2021年4月、パウエル米連邦準備理事会(FRB)議長は、世界の金融システムにとって最も重要なリスクは、もはや世界金融危機(リーマン・ショック)の再来ではなく、サイバー攻撃であると言及しました。サイバー攻撃の手法は日増しに高度化しており、国内外の金融規制当局も、サイバーセキュリティを最も重大なリスクと捉えています。

これまでの規制当局の対応は縦割りで、監督責任が重なる組織間の調整も限定的でした。その結果、多くの金融機関が同様の質問を多方面から受け、対応が煩雑になっていました。ある調査では、情報セキュリティチームの稼働時間の40%が、こういった対応の調整に費やされているという結果が出ています。

このような理由から、多くの組織が米国金融サービスセクター連携協議会(Financial Services Sector Coordinating Council、FSSCC)のCybersecurity Profile(以下、本プロファイル)を採用しています。本プロファイルは、以下の規制当局からの要件と監督上の期待を取り込んだフレームワークとなっています。複数の規制当局下にある金融機関は、本プロファイルの恩恵を最も多く受けることができます。

  • 米連邦準備理事会(FRB)
  • 米通貨監督庁(OCC)
  • 米国連邦預金保険公社(FDIC)
  • 米国証券取引委員会(SEC)
  • 米商品先物取引委員会(CFTC)
  • 金融業界規制当局(FINRA)

本プロファイルは、金融業界の事実上の標準である米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(Cyber Security Framework:CSF) をベースとしています。NIST CSFからの主な変更点は以下の2点となります。

  • 最新の重点分野に合わせ、「ガバナンス」と「サプライチェーン/サードパーティ管理」の2つが含まれています。
  • さまざまなフレームワークから最良のものを取り込み、マッピングするよう設計されています。マッピングを行うことで、全項目への準拠ではなく、リスクベースでのアプローチを行えるよう設計されています。これにより、規制当局はシステムリスクに、金融機関は残留リスクに焦点を当てることができます。

加えて、本プロファイルは、金融機関の影響力に合わせて拡張できるよう設計されています。つまり、重大な金融機関には追加の要求事項があり、顧客数が少ない金融機関には要求事項が少なくなります。これによって、同規模の金融機関の間でベンチマークが容易になるという利点もあります。

多くの金融機関では、米国連邦金融機関検査協議会(Federal Financial Institutions Examination Council:FFIEC)のCAT(Cybersecurity Assessment Tool)などの既存のフレームワークについて、取締役会への普及や認識度の向上に多くの労力を費やしています。これらを改めて実施するということになると、フレームワークの変更に消極的になるかもしれません。さらに、多くの組織では、任意のフレームワークに対する成熟度の進捗状況をモニタリングしており、過去との比較ができなくなるという点からも、フレームワークの変更には消極的になる可能性があります。本プロファイルを採用することで、こういった問題を解決することができます。

また、本プロファイルを監督する業界団体と金融機関の連合体は、新たに期待する事項などに合わせて柔軟に更新することを約束しています。NIST、 ISOなどの標準化団体のように、2~3 年の更新サイクルだけではなく、柔軟な更新を予定しています。

本プロファイルをまだ採用していない金融機関は、統一されたリスク管理フレームワークに向けた広範な取組みの一環として採用を検討することをお薦めします。採用する場合は、本プロファイルに付随のマッピングを活用し、コントロールの観点から追加すべき領域を特定する必要があります。

本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーとなります。
全文は下記のリンクよりご覧いただけます。

全文はこちらから(英文)
The case for framework harmonization

お問合せ