金融機関にとって、システムの安定稼働と情報セキュリティの確保は事業継続の生命線と言えます。2025年6月、金融庁は「金融分野におけるITレジリエンスに関する分析レポート(2024年度)」を公表しました。
このレポートでは、2024年度に報告された約1,800件のシステム障害をもとに、障害の傾向と原因、さらには金融機関が実施すべき対策やベストプラクティスを提示しています。
目次
システム障害の主因は「ソフトウェア障害」と「人的要因」
2024年度に発生した約1,800件の障害のうち、ソフトウェアの障害が36.5%、「管理・人的要因」が24.3%でした。

画像:金融庁
具体的には、クラウドストライクによるブルースクリーン問題などのセキュリティソフトの製品不具合による端末の停止や、データベースシステムと通信機器を接続するネットワークの冗長化構成の設定を誤って、全サービス・取引が停止したりマニュアルの不備により誤認や運用マニュアルの未整備による設定ミス、ファイル名の誤記入による情報漏洩といった事例が報告されています。
こうした障害は、日々の業務の中で誰にでも起こり得るミスが引き金となっています。人為的なミスや運用手順の不備は、どれだけ技術的に高度なシステムを導入していても完全には防げないため、ヒューマンエラーを前提とした多層的なリスク対策が必要です。
サイバー攻撃の高度化とTLPTの重要性
2024年度はサイバー攻撃による障害も複数確認されました。なかでも標的型メールによる不正ログイン、DDoS攻撃、Webサービスの脆弱性を突いた不正アクセスが注目されます。こうした攻撃は日々巧妙化しており、防御側の対応も高度なものが求められています。
金融庁は、
TLPT については、金融機関のサイバーセキュリティに関する意思決定や対策が現実の攻撃に対してどの程度有効かを第三者の視点から検証し、リスクを可視化する上で有効な手段であり、特に、大手金融機関、金
融市場インフラ、特定社会基盤事業者、地域社会・経済に重要な役割を果たす金融機関等に
おいて、実施することが望ましいものである。
と実際の攻撃を模した脅威ベースのペネトレーションテスト(TLPT)の導入を推奨しています。
TLPTとは、事前に想定した攻撃シナリオに基づき、実際の手法を用いて情報システムの脆弱性や業務プロセスの耐性を検証するものです。特に重要インフラと位置づけられる金融機関では、経営層が主導してTLPTを実施し、検証結果を経営判断に反映させることが求められます。
クラウド活用とサプライチェーンのリスク管理
パブリッククラウドの活用が拡大する中で、クラウド特有のリスクも顕在化しています。レポートでは、クラウドサービスを利用する際の主な留意点として、アクセス制御、ログ監視、通信の暗号化、クラウド事業者との契約内容の明確化などを挙げています。
特にレポートでは
障害発生時の状況把握パブリッククラウドサービスを利用する場合、金融機関は、障害対応に必要な情報をオンプレミスの場合と同程度に迅速に取得し、かつ、十分な情報を取扱い可能かについて、予め確認する。
としておりクラウドサービスでもオンプレと同様に能動的に速やかに情報収集する事が記載されています。
また、外部事業者への依存度が高まる中で、ベンダー管理や委託先のリスク評価の重要性も強調されました。サイバー攻撃の入口が自社ではなく委託先であるケースも多く報告されており、サードパーティリスクを自社リスクと捉えて対策を講じる必要があります。
実際、イセトー社のランサムウェアによるサイバー攻撃では同社へ業務を委託していた多数の金融機関の個人情報が漏洩しました。
オペレーショナル・レジリエンスの実践
2023年度から金融庁が進めているオペレーショナル・レジリエンス強化に向けた取組も紹介されています。これは「重要な業務をどのように継続させるか」に焦点をあて、BCP(事業継続計画)をより現実的・実践的に進化させた概念です。

画像:金融庁
たとえば、ある金融機関では、業務ごとの「耐性度」を設定し、システム障害や災害時にどの程度まで業務が止まっても影響が出ないかを定量的に評価していました。また、業務フローを可視化し、業務の代替手段を事前に定義しておくことで、障害発生時の即応性を高める取り組みも紹介されています。
一方で、多くの金融機関が業務の洗い出しや情報統合に苦労しており、全社的な横断的視点をもったレジリエンス強化が今後の課題とされています。
経営層の関与が鍵に
これらすべての施策に共通するのは、IT部門任せにせず、経営層が直接関与して判断とリソース投入を行うことの重要性です。サイバーリスクやシステム障害は、もはや情報システム部門だけの問題ではなく、企業価値やレピュテーションに直結する経営課題となっています。
金融庁は今回のレポートを通じて、金融機関に対し「自助・共助・公助」の考え方に基づく多層的なレジリエンス戦略の必要性を強調しています。つまり、自社で備える努力(自助)と、業界内や関係機関との連携(共助)、そして行政からの支援(公助)を有機的に組み合わせることで、持続可能な金融システムを築くというメッセージです。
参照








