{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
サイバー攻撃は日進月歩で進化し続け、近年ではクラウドサービスや、生成人工知能(AI)といった技術に対するセキュリティの担保が大きな課題となっています。また、グローバル規制は複雑化が進んでおり、金融機関は迅速、かつ柔軟に対応することが求められています。
こうした環境下において、グローバル金融機関のサイバーセキュリティに係る知見や取り組みは、日本の金融機関にとっての有効な示唆となります。本稿ではCyber Risk Institute(以下、CRI)でCEOを務めるJoshua Magri(ジョシュア・マグリ)氏が、CRIが開発した金融サービス業界向けのサイバーセキュリティフレームワーク「CRI Profile」がどのように役立つかを解説します。
登壇者
Cyber Risk Institute CEO
Joshua Magri(ジョシュア・マグリ)氏
船頭多くして船山に登る―CRI設立は規制条項の複雑性解消が原点
最初にCRIの組織概要と、その生い立ちを紹介しましょう。CRIは2020年に設立された、金融業界向けの規格策定を行う非営利の業界団体です。現在、60社を超える金融機関と10社以上のイノベーター会員が参加しており、グローバル企業から中堅・小規模企業、保険会社、金融市場ユーティリティ、業界団体まで幅広い会員構成となっています。
CRIの設立背景には、多くのCISO(Chief Information Security Officer:最高情報セキュリティ責任者)がサイバーセキュリティに関する規制評価に膨大な時間を費やしていたという課題がありました。下の図は、金融サービスのサイバーセキュリティ対応の複雑さを表したものです。
2017年には約3,000の規制条項が存在していました。その理由は、各規制当局が独自のアプローチで、サイバーセキュリティを論じていたためです。しかし、その内容を精査すると、各当局のアプローチは異なってはいますが、ほとんど同じ内容をカバーしていました。日本には「船頭多くして船山に登る」ということわざがありますが、規制条項はまさにこのことわざどおりの問題を生じさせていました。実際、CISOチームの作業時間の40%が、この規制対応作業に充てられていたのです。私たちが目指していたのは複雑化するサイバーセキュリティ規制への対応の効率化でした。
そこでCRIは主要なフレームワークを基に、各項目のマッピングに着手しました。具体的には、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)のサイバーセキュリティフレームワーク、IOSCO(International Organization of Securities Commissions:証券監督者国際機構)の白書、FFIEC(Federal Financial Institutions Examination Council:連邦金融機関検査協議会)のサイバーセキュリティ評価ツール、ISO(International Organization for Standardization:国際標準化機構)の統制項目を参照しました。
その結果、最も適切な基盤となることが判明したNISTのサイバーセキュリティフレームワークを基礎としてISO、IOSCO、FFIECのサイバーセキュリティ評価ツールの項目を統合し、「ロゼッタストーン」的なツールを作成しました。そして私たちはこの統合したフレームワークを「プロファイル」と名付けました。これが「CRI Profile」のスタートです。
NISTのサイバーセキュリティフレームワークは優れたカテゴリとサブカテゴリの分類を持っていましたが、当初は「識別」「防御」「検知」「対応」「復旧」という5つの機能に限定されていました。しかし、金融業界の規制当局はこれ以外の要素も重要視していました。これらの需要に応えるため、CRIはNISTの5つの機能を7つに拡張しました。
特に重視していたのは「3つの防衛線」「方針」「手続きなどのガバナンス機能」「サードパーティリスクの管理」でした。サードパーティリスクは「エクステンド」と呼ばれる領域です。
CRI Profile v2.0では、この「エクステンド」を7つの主要機能の1つとして位置付けています。「エクステンド」機能は組織の境界を越えて、サプライチェーンやサードパーティとの関係におけるサイバーセキュリティリスクを管理することに焦点を当てています。
これにはベンダー管理、クラウドサービスプロバイダーとの連携、データ共有の安全性確保などが含まれます。この機能を追加することで、CRI Profileは現代の複雑な金融エコシステムにおけるサイバーセキュリティリスクをより包括的に捉えることができるようになりました。
この拡張版として、CRIは2024年2月に「CRI Profile v2.0」を公開しました。CRIは非営利団体として、これらの資料を無料で提供しています。
CRI Profile v2.0はNISTのカテゴリやサブカテゴリを拡充し、各サブカテゴリと関連する規制を紐付けています。この作業により、当初約3,000あった規制条項を287の評価質問項目にまとめることができました。CRIではこれを「Diagnostic Statement」と呼んでいます。この取り組みにより、複雑で膨大だった規制要件を、より管理しやすく、理解しやすい形に整理できました。
Diagnostic Statementは金融機関のサイバーセキュリティ対策実施と規制要件適合を効率化するものです。例えば、複数の規制機関がCISOの定期的な取締役会報告義務を定めている場合には、Diagnostic Statementを用いることで、「どの機関が」「どの規制条項に基づいて」「どのような報告を求めているのか」をたどって特定できます。
「CRI Profile v2.0」の機能とその利用可能性とは
CRI Profile v2.0について、さらに深掘りしていきましょう。
CRI Profileは、金融機関の規模や影響力に応じて、以下の4階層(Tier)に大別しています。そして各Tierに応じて、対応すべき質問項目が調整されています。
Tier1 国家または世界経済に影響を与える機関
Tier2 準国家的影響を与える機関
Tier3 金融サービスセクターに影響を与える機関
Tier4 一定の顧客や第三者に限定的な影響を与える機関
前述したとおり、CRI Profile v2.0は無償で公開されており、ダウンロード可能なファイルには、機能、カテゴリ、サブカテゴリ、Diagnostic Statementが整理されています。さらに、このファイルには、各Tierに適用されるDiagnostic Statementの種類、新しいNIST CSF v2.0のマッピング結果、関連規制との対応関係も包含されています。これにより、ユーザーは自社の状況に応じた適切なサイバーセキュリティ対策を効率的に把握して実行できます。
CRI Profile v2.0では、サイバーセキュリティだけでなく、IT全般をカバーするように範囲が拡大され、重要な改善が行われました。まず、「エンタープライズテクノロジー」「サードパーティリスク」「ビジネスレジリエンス」といった新しい分野が加わり、これに伴いDiagnostic Statementの数が318個に増加しました。
また、最新技術への対応として、暗号化、クラウドサービス、量子コンピューティングに関連する新しいDiagnostic Statementを追加しました。さらに、リスク管理を強化するため、緊急時の変更管理やソフトウェア開発ライフサイクルに関するより包括的なStatementも含まれています。これらの改善により、CRI Profile v2.0は現代の複雑なIT環境と進化するサイバーセキュリティの脅威に対応する、より包括的なフレームワークとなりました。
さらに、さまざまな規制当局の要件とのマッピングも強化しました。例えば国際的な規制マッピングの強化では、各国・地域の規制要件とCRI Profileとのマッピングを強化しています。これにより、異なる国や地域で事業を展開する金融機関が、各国・地域の規制要件に効率的に対応できるようになります。
アジア太平洋地域での取り組みとしては、日本の金融庁やシンガポール金融管理局など、アジア太平洋地域の規制当局の要件とのマッピングを完了しました。また、香港金融管理局のサイバーレジリエンスアセスメントフレームワーク(HKMA CRAF)との初期マッピングも実施しており、2024年末頃に公表予定です。さらに、オーストラリアの規制項目とのマッピングにも着手しています。
一方、欧州での展開では今後、欧州連合が導入を進めている金融セクターのデジタルレジリエンス強化のための規制フレームワークDORA(Digital Operational Resilience Act:デジタルオペレーショナルレジリエンス法)のレベル1とレベル2の要件も含める予定です。
グローバルトレンドから読み解くコンプライアンス動向最前線
次に、金融業界で発生しているグローバルなコンプライアンストレンドについてお話をします。現在、金融機関では4つのトレンドがあると考えられます。
1つ目は、各国の規制当局が発行するサイバーセキュリティ関連の規制やガイドラインが、CRI Profileを含む少数のツールセットに集約されつつあることです。
2つ目は、クラウド、サードパーティ、AI、インシデント対応に関するセキュリティコントロールが、新たに発展していることです。
3つ目は、地域別の取り組みが活発化していることです。先述のとおり、日本では金融庁が最近取りまとめたガイドライン*1にCRI Profileが参照されています。またシンガポールでは金融管理局が金融サービスにおける生成AI技術のリスクと可能性を検証する「Project MindForge」に取り組んでいます。米国でもインシデント報告とそのガイドライン策定に注力していますし、EUではDORAのレベル2技術標準の最終化に注目が集まっています。
そして4つ目は、グローバルな標準化への動きです。歴史を振り返ると、航空や海運の発展に伴い、共通言語や標準時間の設定が必要となりました。これらの標準化により、国際的な移動や貿易が円滑になりました。現在、インターネットが商業の主要な基盤となる中で、同様の標準化の必要性が生じています。特に、サイバーセキュリティ、AI、クラウドの分野では、グローバルな標準の確立が急務となっています。このような状況下で、CRIは NISTのサイバーセキュリティフレームワークをベースとしたCRI Profileが新たな国際標準を実現する手段の1つになると考えています。
ただし、CRIは自らのアプローチだけが唯一の解決策だとは考えていません。他の有効なアプローチや新たな国際的コンセンサスが形成された場合には、柔軟に対応する準備があります。重要なのは、インターネットを基盤とする現代の商業において、サイバーセキュリティの国際的な合意形成を迅速に進めることです。CRIはこの重要な課題に対して、今後も積極的に取り組んでいきます。
クラウドプロバイダーとの対話から生まれた「CRI Cloud Profile」
最後に、2024年7月にバージョン2を公開した「CRI Cloud Profile」について説明しましょう。
CRI Cloud Profile誕生のきっかけは、米国のバージニア州北部のレストランでの会話です。当時私は金融業界に転職したばかりで、ある大手クラウドサービスの創設者と向き合っていました。私はこのクラウドサービスプロバイダーが、金融サービス向けのサイバーセキュリティの統制機能(コントロール)強化に協力してくれるかどうかを確認するよう頼まれていたのです。
しかし、その創設者は「金融業界の要求には応じられない。なぜなら要求の根拠が不明確だからだ」と語りました。この会話が、金融業界とクラウドプロバイダー間にあるギャップを埋め、相互の理解を深めるツール― CRI Cloud Profile ―を作成する最初の一歩となりました。
CRI Cloud Profileの作成は2020年に始まり、2022年に公表されました。このツールは金融業界の要求を明確化し、関連規制と紐付けることで、クラウドサービスプロバイダーにとっても理解しやすいものとなりました。
開発過程では、主要クラウドサービスプロバイダーの協力を得て、CRI ProfileのDiagnostic StatementとCSA(Cloud Security Alliance)のクラウドコントロールマトリックスを統合し、さらに責任関連の項目を追加しました。その理由はサードパーティクラウドへの関心が世界的に高まっていたことに対応するためです。
米国財務省は、金融業界のクラウド利用評価においてCRI Cloud Profileを参照フレームワークとして採用しました。その後、財務省からプロファイルの更新と改良の要請を受け、再びクラウドサービスプロバイダー、金融機関、その他の関係者と協力して改良に取り組みました。
この過程では、米国の政府調整委員会であるFBIIC(Financial and Banking Information Infrastructure Committee:金融・銀行情報インフラ委員会)を通じて連携を図りました。またCloud Security Alliance(クラウドセキュリティアライアンス)、ECUC(European Cloud User Coalition:欧州クラウドユーザー連合)、CMORG(Cross Market Operational Resilience Group:クロスマーケットオペレーショナルレジリエンスグループ)とも連携して作業を進めました。
以下の図はCRI Cloud Profileと「CRI Cloud Profile v2.0」の違いです。CRI Cloud Profile v2.0では、CSAのクラウドコントロールとのマッピングに加え、CMORGやECUCからの項目も含めました。さらに責任マトリックスを拡充し、クラウドサービスプロバイダーと金融機関の管理すべきコントロールと共有コントロールの詳細も記載しています。
また、視覚的にわかりやすいガイドブックも作成し、どの機関、どのクラウドサービスプロバイダーがどの質問項目に対応すべきかも明確に示しています。CRI Cloud Profileは金融機関が大規模クラウドを調達する際のチェックリストとして機能しており、実際に複数のクラウドサービスプロバイダー試用に興味を示しています。
こうした更新作業には約1年かかりましたが、2024年7月にCRIのサイトで公開することができました。皆様もぜひ活用してください。
【URL】https://cyberriskinstitute.org/the-profile
以上で私の説明は終わります。ご清聴ありがとうございました。
*1 金融庁「主要行等向けの総合的な監督指針」等の一部改正(案)及び「金融分野におけるサイバーセキュリティに関するガイドライン」(案)に対するパブリックコメントの結果等についてhttps://www.fsa.go.jp/news/r6/sonota/20241004/20241004.html
CRI Profileについて詳細は下記で解説しています。
金融分野の新サイバーセキュリティ評価ツール「CRI Profile」の意義と活用術
※法人名、役職、内容などは2024年10月時点のものです。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
