CRI年次総会とは?
CRI年次総会では、米国の規制当局やCRIのメンバーである大手金融機関、ベンダーが集まり、CRI Profileに関する「各種規制の関係性」「活用事例」「今後の展望」などについて議論しています。また、今後のビジネス、ひいては金融・セキュリティ業界の発展に寄与する各組織間のネットワークを形成する機会を提供しています。
CRI年次総会の会場の様子
2024年のCRI年次総会における参加企業やプログラム
2024年のCRI年次総会には、CRI のメンバーである欧米の大手金融機関[1]や、米国の規制当局、ベンダー関係者、NRIセキュア等の30組織以上が参加しました。
2日間にわたるCRI年次総会は以下のプログラムにて行われました。
CRI年次総会タイムテーブル(CRIからの提供資料をもとにNRIセキュアにて作成)
CRIのCEOであるJosh Magri氏より、米国の規制当局やCRIイノベーター企業によるCRI Profileの普及活動への感謝が述べられると共に、今後のCRI Profileの改善に向けて継続的な議論などの協力が必要だという開幕宣言を皮切りとして、2日間にわたるCRI年次総会がスタートしました。
今年度のCRI年次総会では、「CRI Profileと規制の動向」「自社製品へのCRI Profileの組み込み」「CRI Profileの活用事例」をテーマに、講演形式だけでなく、ディスカッション形式のものなどを含め合計15のセッションが展開されました。その他、CRIから2025年以降に向けたCRI Profileの活動計画や戦略が共有され、多くの議論が交わされました。
本稿では、後段の章にて、下表のNo.1(CRIの2025年のビジョン)とNo.11(日本におけるCRI Profileの採用:イノベーターの視点(NRIセキュアのセッション))についてご紹介します。
CRI年次総会のアジェンダ(CRIからの提供資料をもとにNRIセキュアにて作成)
なお、1日目のセッション後には「CRI’s Annual Meeting Reception」という立食形式のパーティが開催され、参加者同士が交流できる場が提供されるなど、メインプログラム以外でも参加者が楽しめる趣向が凝らされていました。
CRI’s Annual Meeting Receptionの様子
CRIの中長期計画について
それではまず、アジェンダNo.1の『CRIの2025年のビジョン』の内容についてご紹介します。
CRIの中長期計画(CRI年次総会での投影資料をもとにNRIセキュアにて作成)
CRIは10か年程度の中長期計画を発表し、新技術に対応していくためにCRI Profileも時代に合わせて変化していく必要があると説明しました。その説明通り、2024年2月にリリースされたCRI Profile v2.0では、昨今のセキュリティニーズを踏まえ、ガバナンス項目の強化やサードパーティリスクへの対応などが反映されています。
また、今後の動向に目を向けると、CRI Profile v2.0を用いた成熟度評価を実現するための基準を作成中であるとの説明がありました。現時点では、事業規模などを踏まえたTierの考え方によって評価すべき項目数が決定されますが、それに加えて、各評価項目に対してどこまで詳細に対応するべきなのかを各企業のリスク許容度に合わせて選択することができるようになり、各企業は、自組織の目指すべき姿をより明確に認識することができるようになります。
その他にもCRI Profile v2.1への更新やCRI Profileに関するトレーニングプログラムの開発も行っており、現代の潮流を意識した取組が今後も展開されていくと推測されます。
NRIセキュアの講演内容について
つづいて、アジェンダNo.11の『日本におけるCRI Profileの採用:イノベーターの視点』と題して講演したNRIセキュアのセッションについてご紹介します。
NRIセキュアによる講演の様子(登壇者左から、馬場亮太、NRIセキュア北米支社のPeter Vu)
NRIセキュアのセッションでは、以下の内容について講演しました。
- 日本でのCRI Profile普及活動
- CRI Profile v2.0を活用し、評価する上での課題
- NRIセキュア北米支社での活動
日本でのCRI Profile普及活動
1点目の「日本でのCRI Profile普及活動」では、「CRI Profileの解説ブログ」や「CRI Profile v2.0の日本語化対応」などについて説明し、NRIセキュアの活動を報告しました。特に日本語化対応については、反響が大きく、発表後に多くの問い合わせをいただきました。CRI Profile v2.0の日本語訳資料は、CRIの公式サイトで公開されているため、まだダウンロードされていない方は、ぜひ以下のURLよりダウンロードし、ご活用ください。
CRIの公式サイト
https://cyberriskinstitute.org/the-profile/
CRI Profile v2.0を活用し、評価する上での課題
2点目の「CRI Profile v2.0を活用し、評価する上での課題」では、サプライチェーンを構成するエンティティ(業務委託先(一次)、サービスプロバイダー、リセラー、再委託先など)は複数存在するものの、CRI Profileにおけるサプライチェーンに関する評価項目では、どのエンティティを対象に対策を行う必要があるかという点に言及されていないことから、利用する企業の判断により解釈が分かれてしまう点について問題提起を行い、参加者と議論を深めました。
NRIセキュア北米支社での活動
3点目の「NRIセキュア北米支社での活動」では、当社の北米支社でどのような支援ができるか解説しました。
NRIセキュアは、北米にも支社を持ち、国内以外でも支援を行っていることが強みの一つです。日本・北米支社での支援実績や、CRIとのコミュニケーションによって得た知見を基に、今後もNRIセキュアでは、金融機関向けの情報発信を行い、金融業界全体のセキュリティ対策向上に貢献していきます。
おわりに
CRI年次総会からは、規制当局、金融機関、ベンダーなど、様々な立場の個人・企業・国が連携していくことで、金融業界全体のセキュリティを高めていこうという意識が強く、各セッションにて議論を深めることを重視している印象を受けました。
こうした年に一度のCRI総会での議論などを受けて、個別のワーキンググループにおいても継続して議論がなされることで、CRI Profileは最新動向や規制、現場の声を高い更新頻度で反映することができていると感じました。日本の金融機関においても、昨今のサイバー攻撃事案の潜在的なリスクの高まりを踏まえた要件が組み込まれたCRI Profileの動向を注視する必要があると考えます。
NRIセキュアでは、今後もCRIの動向を注視し、金融機関において有益な情報を継続的に発信し続けるとともに、皆様のセキュリティ対策の向上に向けて尽力いたします。
これまでもCRI Profileを活用したアセスメントに関する多くの支援実績を保有しており、「CRI Profileを活用したサイバーセキュリティアセスメントサービス」を提供しています。本サービスにご興味がある方は下記リンクからお気軽にお問い合わせください。
[1] CRIの member一覧
https://cyberriskinstitute.org/about/#Members