FFIEC CAT(Cybersecurity Assessment Tool)による金融機関向けサイバーセキュリティ監査コンサルティングサービス
高度な対応が求められる金融機関のサイバーセキュリティ
経済の根幹を支える金融機関は、世界のどの国においても、高度なサイバーセキュリティが求められます。特に米国では、NIST (米国国立標準技術研究所)によるCybersecurity Framework (重要インフラのサイバーセキュリティを強化するためのフレームワーク)をベースに、FFIEC (米国連邦金融機関検査協議会) が金融機関向けに用意したCybersecurity Assessment Tool (CAT)が広く活用され、サイバーセキュリティの取り組みが推進されています。
本サービスは、この米国金融機関のスタンダードともいえるFFIEC CATを監査基準として、金融機関に対して、サイバーセキュリティに対する取り組みの成熟度を測り、改善につなげる監査サービスです。
このようなお客様におすすめします
本サービスは以下のような企業におすすめします。
- 自社のみで監査を実施しているが、第三者の客観的な視点で監査してほしい
- 毎年サイバーセキュリティも含めた監査を実施しているが、マンネリ化し、効果が実感できていない
- サイバーセキュリティの重要性はわかるが、どこまで対応すべきか、具体的な指標がなく最適な手法を知りたい
- 自社におけるサイバーセキュリティの現状と今後取り組むべき対策の優先順位を知りたい
サービスの特長
- 1. 金融機関が実践すべき取り組みの過不足を可視化します
- FFIEC CATのフレームワークに加えて、弊社の様々なフレームワーク評価経験や弊社独自の知見も反映した監査基準に基づき、整備状況や運用状況の監査を行い、過不足を可視化します。
- 2. 自動評価ツールを使用するため、効率的な監査を実現します
- FFIEC CATによる監査ツールとして、FSSCC (米国金融サービスセクター連携協議会)がFSSCC Automated Cybersecurity Assessment Tool (自動評価ツール)を公表しています。このツールを弊社で日本語化したものを使用して監査を行います。自動ツールのため、効率よく監査を進めることが可能です。
- 3. 具体的な改善策を提示します
- FFIEC CATによる監査結果に基づき、サイバーセキュリティの対応として絶対的に不足している部分、また、FFIEC CATで算出したリスクプロファイルに対して不足している部分の具体的な改善策を提示し、サイバーセキュリティ成熟度向上のための支援をいたします。
作業ステップ(例)
サービス提供の主な流れは以下の通りです 。
金融機関におけるビジネスでどれほどのリスクが存在するのか、リスク状況算出 (Inherent Risk Profile) を使って評価します。これで算出されたリスクレベルに対して、適切なサイバー対策が取られているか、サイバーセキュリティ成熟度 (Maturity) 評価を行います。サイバーセキュリティ成熟度評価においては、整備状況と運用状況の2軸から評価を行います。その結果、リスクレベルに対して、サイバー成熟度が不足する場合はサイバー対策を強化し、過剰な場合はコストの最適化を検討する形となります。
一連の評価を経て、最終的にお客様にとって最適な改善案と最適な姿にたどり着くまでのロードマップを提示いたします。
成果物イメージ
監査報告書として、業界で用いられている様々なベストプラクティスに基づき、重点を置いて改善すべきポイントや改善方法等をご報告します。