昨今、国家間の対立をはじめとする世界的な情勢不安も相まって、より防御や検知が難しくなった標的型攻撃や大量の重要情報を利用不能にするランサムウェア攻撃などサイバー攻撃は年々巧妙化しています。加えて、自社が提供するサービスの多様化、手軽で使いやすいクラウドサービスの利用の増加、委託先や協業企業などの増加(サプライチェーン管理)などに伴い、新たなリスクへの対応が求められており、各種規制・ガイドラインもまた更新されています。
そのため、金融機関では、これらの環境変化や各種規制の動向を踏まえ、対策を検討していく必要がありますが、リソース(人員・コストなど)は有限であることから、効果的・効率的な対策推進が可能なフレームワークを選択し活用することが重要です。
しかし、フレームワークによっては、要件の抽象度が高く対策実施の難度も高い、要件の更新頻度が低く最新の対策が考慮されていない、要件が人的統制・技術的統制のどちらかに偏り網羅性が心許ない、などの課題があります。また、一般的に高いレベルのセキュリティを求められる金融機関においては、金融分野に特化したフレームワークを求める声もあります。このため、特に金融機関においては適切なフレームワークの選定や組み合わせに苦慮されているのではないでしょうか。
本記事では、そうした悩みの解決策の一つとなりえるCRI Profileについて紹介していきます。
なお、本フレームワークは、金融機関の規模によって要件を絞ることができるため、規模に見合ったセキュリティ対策を効率的に測定できること、現在の金融機関のシステム構成やサプライチェーンリスクを考慮した観点が含まれていることなどから金融庁も注目しており、金融庁金融研究センターから公表されたディスカッションペーパー※の中でも紹介されています。
※FSA Institute Discussion Paper Series「金融機関における戦略的なサイバーセキュリティ対策の計画立案・推進に関する考察」(2022年7月) https://www.fsa.go.jp/frtc/seika/discussion/2022/DP2022-4.pdf
CRI Profileとは
2018年に米国金融サービスセクター連携協議会(FSSCC)が、米国の金融機関および業界団体と検討の上で公開し、現在は非営利団体Cyber Risk Instituteが維持・更新を行なう、主に金融機関を対象としたサイバーセキュリティのフレームワークです。対策分類としては、「ガバナンス」「識別」「防御」「検知」「対応」「復旧」「サプライチェーン」の7つがあります。また、サイバー攻撃の変化に柔軟に対応できるよう更新頻度が高く、また評価時の負荷が比較的低いことから、必要な対策を網羅的に考慮した上で、適度な評価負荷のもと、実効性のある評価を行うことができます。
表:フレームワークの特徴比較(NRISにて作成)
では、CRI Profileを活用したリスク評価を行うことに、どのようなメリットがあるのかについて、解説していきます。
CRI Profileを活用する4つのメリット
メリット① 金融機関に特化したフレームワークで評価ができる
CRI Profileの策定にあたっては、150を超える金融機関を代表する有識者および40を超える米大手金融機関が検討に参加しており、金融業界の各種規制やガイドライン、金融機関において必要とされている最新のサイバーセキュリティ対策などを踏まえた要件となっています。そのため、金融機関において必要な対策の網羅性が担保されており、加えて、自社の企業規模などの状況に応じた効率的なサイバーセキュリティ対策状況の評価が可能となります。
メリット② フレームワークの更新頻度が高い
CRI Profileの特徴として、要件の更新頻度の高さも挙げられます。Cyber Risk Instituteは、50ものワーキングセッションを開催しており、要件の追加修正検討を日々行っています。実際、年に1回程度の頻度で、CRI Profileは更新されており、他のフレームワークと比べても更新頻度が高いことがわかります。
メリット③ 各要件に詳細な解説がある
他のフレームワークでは、要件に対する補足説明が少ない、または要件自体の抽象度が高い場合などがあります。そのため、評価時に、要件を準拠しているか判断が難しい場合があります。
一方で、CRI Profileでは、プロファイルワークブックといった準拠判断を行う際の参考となる文書が整備されています。このワークブックには、各要件において、どのような対策を行う必要があるか、また、どのような証跡を確認する必要があるか、について例示されています。よって、これらを元に容易に要件を準拠しているか判断することができます。
表:プロファイルワークブックに記載されている内容の一例(NRISにて翻訳)
メリット④ 各種規制に対して効率的に準拠状況確認ができる
CRI Profileでは、米国連邦金融機関検査協議会(FFIEC)が公開した「Cybersecurity Assessment Tool(CAT)」などのフレームワークや、各国の規制などとのマッピング結果が提供されていることから、CRI Profileに回答することで、各種規制への準拠状況確認を、効率的に行うことができます。
では、最後に、CRI Profileの使い方について、解説していきます。
CRI Profileの使い方
CRI Profileを利用した評価プロセスは、大きく2段階に分解できます。
まず、1段階目で、評価対象の企業を4つの企業・影響規模(以後、Tierという)に分類します。このTierは、評価対象の企業の顧客数や、インシデント発生した場合の社会への影響規模(例:国家規模レベル、地域社会レベルなど)を考慮した、以下9つの質問で決定されます。
表:Tierレベル決定の観点
そして、2段階目で、1段階目にて決定したTierレベルに基づいて、該当企業のセキュリティ対策状況の評価を実施します。例えば、Tierレベル1の場合:277要件、Tierレベル4の場合:137要件となります。
これにより、評価対象の企業は、自社の企業・影響規模に見合うサイバーセキュリティ対策状況を確認でき、効率的な改善活動に繋げていくことができるのです。
表:Tierの定義と要件数
さいごに
本記事では、下記についてご紹介・解説してきました。
- ・CRI Profileとは
- ・CRI Profileを活用することのメリット
- ・CRI Profileの使い方
金融機関において、迅速かつ効果的なセキュリティ対策を実施していくためには、昨今のサイバー攻撃動向や、自社のサプライチェーン管理など様々な事柄に対応していく必要があり、そのためにフレームワークの活用は欠かせません。CRI Profileは、前述した通り、金融機関において、サイバー攻撃の変化に柔軟に対応できる最新のフレームワークである事から、今後自社のサイバーセキュリティ管理態勢を見直す際に活用してみてはいかがでしょうか。
NRIセキュアは、CRI Profileの運営団体であるCyber Risk Instituteと日本初で契約締結しました。これにより、CRI Profileを活用したコンサルティングサービスの提供が可能になります。
本サービスでは、NRIセキュアが金融機関向けに実施してきた数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、最新のサイバーセキュリティ対策を高頻度かつ継続的に取り入れたいと考える企業に対して、「CRI Profile」を活用したサイバーセキュリティアセスメントサービスを提供します。
本サービスに興味がある方は下記リンクからお問い合わせください。
https://www.nri-secure.co.jp/service/consulting/cri_profile
参考:CRI Profile:https://cyberriskinstitute.org/the-profile/
