金融機関に特化したサイバーセキュリティ管理態勢を提案してほしい
CRI Profileを活用したサイバーセキュリティアセスメントサービス
「CRI Profile」と呼ばれるフレームワークを活用した、金融機関向けサイバーセキュリティ対策状況の評価と問題解決に向けたアセスメントサービスをご提案
「CRI Profile」と呼ばれるフレームワークを活用した、金融機関向けサイバーセキュリティ対策状況の評価と問題解決に向けたアセスメントサービスをご提案
金融機関に特化したサイバーセキュリティ管理態勢を提案してほしい
適切なフレームワークの選定や組み合わせに苦慮している
有限なリソース(人員・コストなど)のなかで、効果的・効率的にセキュリティ対策を進めたい
金融機関を対象としたサイバーセキュリティのフレームワーク「CRI Profile」を活用したコンサルティングサービスです。
CRI Profile*は、金融機関を対象とした、サイバー攻撃の変化に柔軟に対応できる最新のフレームワークで、自社のサイバーセキュリティ管理態勢を見直す際に役立ちます。
本フレームワークは、NIST(米国国立標準研究所)の「Cybersecurity Framework: CSF」や、CPMI-IOSCOの「Guidance on cyber resilience for financial market structures」、ISO/IEC 27001や27002などの管理策、監査のガイドラインなどをもとに作成されています。
対策分類としては、「ガバナンス」「識別」「防御」「検知」「対応」「復旧」「サプライチェーン」の7つがあります。
特長として、金融業界、かつ、サイバーセキュリティに関する内容に特化していること、高頻度での内容更新がなされていること、などが挙げられます。
本サービスでは、NRIセキュアが金融機関向けに実施してきた数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、最新のサイバーセキュリティ対策を高頻度かつ継続的に取り入れたいと考える企業に対して、「CRI Profile」を活用したサイバーセキュリティアセスメントサービスを提供します。
* CRI Profileとは、2018年に米国金融サービスセクター連携協議会(FSSCC)が、米国の金融機関および業界団体と検討の上で公開し、現在は非営利団体Cyber Risk Instituteが維持・更新を行なっています。
Cyber Risk Instituteは、2020年に設立された非営利団体であり、金融機関と業界団体にて構成されています。サイバーセキュリティとレジリエンスの評価のための共通のフレームワークの作成および更新を主な活動としています。
CRI Profileの詳細については、NRIセキュアブログもご参照ください。
1
CRI Profileを用いることで、事業規模に合った要件に限定して効率的にセキュリティ対策状況を把握することが可能です。
また、CRI Profileでは、最新のサイバーセキュリティ動向を踏まえ改訂された金融業界の各種規制やガイドラインなどの要件を取り入れていることから、網羅的に金融機関において必要な対策状況の評価を行うことができ、適切な対策の優先度付けが可能です。
2
対策状況の評価後、昨今のサイバーセキュリティ動向や企業ごとの事業戦略・方針などを踏まえて、必要な対策に関して、実効性を伴う中長期のロードマップ(全体スケジュール)を検討し提示することが可能です。
また、策定した対応計画にもとづいて、企業の担当者と共に、セキュリティ対策の実行推進を支援することも可能です。
3
NRIセキュアは、日本で初めてCRI Profileの運営団体であるCyber Risk Instituteと契約を締結しました。
これにより、多くの金融機関に対するセキュリティ対策支援を実施してきた知見を元に、金融業界で必要とされるセキュリティ対策と自社の現状を考慮した、具体的なセキュリティ対策支援が可能です。
STEP
1
Tierの決定
評価対象会社の規模などをもとに、評価対象範囲(Tier)を決定
STEP
2
現状把握
STEP
3
リスク評価
現状把握結果をもとに、リスク評価を実施し、ロードマップを策定
STEP
4
対策推進
ロードマップをもとに、両者でセキュリティ対策を推進
WEB会議システム(Teams等)にてヒアリングを行います。WEB会議システムの利用が難しい場合は、直接お伺いしてヒアリングを行います。ヒアリング回数は1回2時間程度の打ち合わせを1~2回程度行います。アセスメント対象が多い場合は、打合せ回数が増える可能性がございます。ヒアリング内容については、設問に対する回答が想定される回答基準や実態に即しているかどうかを確認させていただきます。
プロジェクト責任者向けへの報告会(1回分)の実施を含んでおります。その他に経営層向けや現場担当者向けの報告会の実施をご要望の場合は、個別見積りさせて頂きます。