リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
今日、金融機関においても、DXやクラウドサービスの採用が進展しており、その結果としてサイバー攻撃のリスクが高まっています。そのため、従来から高いセキュリティレベルを維持していたとしても、常に最新のサイバーセキュリティ対策にアップデートしていく必要があります。
しかしながら、人員やコストなどのリソースは有限であり、有効活用が求められるため、脆弱な部分を特定し、どこを優先的に改善・向上させていくのかを見極めることが重要になります。サイバーセキュリティ評価にはさまざまな基準・フレームワークが存在しますが、CRI Profileは金融業務に特化しているため、金融機関には非常に有用であると言えます。
CRI Profileは、米国金融業界で開発されたサイバーセキュリティフレームワークです。米国金融サービスセクター連携協議会(FSSCC)が2018年に初版を公開し、現在はThe Cyber Risk Institute(CRI)がその維持と開発を担っています。CRI Profileは、国際的な基準であるISOやNISTに基づき、NIST CSF(Cyber Security Framework)で定義されている「識別、防御、検知、対応、復旧」の5つのカテゴリーに、金融業界特有の要件ガバナンス、サプライチェーン依存管理)を加えた7つのカテゴリーから構成されています。
図1:CRI Profileのカテゴリー
この7つのカテゴリーはさらに詳細な計277の要件から構成されています。この要件には2,300以上の法規制が集約・包含されているため、非常に広範な内容について効果的・効率的に評価を行うことができます。
# | 領域 | 評価要素 | 要件数(問) | Tier | ||||
---|---|---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||||
1 | 管理 | 戦略とフレームワーク | 59問 | 10 | 10 | 10 | 7 | 4 |
リスク管理 | 12 | 12 | 12 | 8 | 4 | |||
方針 | 8 | 8 | 8 | 8 | 8 | |||
役割と責任 | 5 | 5 | 5 | 5 | 4 | |||
セキュリティプログラム | 5 | 5 | 5 | 2 | 1 | |||
独立したリスク管理機能 | 7 | 7 | 7 | - | - | |||
監査 | 9 | 9 | 9 | 8 | 6 | |||
テクノロジー | 3 | 3 | 3 | 3 | 2 | |||
2 | 識別(特定) | 資産管理 | 23問 | 9 | 9 | 9 | 7 | 5 |
リスク評価 | 14 | 14 | 12 | 7 | 6 | |||
3 | 保護(防御) | アイデンティティ管理とアクセス制御 | 72問 | 14 | 14 | 13 | 13 | 12 |
意識改革とトレーニング | 12 | 12 | 12 | 12 | 12 | |||
データセキュリティ | 10 | 10 | 9 | 8 | 5 | |||
情報保護プロセスおよび手順 | 28 | 28 | 26 | 21 | 13 | |||
メンテナンス | 2 | 2 | 2 | 2 | - | |||
保護技術 | 6 | 6 | 5 | 5 | 4 | |||
4 | 検知 | 異常とイベント | 32問 | 6 | 6 | 6 | 4 | - |
セキュリティ継続監視 | 20 | 20 | 20 | 17 | 12 | |||
検出プロセス | 6 | 6 | 6 | 3 | 2 | |||
5 | 応答(対応) | 対応計画 | 31問 | 1 | 1 | 1 | 1 | 1 |
コミュニケーション | 13 | 13 | 13 | 8 | 5 | |||
分析 | 8 | 8 | 8 | 6 | 4 | |||
緩和 | 5 | 5 | 5 | 5 | 4 | |||
改善点 | 4 | 4 | 4 | 3 | 2 | |||
6 | 復旧 | 復旧計画 | 12問 | 6 | 6 | 6 | 2 | 2 |
改善点 | 2 | 2 | 2 | 1 | - | |||
コミュニケーション | 4 | 4 | 4 | 4 | 4 | |||
7 | サプライチェーン/依存管理 | 内部依存関係 | 48問 | 5 | 5 | - | - | - |
外部との依存関係 | 30 | 30 | 28 | 17 | 14 | |||
回復力 | 8 | 8 | 8 | 1 | 1 | |||
ビジネス環境 | 5 | 5 | 4 | - | - | |||
合計設問数 | 277問 | 277問 | 277問 | 262問 | 188問 | 137問 |
Tier1~4の分類については、金融機関が社会に与える影響から分類されており、国家や国を超えた地域に影響を与える組織は、Tier1として全要件である277に対応する必要があり、顧客が100万未満の顧客で地域的な組織であればTier4として137の要件に対応する必要があります。
ティア | カテゴリ名 | 説明 |
---|---|---|
Tier 1 | National/Super-National Impact | 国家/超国家的影響-北米または世界経済の安定性に影響を与える可能性のある組織 |
Tier 2 | Subnational Impact | 準国家的影響-米国の金融サービス部門に全国規模で影響を与える可能性のある組織 |
Tier 3 | Sector Impact | セクターへの影響-地域規模で米国の金融サービスセクターに影響を与える可能性のある組織 |
Tier 4 | Localized Impact | 100万人未満の顧客で地域的な組織 |
CRI Profileはこれまで毎年継続的にアップデートが実施されており、サイバーセキュリティ管理態勢の評価だけでなく、最新の事情をサイバーセキュリティ戦略やロードマップに反映するという意味でも有効なフレームワークと言えます。
本サービスは、以下のようなお客様におすすめします。
最終報告書を含め、評価・監査に用いた各種ツールや資料類を納品します。 以下は主な成果物の一例です。
概要 | CRI Profileを使用して、整備状況、運用状況の視点から、サイバーセキュリティ対策の評価を行います。 また、金融機関システムにおけるベストプラクティスをご提示し、サイバーセキュリティ成熟度の向上までお手伝いします |
---|---|
対象企業 |
|
期間 | 応相談 |
価格 | 応相談 |
成果物 |
|
日本発の内視鏡AIを世界へ。NIST CSF適用でセキュリティ強化
CSIRT構築をきっかけに高まった、経営層のリスク意識
商船三井グループ全対応、重大ICTインシデント対応体制を構築
経営陣が一堂に会し、その場で意思決定する、実践に即したサイバー演習
標的型メール訓練で初動対応強化。全社のリアルな動きをチェック
金融庁と財務局合同、共通の意識確認を促すサイバーセキュリティ研修
ISMS起点での標的型メール訓練。今後の改善ポイントを洗い出し