CRI Profileを用いたグローバルサイバーセキュリティ態勢成熟度評価サービス

背景

金融機関が参照すべきサイバーセキュリティフレームワークとして活用されてきたFFIEC CATが2025年8月で廃止され、金融機関は新たに基準とするサイバーセキュリティフレームワークの選定が喫緊の課題となっています。国内の金融機関においては、2024年10月に金融庁によって公表された「金融分野におけるサイバーセキュリティに関するガイドライン」の準拠対応が進んでいます。

一方で、金融庁のサイバーセキュリティガイドラインは、米国の業界団体であるCyber Risk Institute（以下、CRI）が策定している「CRI Profile」が参照されています。「CRI Profile」はグローバルのサイバーセキュリティ規制で遵守すべき事項が盛り込まれたフレームワークであり、グローバルで活動する大手金融機関を中心に「CRI Profile」を活用したサイバーセキュリティ態勢強化も併せて進んでいます。

CRI Profileの特徴として、これまで金融機関で広く活用されていたFFEIC CATと比較すると、評価対象となる項目数は最大500程度から300程度へと大幅に削減されています。その一方で、各評価項目の内容については端的な内容から複数要素が含まれる内容へと変化しているため、各項目で求められる要件の正確な理解が必要となり、項目ごとの評価難易度は高くなっています。

さらにCRIは、各評価項目に1段階から5段階の状態を定義した成熟度モデルを組み込んだCRI ProfileのVersion 2.1を2025年4月にリリースしました。成熟度モデルの追加に伴い、評価基準がさらに明確化されたことと、評価すべき観点も1段階から5段階の状態定義ごとに存在することから、評価項目が実質的に大幅に増加したと考えられます。

これによりCRI Profileを活用したサイバーリスク管理の実態把握について評価者および被評価者の負担が大きく、各金融機関が独自で評価活動を行うことの難しさが増しているため、CRI Profileに関する専門的知見および効率的な評価活動のポイントを熟知した外部専門家の活用が重要成功要因であると言えます。
 

EYができること

EYはCRI Innovator ProgramにPremium Membership会員として加入し、CRI ProfileのVersion 2.1の策定に関与するなど、CRIの発展に大きく貢献しています。外部専門家としての成熟度評価においてCRI Profileの知見を大いに活用して、評価活動を実施します。

さらに、EYは国内外の大手金融機関に対するCRI Profileを用いた成熟度評価において豊富な実績を有します。EYのグローバルネットワークを用いて各国連携を図りながら、評価中に検出された課題の対応方針検討や、評価基準の齟齬を発生させないための目線の統一、EYの海外ファームの知見活用等、グローバル全体で品質担保を行いながら評価作業を実施します。それによって、クライアントの国内外のグループ会社全体に対して、EYが「ワンチーム」として高品質な成熟度評価を実施することが可能です。

成熟度評価の標準アプローチ

1. 評価実施

クライアントからご提出いただく証跡およびご担当者さまへの直接のインタビューを通した事実確認結果に基づいて各評価項目の成熟度を評価します。

2. 方針検討

成熟度評価結果を基にした改善施策検討に向けて、今後達成すべき状態である目標を設定します。さらに、改善施策の優先度の考え方について方針を検討します。

3. 改善施策の立案

設定した目標と成熟度評価結果のギャップを「発見事項」として取りまとめ、発見事項に対する改善施策案を検討します。さらに、優先度の考え方に基づいて優先的に実施すべき改善施策を特定します。

4. 報告書作成

優先度を考慮した改善施策の実行ロードマップを策定します。また、成熟度評価における一連の活動結果を報告書として取りまとめ、CISO/CRO等のクライアントにおけるサイバーセキュリティ責任者に報告します。

成熟度評価報告書イメージ

1. エグゼクティブサマリー

2. 成熟度評価結果

3. 改善施策案

4. 改善ロードマップ案