CRI Profileセキュリティ監査コンサルティングサービス
今日、金融機関においても、DXやクラウドサービスの採用が進展しており、その結果としてサイバー攻撃のリスクが高まっています。そのため、従来から高いセキュリティレベルを維持していたとしても、常に最新のサイバーセキュリティ対策にアップデートしていく必要があります。
しかしながら、人員やコストなどのリソースは有限であり、有効活用が求められるため、脆弱な部分を特定し、どこを優先的に改善・向上させていくのかを見極めることが重要になります。サイバーセキュリティ評価にはさまざまな基準・フレームワークが存在しますが、CRI Profileは金融業務に特化しているため、金融機関には非常に有用であると言えます。
CRI Profileとは
CRI Profileは、米国金融業界で開発されたサイバーセキュリティフレームワークです。米国金融サービスセクター連携協議会(FSSCC)が2018年に初版を公開し、現在はThe Cyber Risk Institute(CRI)がその維持と開発を担っています。CRI Profileは、国際的な基準であるISOやNISTに基づき、NIST CSF(Cyber Security Framework)で定義されている「識別、防御、検知、対応、復旧」の5つのカテゴリーに、金融業界特有の要件ガバナンス、サプライチェーン依存管理)を加えた7つのカテゴリーから構成されています。
図1:CRI Profileのカテゴリー
この7つのカテゴリーはさらに詳細な計277の要件から構成されています。この要件には2,300以上の法規制が集約・包含されているため、非常に広範な内容について効果的・効率的に評価を行うことができます。
| # | 領域 | 評価要素 | 要件数(問) | Tier | ||||
|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||||
| 1 | 管理 | 戦略とフレームワーク | 59問 | 10 | 10 | 10 | 7 | 4 |
| リスク管理 | 12 | 12 | 12 | 8 | 4 | |||
| 方針 | 8 | 8 | 8 | 8 | 8 | |||
| 役割と責任 | 5 | 5 | 5 | 5 | 4 | |||
| セキュリティプログラム | 5 | 5 | 5 | 2 | 1 | |||
| 独立したリスク管理機能 | 7 | 7 | 7 | - | - | |||
| 監査 | 9 | 9 | 9 | 8 | 6 | |||
| テクノロジー | 3 | 3 | 3 | 3 | 2 | |||
| 2 | 識別(特定) | 資産管理 | 23問 | 9 | 9 | 9 | 7 | 5 |
| リスク評価 | 14 | 14 | 12 | 7 | 6 | |||
| 3 | 保護(防御) | アイデンティティ管理とアクセス制御 | 72問 | 14 | 14 | 13 | 13 | 12 |
| 意識改革とトレーニング | 12 | 12 | 12 | 12 | 12 | |||
| データセキュリティ | 10 | 10 | 9 | 8 | 5 | |||
| 情報保護プロセスおよび手順 | 28 | 28 | 26 | 21 | 13 | |||
| メンテナンス | 2 | 2 | 2 | 2 | - | |||
| 保護技術 | 6 | 6 | 5 | 5 | 4 | |||
| 4 | 検知 | 異常とイベント | 32問 | 6 | 6 | 6 | 4 | - |
| セキュリティ継続監視 | 20 | 20 | 20 | 17 | 12 | |||
| 検出プロセス | 6 | 6 | 6 | 3 | 2 | |||
| 5 | 応答(対応) | 対応計画 | 31問 | 1 | 1 | 1 | 1 | 1 |
| コミュニケーション | 13 | 13 | 13 | 8 | 5 | |||
| 分析 | 8 | 8 | 8 | 6 | 4 | |||
| 緩和 | 5 | 5 | 5 | 5 | 4 | |||
| 改善点 | 4 | 4 | 4 | 3 | 2 | |||
| 6 | 復旧 | 復旧計画 | 12問 | 6 | 6 | 6 | 2 | 2 |
| 改善点 | 2 | 2 | 2 | 1 | - | |||
| コミュニケーション | 4 | 4 | 4 | 4 | 4 | |||
| 7 | サプライチェーン/依存管理 | 内部依存関係 | 48問 | 5 | 5 | - | - | - |
| 外部との依存関係 | 30 | 30 | 28 | 17 | 14 | |||
| 回復力 | 8 | 8 | 8 | 1 | 1 | |||
| ビジネス環境 | 5 | 5 | 4 | - | - | |||
| 合計設問数 | 277問 | 277問 | 277問 | 262問 | 188問 | 137問 | ||
Tier1~4の分類については、金融機関が社会に与える影響から分類されており、国家や国を超えた地域に影響を与える組織は、Tier1として全要件である277に対応する必要があり、顧客が100万未満の顧客で地域的な組織であればTier4として137の要件に対応する必要があります。
| ティア | カテゴリ名 | 説明 |
|---|---|---|
| Tier 1 | National/Super-National Impact | 国家/超国家的影響-北米または世界経済の安定性に影響を与える可能性のある組織 |
| Tier 2 | Subnational Impact | 準国家的影響-米国の金融サービス部門に全国規模で影響を与える可能性のある組織 |
| Tier 3 | Sector Impact | セクターへの影響-地域規模で米国の金融サービスセクターに影響を与える可能性のある組織 |
| Tier 4 | Localized Impact | 100万人未満の顧客で地域的な組織 |
CRI Profileはこれまで毎年継続的にアップデートが実施されており、サイバーセキュリティ管理態勢の評価だけでなく、最新の事情をサイバーセキュリティ戦略やロードマップに反映するという意味でも有効なフレームワークと言えます。
このようなお客様におすすめします
本サービスは、以下のようなお客様におすすめします。
- 金融事業を展開しているお客様
- 既にFISC安全対策基準等には対応しているものの、より金融機関のサイバーセキュリティに特化した形で詳細に自組織の管理態勢を把握したいお客様
- 金融業界の関連法令・規制・ガイドラインや最新のベストプラクティスに準拠したいお客様
- 海外進出や新規事業展開などで金融業界の規制要件に適合しなければならないお客様
サービスの特長
- 1. 経験豊富なコンサルタントによる支援
- 当社の監査支援サービスには、金融機関での実務経験を多数有しているコンサルタントが対応いたします。CRI Profileのスコア算出に必要な財務情報の収集や分析、報告書の作成など、監査に必要な作業を迅速かつ正確に行います。
- 2. 特性・ニーズに合わせた、柔軟な支援
- CRI Profileは米国金融業界で開発されたフレームワークであるため、国内金融機関の慣習や要件に合わない部分があります。当社では、CRI Profileを国内金融機関の特性やニーズに応じた最適な形にカスタマイズし提供することができます。
(例:CRI Profileの診断項目を国内規制やガイドラインと対応付けたマッピング表や、CRI Profileの評価基準を国内事情に合わせて調整した評価表の作成など) - 3. 改善策やロードマップの提示
- CRI Profileを用いてお客様のサイバーセキュリティ管理態勢を診断した後、その結果に基づいて改善策やロードマップを提示いたします。また優先度や費用対効果を考慮した具体的なアクションプランを作成し、改善策やロードマップの実行支援も行います。
主な成果物(例)
最終報告書を含め、評価・監査に用いた各種ツールや資料類を納品します。 以下は主な成果物の一例です。
- トップインタビュー議事録
- 現状分析シート
- 監査計画書
- リスク評価結果
- 監査結果シート
- 監査報告書
- 改善に向けたロードマップ 等
支援範囲と作業ステップ(例)
サービス提供の主な流れは以下のとおりです。
