MaRisk の主な構成要素には、リスク戦略、リスクの特定、リスクの測定と評価、リスクの制限と監視、リスクの報告、内部統制システム、内部監査などがあります。
リスク管理は、金融犯罪の緩和とデータ保護の重要な側面です。BaFin は、リスク管理、事業継続性、アウトソーシングのリスク軽減、規制当局との連携、データ管理、データセキュリティ、機密性について重点的に監督を行う、ドイツ金融業界全体を統括する監督機関です。MaRisk(Mindestanforderungen an das Risikomanagement、日本訳:リスク管理の最小要件)は、リスク管理コンプライアンスの最小要件を定めた BaFin のイニシアチブです。
MaRisk は、ドイツ銀行法(Kreditwesengesetz、KWG)第 25a 条 1 項(「特別な組織上の義務:規則設定権」)に基づいています。第 25a 条は、金融サービス業界の対象機関において期待される内部ガバナンス構造について概要を示した指令 2013/36/EU 第 88 条に関連しています。
MaRisk 準拠とは
MaRisk は、ドイツで金融ビジネスを実施するための枠組みとなる規制文書です。ドイツの金融機関(FI)は国際的に業務を行っているため、ドイツ、ひいては世界全体における金融業界の活動のリスクを低減することを主眼としています。
MaRisk は、ドイツの金融システムが安全かつセキュアに機能するとともに、完全性を保てるようにするための指針です。これは行政監督に関する規制で、 バーゼル III の第 2 の柱に該当する銀行に対する「監督上の検証・評価プロセス(SREP)」としての役割を果たします。
MaRisk は、内部リスク管理のうちの金融リスク、およびアウトソーシングのリスクの分野を対象とする包括的な枠組みです。銀行、保険会社、証券会社など、対象となる機関は BaFin の監督下に置かれます。
Akamai による組織の MaRisk への準拠の支援方法
MaRisk は、金融機関による活動のリスクを軽減するための包括的な枠組みです。このリスク軽減には、環境をマルウェア、フィッシング、不正アクセスから保護することも含まれます。Akamai のセキュリティソリューションは、金融データを漏えいや偶発的な暴露から保護するためのインテリジェンスとエンドツーエンドの保護を提供し、MaRisk のサイバーセキュリティ制御の枠組みに従うことで、リスクを最小限に抑えます。Akamai のセキュリティプラットフォームは、サプライチェーン全体のデータ保護にゼロトラストの原則を適用するために必要となる、動的なセキュリティの仕組みを提供します。Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供してデータのセキュリティとプライバシーを保護することで、セキュリティチームがセキュリティ投資の効果と ROI を最大限に高められるよう支援します。
Akamai は、以下の 3 点を提供します。
- ゼロトラスト・セキュリティを実行し、IT 環境、IoT 環境、OT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム
- 資産、アクセス、ネットワークフローの詳細な可視性
- セキュリティポリシーの緻密な適用
MaRisk の歴史
MaRisk は、2005 年 12 月に初めて公表されました。バーゼル銀行監督委員会が銀行の監督について定めた枠組みであるバーゼル II に基づき策定されたものです。ドイツ銀行法(Kreditwesengesetz、KWG)第 25a 条 1 項および MaRisk には、バーゼル II およびバーゼル III の原則が反映されています。
MaRisk は、BaFin のイニシアチブで、かつて複数存在したリスク管理の枠組みを 1 つの包括的な枠組みとして統合したものです。さらに、BaFin は、こうしたよりニッチな枠組みを最新化するために MaRisk を作成し、バーゼル II や銀行指令の規定を取り入れました。
2005 年以降、いくつかの修正と新たな要件が追加されました。以下に最近行われた 3 点の変更内容を示します。
- リスクデータの集約に関する技術的要件、および一元的アウトソーシング管理システムに関する新たな要件を含むアウトソーシングのリスクに重点を置いた更新(MaRisk の 2017 年の修正)。
- いくつかの ICT サイバーセキュリティリスクを含む EBA ガイドラインに沿った MaRisk の修正(MaRisk の 2021 年の修正)。
一般リスク管理枠組みへの ESG リスク管理要件の統合。 EBA ガイドラインに従った、MaRisk の貸出および信用監視要件への中小規模の銀行および金融機関の組み込み(MaRisk の 2022 年の修正:MaRisk の最新の第 7 版)
MaRisk とリスクを管理したアウトソーシング
MaRisk に厳格なアウトソーシングリスク管理要件が組み込まれた主な要因は、サプライチェーン攻撃とデータリスクです。MaRisk(リスク管理の最小要件)の第 9 条「アウトソーシング」では、金融機関がドイツ銀行法(Kreditwesengesetz)第 25b 条のアウトソーシング規制要件に従うためのガイダンスを提供しています。ドイツ銀行法では、金融機関がプロジェクトやタスクをアウトソーシングする際に、リスク回避のための「合理的な予防措置」を講じることを求めています。
MaRisk に準拠することが求められる組織の種類
金融業界におけるリスクはかつてなく高まっています。リスクにまつわる懸念が増していることは、 イングランド銀行の調査からも明らかです。この調査によると、回答者の 79% が、英国の金融システムにおいて最も懸念されるリスクとしてサイバー攻撃を挙げています。MaRisk は、銀行業界や関連会社が業務のリスクを軽減するための枠組みを提供することで、これを是正しようと努めています。
銀行と MaRisk
近年、ドイツの銀行では重大なデータ漏えい事件が発生しています。たとえば、2022 年に発生した ドイツ銀行を標的としたサイバー攻撃では、60 GB もの顧客データが盗み出されました。銀行およびその他の金融機関は、ドイツ銀行法、BaFin、MaRisk の規制の対象となります。MaRisk では、「金融機関における IT の監督要件」という文書に、銀行の IT セキュリティ要件を満たすために必要な対策が定められています。さらに、MaRisk ではドイツの銀行にデータフローの保護を義務付けています。最近の修正では、「ホームトレード」に対するセキュリティの追加が規制に組み込まれ、データの機密性を保証するために最低限の IT セキュリティ基準を導入することを義務付けています。ゼロトラストの最小権限の原則により、ホームオフィスを含むすべての場所からのアクセスに制御を適用できます。
銀行に対するクラウド・サービス・サプライヤー
ドイツの銀行業界に対するクラウド・サービス・プロバイダーのサプライチェーンは、MaRisk 規制の対象となります。クラウド・サービス・プロバイダーは、顧客(銀行またはその他の金融機関)がコンプライアンスに準拠したリスク管理を導入できるよう、IT 監督要件に従う必要があります。リスク評価では、情報リスク管理、情報セキュリティ、緊急対応策が実施されており、MaRisk ならびに関連する BAIT および BaFin が定める規制に準拠していることを実証する必要があります。クラウドおよび IT サービスプロバイダーが顧客と契約を締結する際には、通常このような評価を実施します。クラウド・サービス・プロバイダーは、分散サービスアーキテクチャ全体で堅牢なアクセス制御を実現するゼロトラストのアプローチを検討することが重要です。
MaRisk と BAIT
金融機関は、MaRisk、BAIT、およびその他の BaFin のイニシアチブにより定められた包括的なリスク管理規制を遵守する必要があります。BaFin は、これらの枠組みに基づき、金融業界のリスクを管理する役割を果たします。
MaRisk の要素をもとに策定されたのが、金融機関における IT の監督要件(Bankaufsichtliche Anforderungen an die IT、BAIT)の規制です。BAIT では、金融業界の IT システムにおける適切な技術的および組織的リソースについて、特に情報セキュリティと危機管理計画について、その概要を定めています。BAIT は、2021 年に MaRisk 第 6 版とともに更新されました。
BAIT におけるコンプライアンスには、2020 年発効の ICT およびセキュリティリスクの管理に関する EBA ガイドライン(EBA/GL/2019/04)の要件が組み込まれています。EBA ガイドラインは、金融機関に対するサイバー脅威の量、複雑さ、レベルの増加に対応したガイドラインです。また、EBA ガイドラインの更新版では、銀行間の相互接続性も考慮されています。
更新された BAIT には、以下の 2 つの領域が新たに組み込まれました。
- 運用情報セキュリティ:情報セキュリティの監視と管理の要件
- IT サービス継続性管理:MaRisk 第 7.3 条に準拠した事業継続性管理の最小要件
MaRisk 第 7.3 条「事業継続性管理」には、サイバー攻撃による IT システムの障害が含まれます。
BaFin は、EBA、BAIT、および MaRisk のそれぞれの要件で関連性が保たれるよう調整する役割を果たします。たとえば、拡張された MaRisk の最新版には、アウトソーシングに関するガイダンスが組み込まれました。そのため、ICT のリスク管理も、金融業界のサプライ・チェーン・ベンダーにまで拡張して適用されます。
MaRisk コンプライアンスを実現するために役立つ Akamai ソリューション
ドイツの BaFin の規制は、IT システムやデータの保護など、多くの分野で重複しています。リスク管理は堅牢なサイバーセキュリティの中心的な柱です。金融インフラや金融データのリスクを管理するためには、安全な金融システムの維持が不可欠です。Akamai の不正防止、規制テスト、およびセキュリティソリューションのスイートには、MaRisk コンプライアンスに準拠するためのツールが用意されています。Akamai の受賞歴を誇るセキュリティ・ソリューション・スイートには、以下が含まれています。
- アプリケーションと API の保護:DDoS を防止し、資産を保護します。
- Akamai Account Protector:高度な機械学習、ふるまい分析、レピュテーションヒューリスティックに基づいて、人間の不正な活動やアカウントの乗っ取りをプロアクティブに特定し、ブロックします。
- アクセスと認可:ゼロトラスト・アーキテクチャにより、コンプライアンスを簡素化します。
よくある質問(FAQ)
MaRisk(リスク管理の最低要件)は、ドイツ連邦金融監督庁(BaFin)が公表している必須要件であり、ドイツの金融機関が遭遇するあらゆる重大なリスクを管理するための枠組みです。
ドイツの銀行および金融機関(信用機関を含む)はすべて、MaRisk に準拠する必要があります。MaRisk は、クラウド・サービス・プロバイダーやその他の IT サプライヤーにも間接的に影響を与えます。
Akamai が選ばれる理由
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。