金融業界におけるリスクはかつてなく高まっています。リスクにまつわる懸念が増していることは、 イングランド銀行の調査からも明らかです。この調査によると、回答者の 79% が、英国の金融システムにおいて最も懸念されるリスクとしてサイバー攻撃を挙げています。MaRisk は、銀行業界や関連会社が業務のリスクを軽減するための枠組みを提供することで、これを是正しようと努めています。

銀行と MaRisk

近年、ドイツの銀行では重大なデータ漏えい事件が発生しています。たとえば、2022 年に発生した ドイツ銀行を標的としたサイバー攻撃では、60 GB もの顧客データが盗み出されました。銀行およびその他の金融機関は、ドイツ銀行法、BaFin、MaRisk の規制の対象となります。MaRisk では、「金融機関における IT の監督要件」という文書に、銀行の IT セキュリティ要件を満たすために必要な対策が定められています。さらに、MaRisk ではドイツの銀行にデータフローの保護を義務付けています。最近の修正では、「ホームトレード」に対するセキュリティの追加が規制に組み込まれ、データの機密性を保証するために最低限の IT セキュリティ基準を導入することを義務付けています。ゼロトラストの最小権限の原則により、ホームオフィスを含むすべての場所からのアクセスに制御を適用できます。

銀行に対するクラウド・サービス・サプライヤー

ドイツの銀行業界に対するクラウド・サービス・プロバイダーのサプライチェーンは、MaRisk 規制の対象となります。クラウド・サービス・プロバイダーは、顧客（銀行またはその他の金融機関）がコンプライアンスに準拠したリスク管理を導入できるよう、IT 監督要件に従う必要があります。リスク評価では、情報リスク管理、情報セキュリティ、緊急対応策が実施されており、MaRisk ならびに関連する BAIT および BaFin が定める規制に準拠していることを実証する必要があります。クラウドおよび IT サービスプロバイダーが顧客と契約を締結する際には、通常このような評価を実施します。クラウド・サービス・プロバイダーは、分散サービスアーキテクチャ全体で堅牢なアクセス制御を実現するゼロトラストのアプローチを検討することが重要です。