国家の重要インフラに対するサイバー攻撃の脅威が増加するなか、金融機関におけるサイバーセキュリティ確保は組織内外問わず大きな関心事となっています。組織として目指す姿に向けてサイバーセキュリティ管理態勢を高度化させていく上で、適切なフレームワークの採用は重要な論点です。本稿では、金融機関のサイバーセキュリティに焦点を当てた新たなフレームワーク「CRI Profile」を取り上げ、CRI Profileの魅力や利点、高度化の取組みへの活用ポイントについて考察します。

1. 金融機関を取り巻く環境変化と求められるサイバーセキュリティ管理態勢

昨今のデジタルトランスフォーメーション(DX)の加速や新型コロナウイルス感染症(COVID-19)の拡大等によって、多くの金融機関はクラウドリスクやサードパーティリスクといった新たなセキュリティ上の課題に直面しています。また、国際情勢に関連して国内政府機関に対する大規模なサイバー攻撃が展開されるなど、国内重要インフラに対するサイバー攻撃の脅威も依然として高い状態と言えます。昨今危険性が増しているランサムウェア攻撃については、国内金融機関の関連会社でもインシデント発生が報告されており、サイバー攻撃を受けることを前提としたレジリエンス(強靭性)確保の重要性も高まっています。

このような状況のなか、金融庁は2022年2月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver 3.0)」を公開しており、前述のサイバー脅威の変化を踏まえて取組方針をアップデートしています。金融機関における新たなリスクへの備えとして、サイバーハイジーンの徹底(IT資産の適切な管理、速やかなセキュリティパッチ適用などの基本的な行動を組織全体に浸透させる取組み)やサイバーレジリエンスの強化(インシデントの未然防止から、インシデント発生時の検知、特定、対応、業務の早期復旧や顧客影響の軽減)等が必要であることを伝えています。サイバー脅威の変化に柔軟な対応が可能であり、実効性のあるサイバーセキュリティ管理態勢の実現に焦点が当てられているものと言えます。

2. CRI Profileとは

金融機関は、組織内外の環境変化や最新動向を踏まえ、現在のサイバーセキュリティ管理態勢が最新のリスクに対応できるか検証した上で、さらなる高度化・実効性向上に向けたサイバーセキュリティ戦略やロードマップを立案し、着実に遂行していくことが求められます。サイバーセキュリティ管理態勢の高度化を組織の理解と協力を得て進めていくためには、経営層、取引先、融資先、関連会社等のステークホルダーに対して、戦略やロードマップの合理性を説くことも重要です。その際には、金融業界のベストプラクティスや戦略に合致したフレームワークを活用することが有効な手段となります。今回紹介するCRI Profileは、グローバルで多くの金融機関がすでに採用を進めており、国内においても今まさに注目されているフレームワークの1つです。

(1)CRI Profileの概要
CRI Profileは、サイバーセキュリティに関する金融サービス業界のさまざまな監督機関の規制やベストプラクティスを統合し、効率的にサイバーセキュリティ管理態勢を検証することを目的に開発されたフレームワークです。米国金融サービスセクター連携協議会(FSSCC)が2018年に初版を公開し、現在はThe Cyber Risk Institute(CRI)がProfileの維持と開発を担っています。
CRI Profileでは、金融機関に必要なサイバーセキュリティを7つの機能で定義しています。サイバーセキュリティのデファクトスタンダードである米NIST Cybersecurity Framework(CSF)の5つの機能(識別、防御、検知、対応、復旧)に対して、「ガバナンス」と「サプライチェーン/依存管理」を機能として追加しています。規制当局の期待事項や、金融サービス業界のサイバーセキュリティの実際の取組みにフレームワークを整合させることを目指した構成となっています。

【CRIプロファイル概念図】

金融機関におけるサイバーセキュリティフレームワークの活用_図表1

CRI Profileを用いた評価は、影響度判定と診断ステートメント評価の2ステップで実施します。1つ目の影響度判定は、組織内で大規模なサイバーインシデントが発生した際に金融セクターおよび社会全体に対してどの程度影響を与え得るかを測るもので、固定質問に答えることでTier1~4の4段階で判定されます。2つ目の診断ステートメント評価は、7つの機能に対して金融機関が実現すべき統制レベルに詳細化された診断ステートメントに対して組織の対応状況を回答しギャップを把握するものです。影響度判定で特定したTierによって、組織が回答すべき診断ステートメントの数は変動する仕組みとなっています。

(2)CRI Profileが注目される理由
CRI Profileは、金融業界の関連法令・規制・ガイドラインの取込みや業界トレンドに応じたコンテンツ拡充等を継続的に実施していることから、サイバーセキュリティ管理態勢の評価だけでなく、サイバーセキュリティ戦略やロードマップに活用する上でも中期的に有効なフレームワークと言えます。CRI Profileの主な利点は下表のとおりです。

利点 詳細
金融ベストプラクティスの反映 CRI Profileは、欧米の大手金融機関のほか、米国銀行協会、銀行政策研究所、FS-ISAC、UK Financeなどがその開発に携わっていることから、海外金融業界のベストプラクティスを反映したものと捉えることができます。また、米国連邦金融機関検査協議会が公表するCybersecurity Assessment Tool(FFIEC CAT)や欧州中央銀行の規制等、各国の関連規制やフレームワーク等とのマッピングが提供されており、横断的なコンプライアンス確認が可能です。
継続的なアップデート CRI Profileは、近年、年に1度のペースで継続的にアップデートが行われています。最新バージョン1.2では、関連規制・ガイドラインとのマッピング追加やクラウド導入・運用におけるガイダンスを示したCloud Profileの作成等が行われています。2022年内にはバージョン2.0へのアップデートが予定されています。
サポートマテリアル CRI Profileは、評価作業を支援するツールも用意しています。2021年に、診断ステートメントの各項目で求められる要件や評価上のポイントを記載した解説書(Workbook)が公開されています。
評価ボリューム CRI Profileの診断ステートメント数(277項目)は、国内の大手金融機関にて広く使用されているFFIEC CAT(494項目)の半数程度です。サイバーセキュリティに求められる要件を網羅的にカバーした上で、適度な評価作業の負担のもと、深度のある評価を実現することが可能です。 
ベンチマーキング CRI Profileは、グローバルでの利用実績が豊富であり、米国内に留まらずすでに4大陸の100社以上で利用が報告されています。今後のアップデートでは他社比較を支援する手法の導入も検討されており、ベンチマーキングツールとしての有効性が高まることが期待されます。

3. CRI Profile活用のポイント

CRI Profileは、金融機関のサイバーセキュリティ管理態勢における新たなスタンダードとなる可能性を秘める一方で、診断項目のなかに国内金融機関の慣習に合わない要件が複数存在するなど、国内における利活用には一定の越えるべきハードルが存在します。CRI Profileを国内金融機関のサイバーセキュリティ評価および高度な活用のためには、適切なアプローチの採用、診断項目のローカライズ、フレームワークを熟知した評価者の確保等が重要となります。CRI Profile活用における主な考慮事項は以下のとおりです。
 
・CRI Profileの診断ステートメント評価は、診断項目ごとに7つの選択肢(Yes, No, Partial, Not Applicable, Not Tested, Yes-Risk Based, Yes-Compensating Controls Used)から自組織の状況に最も近いものを選択することになりますが、その明確な選択基準は示されていません。評価に際しては、独自に選択基準を定めるなど選択の揺らぎを低減するための考慮が必要です。
 
・他の海外フレームワークと同様に、CRI Profileの診断ステートメントにも国内金融機関では馴染みの薄い要件が複数存在します。前述の解説書等を用いて、診断ステートメントの意図や目的を正確に理解し、必要に応じて国内慣習に併せて内容を読み替えて判断することが必要です。
 
・現バージョンのCRI Profileでは診断ステートメントごとの確認までであり、評価結果の可視化や全体的な傾向分析、成熟度の目線を踏まえたギャップの特定等は各金融機関に委ねられています。また、発見事項に対して改善計画を立てるためには、リスクや業界水準等を踏まえて課題の優先度を判断した上で、組織にとって有効な改善策を定めることが必要です。

4. おわりに

CRI Profileは、金融業界におけるベストプラクティスや関連規制等を十分に考慮して作られており、継続的なアップデートが期待できることから、すでにNIST CSFやFFIEC CATを採用している組織においてもリプレースを検討するだけの価値がある存在だと言えます。金融庁やFISCが発行した文書において本プロファイルが取り上げられていたり、KPMGが本プロファイルを用いた評価や計画策定を支援するケースが出てきていたりするなど、国内での注目度も高まってきています。

フレームワークの移行は、既存の業務計画や管理方針の見直しを必要とする場合があるため、組織内の合意形成や移行手続に相応の時間と労力を要する可能性があります。前述のとおり、CRI Profileは大型機能改修が予定されていることから、その結果も確認しつつ、組織のサイバーセキュリティに活用する適切なタイミングを継続的に検討されることを推奨します。

執筆者

KPMGコンサルティング
ディレクター 田畑 直樹
マネジャー 小畑 光季男
シニアコンサルタント 栗原 麻衣

お問合せ