Swift Customer Security Controls Framework(以下「Swift CSCF」)とは、国際銀行間通信協会(以下「Swift」)が定めるサイバーセキュリティコントロールのフレームワークです。
このフレームワークはNIST CSF、ISO27000、PCI-DSSなどの業界標準のフレームワークをもとに構成されており、Swiftの国際金融取引のメッセージングシステムを利用するユーザが、自組織のSwift利用環境の保護を行うことを支援するために設計されたものです。また、Swift CSCFに各金融機関および事業会社が準拠することで、当該組織の環境保護はもちろん、Swiftのシステム利用コミュニティ全体のセキュリティベースラインを向上することにつながるため、Swiftは利用ユーザに対して準拠対応を求めています。
本ブログでは、Swiftの利用部門や組織のサイバーセキュリティ部門の方に向けて、 CSCFの解説と自社のSwift利用環境のセキュリティを確保するために求められる対応について解説します。
Swift CSCFについて
Swift CSCFが、Swiftのユーザが自組織の環境を保護し、より安全な金融システムを育成することを支援するよう設計されていることは前述のとおりですが、より詳しくSwift CSCFについて説明します。
CSCFでは、以下に示すようにフレームワークの3つの目的とそれを支える7つの原則があり、その下に32のセキュリティコントロールが策定されています。
セキュリティコントロールには、必須コントロールと推奨コントロールの2種類があり、必須コントロールはすべてのSwift利用組織によって実装されることが求められます。また、推奨コントロールはセキュリティ上のベストプラクティスに基づくもので、対応は必須ではありませんが導入することが推奨されています。なお、環境を取り巻くサイバー脅威の変化に伴い、一部の推奨コントロールが必須コントロールに変更となるなど、時間経過とともに変化する可能性があります。
Swift CSCFの要件は毎年見直しがされており、v2026では以下の変更が予定されています。
- コントロール4Aの必須化:バックオフィスとのデータフローのセキュリティに関する要件が必須コントロールに変わり、ユーザのセキュアゾーンとバックオフィス間に対してより厳密な対策が求められます。(*アーキテクチャタイプBを除く)
- 顧客のエンドポイントの定義見直し:「顧客クライアントコネクタ」の分類が見直され、今までアーキテクチャタイプBとして証明していた一部の環境がアーキテクチャタイプA4としてみなされる可能性が生じます。
Swiftの利用者は、上記変更が自社環境に与える影響を見極め適切なセキュリティ対策を実装する必要があります。
Swift CSCFへの準拠について
CSCFは2017年にSwiftから公開され、さらに2021年からはSwiftのユーザ組織に対して、年に一度の「コミュニティ標準検証(独立した第三者によるCSCFの準拠性評価と未準拠項目への改善対応)」を義務付けました。
コミュニティ標準検証では、独立内部検証(第2線に位置づけられるセキュリティリスクを管理部門や、第3線に位置づけられるセキュリティの監査部門が実施する)もしくはセキュリティに精通している第三者機関による独立外部検証が必要となりました。また、場合によってはSwiftから外部組織による独立検証の指示を受け対応を迫られることもございます。
NRIセキュアテクノロジーズ(以下「NRIセキュア」)はアセスメントプロバイダ(後述)として、独立内部検証に対して知見や他社事例をもとに助言を行うご支援や、独立外部検証として当社コンサルタントがCSCFの要求事項に対してその準拠性を評価する支援を提供しております。
なお、Swift利用者環境のセキュリティを実現するためには、高い専門性を有する第三者による監査を受けることが望ましく、そのために外部独立検証の実施が推奨されます。
アセスメントプロバイダとは
2024年3月より、Swiftが定める資格要件を満たした上で、試験に合格した人員(SWIFT CSP(Customer Security Programme)認定アセッサ)を一定数以上擁する法人がアセスメントプロバイダとして登録することが可能となりました。
NRIセキュアは国内初のアセスメントプロバイダとして、Swift CSPの独立検証におけるセキュリティアセスメントの専門性の高さを証明しながら、標準化された方法でSwift CSP評価をご提供しております。
NRIセキュア、Swift CSPアセスメントプロバイダの新たな適格基準を満たし、国内で初めて登録|ニュース|NRIセキュア
アセスメントプロバイダによる独立検証のメリット
アセスメントプロバイダに属する認定アセッサはSwift CSPの内容に精通しているため、無駄のない効率的なコミュニケーションやSwiftのセキュリティ要件の適切な解釈を通じて、よりセキュアなSwift利用環境の実現を高い品質でご支援可能です。外部機関の利用により評価の独立性及び品質を担保することができ、自社での独立評価にかかる作業の削減、申請期日までの確実なプロジェクト推進が実現できます。
おわりに
これまで、Swift CSCFとSwift 利用者に求められる対応について解説してきました。
NRIセキュアはSwift CSPのアセスメントプロバイダとして、高い品質でご支援を提供しております。
もし、自組織のSwift利用環境のサイバーセキュリティの水準への不安や、計画的に独立外部検証を進めたいとの考えをお持ちの場合は一度お問合せください。
<関連サービス>
(ご参考)NRIグループとしてのSwiftへの取り組み
- NRIグループとしてもSwiftに関する取り組みを行っており、株式会社野村総合研究では、Swiftのメッセージングシステムをご利用いただくためのプラットフォーム(I-STAR)を提供しております。
- 当プラットフォームをご利用のお客様に対して、当社の「Swift CSCFの準拠性評価サービス」をオプションで提供しておりますのでご興味がございましたら、以下をご参照ください。
- 【参考】
- I-STAR/GX | ソリューション・製品・サービス | 野村総合研究所(NRI)
