{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
AIの登場やサイバー犯罪エコシステムの拡大により従来とは次元の異なるサイバー攻撃の脅威が顕在化し、金融機関が直面するリスクは一層深刻化しています。こうした背景の中、2024年2月に米国の非営利団体であるCRI(Cyber Risk Institute)は新たなサイバーセキュリティ評価ツール「CRI Profile v2.0」を公開し、日本の金融機関でも高い注目を集めています。今回のメジャーアップデートは、米国立標準技術研究所の「NIST Cybersecurity Framework 2.0」(以下、NIST CSF 2.0)の改訂を踏まえた内容となっています。
CRI Profile v2.0が注目される理由の一つは、米国主要当局が支持するスタンスを示しており、米国の大手金融機関を中心として活用が広がっていることです。さらに、2024年6月に公表された日本の金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」においても、CRI Profileが参考にされていることが明確に言及されており、金融庁も金融機関におけるCRI Profileの活用を促進する意識があると考えられます。
日本の金融機関にとっても、サイバーリスク対策とレジリエンス強化に活用できるとの期待が高まっており、本稿ではCRI Profile v2.0の特徴とその活用方法について詳しく紹介します。
CRI Profileとは
金融機関向けのサイバーセキュリティ・サイバーレジリエンス評価ツールであるCRI Profileの特徴には、下図で示す以下の4点があります。
CRI ProfileにおけるImpact Tierの評価方法
CRI Profileでは、金融サービスセクターを「Impact Tiering Questionnaire」の質問により、重要度によって以下の4つのTierに分類しています。
Tier1:国家/超国家レベルの影響(National/Super-National Impact)
Tier2:準国家レベルの影響(Sub-National Impact)
Tier3:セクターレベルの影響(Sector Impact)
Tier4:地域レベルの影響(Localized Impact)
Tierごとに求められる管理策は異なります。図表2に例示する「Impact Tiering Questionnaire」の質問が1.1から3.2.Bまで合計9個あり、順に回答します。質問に対して「Yes」の回答があった場合、その回答を基にTierが決定されます。例えば、1.1にてG-SIBs(グローバルなシステム上重要な銀行)やD-SIBs(国内のシステム上重要な銀行)に相当する大規模な金融機関であるとの回答であれば「1.国家/超国家レベルの影響」と診断されます。一方で、1.1から3.2Bまでのすべての質問への回答が「No」であれば、「4.地域レベルの影響」と診断されます。
これまで、国内外の多くの金融機関が活用してきたツールとしてFFIEC(米国連邦金融機関検査協議会)が金融機関向けに用意した「Cybersecurity Assessment Tool」が知られています。このFFIEC Cybersecurity Assessment Tool(以下、FFIEC CAT)では5つのカテゴリに分類される合計39個の固有リスクプロファイル全てに対してリスクレベルを評価することにより金融機関の固有リスクを識別します。一方で、CRI Profileでは9個の質問のうち最初に「Yes」と回答した場所によりTierが識別されることになりますので、より容易に分類できます。
CRI Profileの評価ツールの構成
上述した通りCRI ProfileはNIST CSF 2.0との整合を意識しているツールとなっていることから、下図の7つのFunctionから作成されています。
近年のサイバーセキュリティの動向を踏まえた内容が盛り込まれている
昨今特に話題となっている「ガバナンス」と「サードパーティ管理」にフォーカスが当てられているほか、シャドーITの管理やクラウドサービスの制御、ダークウェブの監視、暗号化標準や鍵管理などへの観点が盛り込まれており、近年のサイバー攻撃の動向や企業のIT環境の変化を踏まえた内容を意識していると読み取れます。
また、Tiierごとの項目数に着目するとTier1~2とTier3~4とで項目数の差が大きくなっており、Tier2以上に該当するか否かにより、金融機関の意識すべき対策に差が生じると考えられます。
インシデントレスポンスはどのTierであっても重要
Functionのうち、「対応(RESPOND)」、「復旧(RECOVER)」に着目すると、Tier1~4の項目数に大きな差異がないことが分かります。これは、金融機関の規模に関係なく「攻撃されることを前提とした対策とインシデント対応の準備」が重要視されていると考えられ、今後、当局がより強く意識するポイントの1つとなることが想定されます。
CRI Profileの評価ツールの利用方法
実際に組織のサイバーセキュリティ態勢を評価する際には、管理策のレベルとなる「Diagnostic Statement」(診断ステートメント)に記載された要件を確認していくこととなります。CRI Profile v2.0には、各Diagnostic StatementにResponse Guidance(回答の手引き)が用意されています。回答の手引きには、それぞれのDiagnostic Statementにて確認・文書化すべき点や構築すべき体制、整備すべきプロセスなどに関する解説が含まれています。また、説明に利用できると想定される証跡例がExamples of Effective Evidence(有効な証跡例)として示されています。これによって、従来のフレームワークよりも評価項目の要件を容易に解釈することができます。ただし、項目によっては回答の手引きの指示に基づいて文書化すべき内容が細かく、要件の主旨とは直接的に合致しないものもあるため、どこまで確認・文書化すべきかについて、評価者と被評価者の間で認識を合わせておくことが評価時のポイントになると考えられます。
また、CRI Profileの評価結果では以下の8つの選択肢1が用意されています。これまで、FFIEC CATをはじめとする評価ツールでは、Yes/Noの2択あるいは、Partial(部分的)を含めた3択で評価されることが多く、リスクベースのアプローチが使われにくかった実態がありました。しかしながら、CRI Profileでは評価結果の選択肢にリスクベースや、代替コントロールでの達成が明確に記載されており、より組織の実態に即した評価がしやすくなったと言えます。特にリスクベースの達成(Yes-Risk Based)では、リスクの高い資産または最もリスクの高いコントロール機能に対して、ステートメントに記載された内容を達成しているかという観点となっており、リスクのフォーカスエリアを定めてコントロールを実装することが有効な方法の一つとして明確に記載されています。これらの考え方は、金融庁が各所で言及しているリスクベースのコントロール実装と評価が実効性を持って進む一助となることが期待されます。
- はい(Yes):
Profileの診断ステートメントに記述された全てのコントロール結果は定期的に評価および/またはテストされ、組織環境で設計されていて信頼性があることが実証されています。 - いいえ(No):
Profileの診断ステートメントに記述されたコントロール結果は意味のある形で実装されていません。 - 部分的(Partial):
Profileの診断ステートメントに記述されたコントロール結果の有意なサブセットが定期的に評価および/またはテストされ、組織環境で設計されていて信頼性があることが実証されています。 - 該当なし(Not Applicable):
Profileの診断ステートメントは、機関内の他の関連するステークホルダーと協議して、機関に適用されないと判断されます。
- はい-リスクベース(Yes-Risk Based):
Profileの診断ステートメントに記述された全てのコントロール結果は定期的に評価および/またはテストされ、組織環境において最もリスクの高い資産、または最もリスクの高い制御機能に対して設計されていて信頼性があることが実証されています。 - はい-代替統制(Yes-Compensating Control):
組織は、代替制御を使用することで診断ステートメントの意図を満たしている場合、この回答を選択するかもしれません。 - 評価予定(Not Tested):
ある機関がこの回答を選択するのは、診断ステートメントに関連するコントロールをまだテストしていない場合です。 - 分からない(I don’t know):
個々の評価ユーザーは、最も正確な回答を決定するために、組織内の他の関連するステークホルダーに確認するためのプレースホルダー/メモとしてこの回答を選択するかもしれません。
まとめ
本稿では、CRI Profile v2.0の概要や全体的な構成、利用方法を解説しました。FFIECは、2025年8月31日をもってCATを廃止することを発表2しており、CRI Profileの活用についても言及しています。次回は今後、CRI Profile v2.0が金融機関のサイバーセキュリティ評価ツールのデファクトスタンダードとして活用される可能性に焦点を当て、CRI Profile v2.0に係る各国当局の反応を考察していきます。また、 FFIEC CATを代表例として他のフレームワークとの差異を分析しながら、CRI Profile v2.0の活用が進んでいる米国の大手金融機関を含む各組織の取り組みや、CRI Profile v2.0を評価ツールとして移行した際の苦労、活用方法の具体例などについて解説します。
参考文献
1:Cyber Risk Institute,「CRI Profile Guidebook」(2024年8月10日閲覧) https://cyberriskinstitute.org/the-profile/
2:FFIEC, FFIEC Announcement 2024-03(2024年8月30日閲覧)
https://www.ffiec.gov/press/pdf/CAT_Sunset_Statement_FFIEC_Letterhead.pdf
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
