{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
前回の記事では、2024年2月29日に米国の非営利団体Cyber Risk Institute(CRI)が公開した「CRI Profile v2.0」の全体的な構成や特徴、基本的な利用方法などについて触れました。
本稿では、金融分野における規制対応の側面からみたCRI Profileの有用性と足元での金融機関における利活用の動向およびそれを踏まえた示唆について解説します。
サイバーセキュリティ対策と各国当局規制との関係
金融機関は、サイバー攻撃の脅威がかつてないほど高まっている中、日々の巧妙化する攻撃から自社・顧客・従業員などを守っていく使命を負っていますが、併せて規制当局からの多岐にわたる要求事項に対応する責任も負っています。規制当局は、国や法域・業態によって独自のアプローチで金融機関に規制遵守を求めることから、グローバルに展開する金融機関は、海外拠点や業態別のグループ会社なども含めた対応が迫られます。他方、各国の金融当局は他国の規制を参考にしつつも、法域や業態に応じた固有のサイバー脅威や、個別金融機関だけでなく金融システム全体の安全の確保を踏まえた規制遵守を求めるため、似ているものの異なるサイバーセキュリティ規制や要求事項が世界中に数多く存在しているのです(図表1)。
CRI Profileの発行元であるCyber Risk Institute CEOのJoshua Magri氏は、「CRIプロファイルの最新動向と今後について」の中で、サイバーセキュリティの規制項目の数は3,000にもおよび、いわば「船頭多くして船山に上る」の状態であると語っています。
図表1:金融サービスのサイバーセキュリティ対応の複雑さ
CRI Profileは、このサイバーセキュリティ規制やIT関連規制を統合することを意識し作成されており、各国の類似的な規制項目への対応を金融機関が理解・整理しやすくなるための工夫が施されています。そのため、CRI Profileには、金融機関のRegulatory burden(規制の重複による重荷)への対応を改善する効果が期待されています。
規制対応から見たCRI Profileの有用性
CRI Profileが金融機関と当局の両面から注目を集める理由は、次の4つの側面から解説することができます。
1. CRI Profileに対する当局の関心
米国を中心として当局や関連機関はCRI ProfileやCRIの活動に興味と関心を寄せており、一例として以下のようなコメントや認識が公表されています。これらは、金融機関がCRI Profileを活用する動機付けの1つになっており、米国のみならず欧州の大手の金融機関でも活用が広がっているため、今後このトレンドはより発展的に拡大するものと思われます。
- FFIEC(米国連邦金融機関検査協議会)は、監督対象の金融機関が使用を検討できるツールの1つとしてCRI Profileを挙げ、「特定のツールを推奨はしないが、これらの標準化されたツールは金融機関の自己評価活動に役立つ」との認識を示しています※1。
- NIST(米国立標準技術研究所)は、CRI Profileを、「これまでで最も詳細なサイバーセキュリティフレームワークに基づくセクター規制の調和的アプローチの1つ」と評しています※2。
- NYDFS(ニューヨーク州金融サービス局)は、「サイバー評価フレームワークは、包括的なリスク評価の有用な要素」と述べたうえで、「対象エンティティが採用している広く使用されているフレームワーク」の1つとしてCRI Profileを挙げています※3。
- ENISA(The European Union Agency for Cybersecurity:欧州連合サイバーセキュリティ機関)は、EUのサイバーセキュリティの取り組みを紹介したレポート※4の中で、「CRIは世界経済の保護に取り組んでおり、標準化を通じてサイバーセキュリティとレジリエンスを強化している」と紹介しています。
2. CRI Profileと当局規制・フレームワークとの対応表
CRI Profileでは、日本の金融庁を含む下表にある各国当局の主要な規制やフレームワークの要求事項とのマッピングが示されています(図表2)。上述のとおり、各国の当局や機関が示す要求事項はおのおので公表されているものの、類似性の高い項目が多数あることから、標準化され、マッピングが示されたCRI Profileは、各金融機関が規制や要求事項への対応を行ったり、遵守状況を確認したりする上で便利なものです。
図表2:マッピングが提供されているフレームワークの一覧
# |
マッピングが提供されているフレームワーク名およびリンク |
発行主体 |
国・地域 |
発行時期 |
1 |
Australian Prudential Regulation Authority(APRA) |
オーストラリア |
2019-06 |
|
2 |
Australian Prudential Regulation Authority(APRA) |
オーストラリア |
2019-07 |
|
3
|
Australian Securities and Investments Commission(ASIC) |
オーストラリア |
2023-01 |
|
4 |
Center for Internet Security(CIS) |
米国 |
2024-06 |
|
5 |
Cybersecurity and Infrastructure Security Agency(CISA) |
米国 |
2023-03-21 |
|
6 |
EU Digital Operational Resilience Act(DORA)Level 1 & 2 Regulations |
European Union(EU) |
EU |
2023-01 |
7 |
European Banking Authority(EBA) |
EU |
2020-06-30 |
|
8 |
ECB Cyber Resilience Oversight Expectations for Financial Market Infrastructures |
European Central Bank(ECB) |
EU |
2018-12-03 |
9 |
FFIEC IT Examination Handbook - Architecture, Infrastructure, and Operations(AIO) |
Federal Financial Institutions Examination Council(FFIEC) |
米国 |
2021-06 |
10 |
FFIEC IT Examination Handbook - Business Continuity Management(BCM) |
Federal Financial Institutions Examination Council(FFIEC) |
米国 |
2019-11 |
11 |
Federal Financial Institutions Examination Council(FFIEC) |
米国 |
2015-06-30 |
|
12 |
FFIEC IT Examinations Handbook - Development, Acquisition, and Maintenance(DAM) |
Federal Financial Institutions Examination Council(FFIEC) |
米国 |
2024-08 |
13 |
Hong Kong Monetary Authority(HKMA) |
香港 |
2018-06 |
|
14 |
HK SFC Guidelines for Reducing and Mitigating Hacking Risks Associated with Internet Trading |
Hong Kong Securities and Futures Commission(SFC) |
香港 |
2017-10 |
15 |
JFSA Comprehensive Guidelines for Supervision of Major Banks |
Japan Financial Services Agency(JFSA) |
日本 |
2021-06 |
16 |
Monetary Authority of Singapore(MAS) |
シンガポール |
2019-08-06 |
|
17 |
Monetary Authority of Singapore(MAS) |
シンガポール |
2021-01-18 |
|
18 |
National Association of Insurance Commissioners(NAIC) |
米国 |
2017-Q4 |
|
19 |
National Institute of Standards and Technology(NIST) |
米国 |
2023-11 |
|
20 |
National Institute of Standards and Technology(NIST) |
米国 |
2025-04 |
|
21 |
NIST NIST IR 8374 - Ransomware Risk Management: A Cybersecurity Framework Profile |
National Institute of Standards and Technology(NIST) |
米国 |
2022-02 |
22 |
National Institute of Standards and Technology(NIST) |
米国 |
2024-02-26 |
|
23 |
NYDFS Cybersecurity Regulation(23 NYCRR 500 Second Amendment) |
New York Department of Financial Services(NYDFS) |
米国 |
2023-11-01 |
24 |
Office of the Comptroller of the Currency(OCC) |
米国 |
2023-06-26 |
|
25 |
National Institute of Standards and Technology(NIST) |
米国 |
2024-02-26 |
|
26 |
Office of the Superintendent of Financial Institutions(OSFI) |
カナダ |
2022-07 |
|
27 |
OSFI Cyber Security Self Assessment(CSSA) | Office of the Superintendent of Financial Institutions(OSFI) |
カナダ |
2021-08 |
28 |
SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure |
Securities and Exchange Commission(SEC) |
米国 |
2023-08-04 |
| 29 | MITRE ATT&CK※5 v16.1 | MITRE | 米国 | 2024-10-31 |
「CRI Profile version 2.1 Catalog of Mapped Documents」※6 を基にPwCにて作成
さらに、CRI Profileのマッピング対象は随時アップデートしていくと宣言されています。具体的には、以下の規制も今後のマッピング対象となる可能性があります。
- 日本
- 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」
- 国際標準
- SWIFT CSP
3. 継続的な内容更新
CRI Profileは世の中のサイバーセキュリティの潮流に従い、2〜3年ごとに大幅な改訂が行われると言われています。実際に、CRI Profile v2.0が公表された2024年2月29日から約1年後の2025年4月15日には、成熟度モデルの追加およびDORA(Digital Operational Resilience Act)をはじめとした各国のサイバーセキュリティ規制との追加的なマッピングが行われたCRI Profile v2.1が公表されています。
さらに、各国の規制とも整合性を取っているため、新しいトピックがあれば迅速に吸収されると考えられます。現時点での具体例として、NISTのAIリスクマネジメントフレームワークを活用し、金融サービス向けにProfileをAIの領域にも拡張する予定があります。
このような特徴から、CRI Profileを利用し、更新を定期的に確認することで、主要な規制トレンドを把握することができるようになっています。
4. ステークホルダーからの期待を読み解く
CRI Profileは、サイバーセキュリティ領域だけでなく、関連するITの領域も含むように設計されています。これは、規制当局をはじめとする各種ステークホルダーの期待を反映したものです。具体的には、次のような点が挙げられます。
(1)FFIEC CATの取り込み
前回の記事でも記載した通り、金融機関で広く利用されていたサイバーセキュリティのフレームワークであるFFIEC CATは、2025年8月31日をもって廃止されます。FFIEC CATには、サイバーセキュリティ対策を行う上で関係性の深いIT管理(例:システム設計、インフラ機器管理、変更管理)の要求事項が含まれていました。これらの要素がCRI Profileにも含まれたため、FFIEC CATからCRI Profileのコンバージョンがより効果的・効率的になったと考えられます。
(2)金融当局の要求事項の潮流
最近の金融当局のサイバーセキュリティ強化に関する期待の潮流として、次のような特徴が挙げられます。
- オペレーショナル・レジリエンスに対する期待
- サイバーセキュリティ対策とIT管理との連携
- サードパーティリスクの重視
日本においても、金融庁が2023年4月に「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表しています。オペレーショナル・レジリエンスは、さまざまなディスラプションの発生に備えて、コアとなる事業・サービスの維持・回復能力を確保するという考え方です。また、経済安全保障の観点からも重要インフラサービスに係るレジリエンス、重要サードパーティの管理強化(サードパーティ・リスク・マネジメント)が求められています。加えて、金融庁が取組方針等において「サイバーハイジーンの確保」の重要性を述べていますが、これはIT機器などの堅牢な管理こそがサイバーセキュリティ対策に効果的であることに他なりません。
(3)サイバーセキュリティに対する経営陣や取締役会のコミット
今やサイバーセキュリティ対策は担当部署のみのタスクではなく、他部署と連携しながら対応するものであり、そのための全社的な枠組みの構築とリスク管理が重要と言えます。その態勢構築の責任は経営陣にあり、CEOの下、CISOとCIOやCDOおよびCROなどが密接に連携し関連部署を連動し機能させることが重要です。また取締役会やリスクコミッティには執行部門の取り組みの十分性に対する厳密な監督と、必要に応じた是正提言が期待されます。サイバー空間でのデータの取り扱いが不可欠である現在、サイバーセキュリティを企業経営の柱として意識する必要性がCRI Profileからも読み取れます。
このように、CRI Profileはグローバルな規制対応を効率化するための強力なツールとして、今後も注目されることが予想されます。
CRI Profileの活用動向と事例・今後に向けた提言
日本国内でも、CRI Profileへの注目は確実に高まっています。その背景には、国内動向・海外動向の2つの側面があります。国内では、2024年10月4日に金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。同ガイドラインは、CRI Profileを広く参考としているため、CRI Profileの要求事項を正しく理解し対応していくことが、金融庁の求めるサイバーセキュリティ水準を達成するための1つの方法になると考えられます。また金融庁が同ガイドラインの作成においてCRI Profileを参考にした背景には、日本の金融分野も海外と同水準を目指していくといったメッセージが込められているとも推察できます。
こうした背景もあり、国内でも大手の金融機関を中心に、次のようなCRI Profileの活用事例が見られています。
- 自組織のサイバーセキュリティ管理態勢の評価・監査の観点として利用する
- 海外拠点・支店との目線合わせとしての共通の物差しとする
- 自組織のサイバーセキュリティ関連規程の見直しに利用する
- 委託先に要求するサイバーセキュリティ水準の策定に利用する
- 金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」への対応を進める際に、要求事項の理解の補助として活用する、もしくはマッピングして合わせて対応を進める
海外に目を向けると、米国の金融機関では、CRI Profileを評価・監査のツールとしてだけではなく、自組織のサイバーセキュリティ管理態勢を構築する際のよりどころとしたり、経営陣を含むステークホルダーへの報告に活用したりするなどして、次のような効果を得ていると言われています。
- サイバーセキュリティ管理態勢をCRI Profileをベースに構築することで、サイバーセキュリティの取り組みが包括的であることについての規制当局への説明力が増した
- 評価プロセスを統一することにより、組織全体でのリスクの理解と評価が容易になり、継続的なパフォーマンス評価の基準が設定された
- グループ企業に対してもCRI Profileという共通の物差しでサイバーセキュリティの対策水準を測定し、リスクを特定、評価および集約するプロセスとすることにより、グループ企業間でのリスクの可視化が容易となった
しかしながら、CRI Profileは比較的新しいフレームワークのため、海外金融機関でも、他のフレームワークからのシフトには、相応の時間と労力を要したという声も聞こえています。そのため今後、日本の金融機関がCRI Profileの活用を進めていくためには、次のような取り組みと工夫をしながら活用を推進していくことを推奨します。
- CRI Profileを活用していく意義について取締役会や全経営陣、CxOなどの十分な理解を促し、経営レベルの共通認識を醸成する
- 明確な期待設定を行い、かつ戦略目標との整合を確認する
- 明確なチェンジマネジメントプログラムとして計画立案し、経営陣から現場まで、また部門間横断での共通理解と役割・体制を構築する
- CRI Profileの意義やその詳細な理解のための教育・啓蒙を行う
- CRI Profileを用いた評価や監査を行う初期段階にあたっては、それらを推進する専任のチームを組成するとともに被評価部署からも確実に協力を得るための十分なリソースを確保する
まとめ
本稿では、CRI Profileが、金融分野におけるサイバーセキュリティの課題に対応できるガイドラインであることについて、グローバルトレンドや当局規制との対応などの観点から解説しました。本邦金融機関でも、本項で紹介した事例も参考に、さまざまな使い方ができるCRI Profileを自組織に合う形で活用することで、サイバーセキュリティの高度化を図っていくことが肝要です。
参考文献
※1 Cyber Risk Institute,「The Profile - Cyber Risk Institute」(2025年7月9日閲覧)にて紹介されている「FFIEC(米国連邦金融機関検査協議会)」によるRecognitionをPwC Japanにて日本語訳(参考訳)
※2 Cyber Risk Institute,「The Profile - Cyber Risk Institute」(2025年7月9日閲覧)にて紹介されている「NIST(米国立標準技術研究所)」によるRecognitionをPwC Japanにて日本語訳(参考訳)
※3 Cyber Risk Institute,「The Profile - Cyber Risk Institute」(2025年7月9日閲覧)にて紹介されている「NYDFS(ニューヨーク州金融サービス局)」によるRecognitionをPwC Japanにて日本語訳(参考訳)
※4 ENISA, 「EU Cybersecurity Initiatives in the Finance Sector」(2025年7月9日閲覧)
※5 MITRE ATT&CKとCRI Profileのマッピングは、以下「※6」にて記載している「CRI Profile version 2.1 Catalog of Mapped Documents」には盛り込まれていないが、MITRE社の「CRI Profile Landing – Mappings Explorer」上に公表されている(2025年7月9日現在)ため、本表に追加している。
※6 Cyber Risk Institute, 「CRI Profile version 2.1 Catalog of Mapped Documents」(2025年7月9日閲覧)
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
