TLPT実証事業の企画・運営業務
1.5億円1費目 ▾
日本ビジネスシステムズ株式会社
TLPT実証事業の企画・運営業務
| 費目 | 金額 |
|---|---|
| 委託費 | 1.5億円 |
株式会社エヌ・ティ・ティ・データ経営研究所
サイバー演習の企画・運営業務
6,600万円1費目 ▾
株式会社エヌ・ティ・ティ・データ経営研究所
サイバー演習の企画・運営業務
| 費目 | 金額 |
|---|---|
| 委託費 | 6,600万円 |
伊藤忠テクノソリューションズ株式会社
サイバーセキュリティリスク評価ツールのライセンス購入
150万円1費目 ▾
伊藤忠テクノソリューションズ株式会社
サイバーセキュリティリスク評価ツールのライセンス購入
| 費目 | 金額 |
|---|---|
| 物品購入費 | 150万円 |
グローバルセキュリティエキスパート株式会社
外部研修等の受講
40万円1費目 ▾
グローバルセキュリティエキスパート株式会社
外部研修等の受講
| 費目 | 金額 |
|---|---|
| 役務費 | 40万円 |
この事業についての議論
すべて見るデータ注記
本データは内閣府「行政事業レビュー」公開CSVから抽出・整理したものです。 金額は記載値(円)を百万円に換算して表示しています。支出先情報は主に2024年度実績支出として表示し、上位30件を表示しています。