皆さんは「CRI Profile」をご存じでしょうか。端的に言うと、金融機関向けのサイバーセキュリティリスクを評価するためのフレームワークです。
これまでサイバーセキュリティ対策の代表的なフレームワークは、FFIEC CAT、NIST CSF、CIS Controls等が挙げられましたが、新たな選択肢として、2018年に米国の非営利団体であるCRI(Cyber Risk Institute)が公開したCRI Profileが加わりました。
CRI Profileは、金融機関の規模によって要件を絞ることができるため、規模に見合ったセキュリティ対策を効率的に測定できること、サイバー攻撃の変化に柔軟に対応できる最新の要件が考慮されていることから、欧米の金融機関での採用が進んでおり、近年、日本においても注目を集めています。
CRI Profileは定期的に最新動向を取り込んでおり、CRIは2024年2月29日にCRI Profileの最新版となるCRI Profile v2.0を公開しました。
本記事では、「CRI Profileとはどのようなものなのか?」「どのような更新がなされたのか?」という疑問を持つ方に向けて、CRI Profileの特徴およびv2.0における更新内容について解説します。
▶「2024年4月から準拠が求められるPCI DSS v4.0」を読む
CRI Profileの特徴
先に述べたようにサイバーセキュリティ対策の代表的なフレームワークとして、FFIEC CATやNIST CSF、CIS Controls等が挙げられますが、CRI Profileを活用するメリットとしては、以下の4点が挙げられます。(詳細の内容は、別記事「CRI Profileとは?|金融機関向けサイバーセキュリティリスク評価フレームワーク」をご参照下さい)
CRI Profileとは?|金融機関向けサイバーセキュリティリスク評価フレームワーク
図1:CRI Profileを活用するメリット
上の図でもご紹介したとおり、CRI Profileの特徴の一つとして、他のフレームワークと比較し、更新頻度が高いことが挙げられます。
具体的には、これまで年に1回程度の頻度でマイナーバージョンアップが行われ、一部の要件が見直されています。そして、今回はメジャーバージョンアップということで、CRIではこの2年間で50以上のワーキングセッションを開催し、150以上の欧米の大手金融機関等の代表者と協議を重ねるとともに、米国規制当局からのフィードバックを受け、大幅に要件を見直しています。
図2:CRI Profileのバージョンアップの実績
以降では、今回のメジャーバージョンアップでの主な更新ポイントを解説します。
CRI Profile v2.0の主な更新ポイントの解説
POINT1 最新動向の取り込み
昨今のサイバー攻撃事案の潜在的なリスクの高まりを踏まえた要件(シャドーITの管理やクラウドサービスの制御、ダークウェブ※1の監視、暗号化標準や鍵管理 等)が取り込まれる等、全体的に要件が見直されました。
具体的には、従来のCRI Profile v1.2.1の278要件のうち9割程度の257要件が見直しされた他、新たな要件も追加されたことで、CRI Profile v2.0は318要件となりました。加えて、要件への準拠判断を行う際の参考となる文書(プロファイルワークブック)の内容も見直しされており、各要件においての対策内容および必要な証跡例を確認できます。
以下に、追加された要件の1例を示します。
表1:新規に追加された要件の1例(NRIセキュアにて意訳)
上記を要約すると「脅威インテリジェンス(=脅威の防止や検知に利用できる情報)として、収集する情報にダークウェブやソーシャルメディア等を加え、脅威を早期に防止や検知するためのプロセスを構築していること」を意味しています。
当該要件が追加された背景には、近年、ダークウェブ上での自社機密情報等の流出による不正な取引の事例や、SNS等のソーシャルメディアでの偽情報や誤情報の発信による組織やブランドへ風評被害がおよぶ事例等の増加が挙げられます。そのため、インターネット上でやりとりされるあらゆる情報をもとにした脅威インテリジェンスを活用し、攻撃者よりも先に対策していくことが重要になってきています。
これを踏まえ、従来のCRI Profileにも脅威インテリジェンスに関する要件は存在しましたが、今回の更新で、脅威インテリジェンスとして分析すべき情報のソースとして「ダークウェブ」「ソーシャルメディア」等が明示的に追加されています。
※1 世の中に存在するWebサイトのうち、検索エンジンからはアクセスできない領域(ディープウェブ)の中でも、特別なソフトウェアがないとアクセスができない領域
POINT2 他のフレームワーク・規制に対する網羅性の向上
CRI Profile v2.0では、米国連邦金融機関検査協議会(FFIEC)が公開したCybersecurity Assessment Tool(CAT)等のフレームワークや、各国の規制等の要件を参考とし、最新動向を取り込んだことで、要件の網羅性が向上しています。さらに、各種フレームワークや規制とのマッピング結果が提供されており、CRI Profile v2.0の要件へ回答することで各種フレームワークや規制の準拠性評価をより効率的に実施できます。
ここでは、網羅性向上の1例として、現状多くの金融機関で利用されているフレームワークである、FFIEC CATとのマッピング結果について解説します。
従来のCRI Profileでは、FFIEC CATの全494要件のうち、395要件を含んでいました。一方、アップデートされたCRI Profile v2.0では、部分的に包含している要件も含めるとFFIEC CATの全494要件のうち、493要件を含んでおり、FFIEC CATにおけるほぼ全ての要件を含んでいます。以下の図に示すようにFFIEC CATの要件を考慮しつつ、最新動向を取り込んだCRI Profile独自の項目も追加され、要件の範囲が拡大していることがわかります。
図3:CRI ProfileとFFIEC CATの重複度合い
以下の表は、CRI Profile v2.0とFFIEC CATのマッピング結果を抜粋しており、FFIEC CATの要件をどの程度含んでいるか4つの指標(「Full」、「Full Summarily※2」、「Partial」、「None」)を用いて示されています。
表2:CRI ProfileとFFIEC CATのマッピング例
上記のマッピングがFFIEC CATの全494要件に対して実施され、内訳としては「Full:242要件」、「Full Summarily:203要件」、「Partial:48要件」、「None:1要件」となっています。FFIEC CATを利用している組織の場合、既に評価している要件と照らし合わせることで、FFIEC CATからCRI Profile v2.0へ効率的に移行することができます。
※2 複数のCRI Profile要件で、一つのFFIEC CATの要件を包含していることを示す
POINT3 NIST CSF v2.0の取り込み
2024年2月26日にNIST CSF v2.0が公開されました。
NIST CSF v2.0では、従来のNIST CSFにおける5つのフレームワークコアである「識別」、「防御」、「検知」、「対応」、「復旧」に加えて、新たに「ガバナンス」が追加されます。「ガバナンス」では、サプライチェーンリスクに対して組織全体で考慮すべき要件が複数追加された他、既存の要件のうちガバナンスに関係する要件が集約されます。そして、フレームワーク全体としても各要件に対して実施例が追加されることで、評価時のポイントがよりわかりやすくなります。
CRI Profile v2.0ではNIST CSF v2.0の要件を網羅しており、マッピング情報も提供されます。以下に、NIST CSF v2.0の追加要件とマッピングされるCRI Profile v2.0の要件の1例を示します。
表3:NIST CSF v2.0の追加要件とマッピングされるCRI Profile v2.0の要件
両要件に共通する内容は「サプライチェーンにて提供される製品・サービスのセキュリティリスクが、組織として取り扱うリスクに含まれており、適切にリスク管理がなされている。」ことであり、CRI Profile v2.0では、内容がより具体化されています。
さいごに
本記事では、CRI Profileの概要とCRI Profile v2.0で更新された主なポイントについてご紹介・解説してきました。金融機関において、迅速かつ効果的なサイバーセキュリティ対策を実施していくためには、昨今のサイバー攻撃動向や、自社のサプライチェーン管理等、様々な事柄に対応していく必要があり、そのためにフレームワークの活用は欠かせません。
CRI Profileは、今回のCRI Profile v2.0へのメジャーアップデートが示すとおり、サイバー攻撃の変化に柔軟に対応できるように世界的な最新動向を踏まえた、金融機関向けのフレームワークです。
日本の金融機関の多くは、組織的なサイバーセキュリティ対策状況を評価する際のフレームワークとしてFFIEC CATを採用しており、その状況変化を適切に把握するための観点である「前回評価結果との比較」がハードルとなって、他のフレームワークを採用(移行)しづらい現状があります。
今回、更新ポイントの中でも取り上げたとおり、FFIEC CATのマッピングの見直しによって、CRI Profileでは過去のFFIEC CAT評価結果を参照し、サイバーセキュリティ対策状況の変化を把握しやすくなっておりますので、今後自社のサイバーセキュリティ管理態勢を評価する際のフレームワークとして活用してみてはいかがでしょうか。
NRIセキュアでは、日本初でCRI Profileを用いたサイバーセキュリティ対策状況の評価と問題解決を目的とした、「CRI Profileを活用したサイバーセキュリティアセスメントサービス」を提供しています。本サービスにご興味がある方は下記リンクからお気軽にお問い合わせください。
CRI Profileを活用したサイバーセキュリティアセスメントサービス
参考:CRI Profile(https://cyberriskinstitute.org/the-profile/)
