- 会員限定
- 2026/06/25 掲載
金融庁準拠だけでは「サイバー防衛」は大変?新評価基準「CRI Profile」が役立つワケ
EYストラテジー・アンド・コンサルティング株式会社 金融サービス テクノロジー・コンサルティング パートナー 小川 真毅
サイバーセキュリティ業界で24年以上の業務経験を有する。セキュリティエンジニアとしてさまざまなソリューションの設計から導入、運用を数多く経験後、複数の外資系大手IT企業やグローバルファームにてサイバーセキュリティ事業の立ち上げや事業責任者を歴任。EYストラテジー・アンド・コンサルティングでは主に金融業界向けのサイバーセキュリティ・コンサルティング組織リーダーとして事業を推進している。保有する専門資格にCISSP、CISA、CISM、CBCI、CCSK、PMPなど。経営学修士(MBA)。
大手Sier、コンサルティングファームを経て現職。金融機関を中心に、サイバーセキュリティ、ITリスク管理に関する評価・高度化支援に従事。 金融機関向けサイバーセキュリティコンサルティングのチームに所属し、第三者評価サービスをリード。 CRI Profileをはじめ、FFIEC CAT、金融庁サイバーセキュリティガイドライン等、多様なフレームワークを用いた大手金融機関に対する第三者評価の豊富な経験を有する。 専門資格として、情報安全確保支援士、ITストラテジスト、プロジェクトマネージャ、システムアーキテクト、ITサービスマネージャ等の情報処理技術者に関する資格に加え、銀行業務検定も複数保有。
国内ガイドラインでは限界?なぜ今、CRI Profileが必要に?
金融庁ガイドラインやFISC安全対策基準などの国内枠組み(以下、国内枠組み)は「何を求めるか」を示す点で強い。しかし「測る」という観点では、証跡整備が目的化しやすく、検知・対応・復旧といった実効性の説明まで踏み込めないことがある。また、金融庁ガイドラインは「要求事項」、FISCは「具体策」というように抽象度が異なるため、両者を対応づけたうえで「自社にとって十分な水準」を定義しないと、どこまでを充足と捉えるかは個社判断になり、さらに同業比較や目標水準の設定が難しい。
一方、海外(特に米国)では、対策の有無だけでなく運用の体系化・定着度・継続改善まで含めて段階評価し、現状把握、ピア(同業他社)比較、目標設定、改善ロードマップを一貫させるアプローチが監督対話の中でも活用されてきたとされる。こうした潮流の中で、従来広く利用されてきたFFIEC CATの廃止を契機に、代替候補としてCRI Profileが注目されるようになった、という流れがある。
重要なのは、成熟度評価が「格付け」のためではなく、経営が意思決定するための共通言語になり得る点だ。つまり、測定結果を経営言語へ翻訳し、優先順位(投資判断)や危機対応の設計に落とすために、成熟度という物差しが必要になることが多い。
例として、単にログを取得している状態と、ログを取得し定義された条件でログを監視している状態では、「統制がある」点では同じだが「有効に機能している」という点では差が生まれる。
“現場負担”を劇的に下げる?評価を現実的にする3つの部品
CRI Profileは、金融セクター向けに設計されたテクノロジー/サイバーセキュリティ統制のフレームワークであり、NIST CSFを基盤としつつ、金融機関で重要度の高い論点に対応するよう拡張されている。まず全体を理解するには、CRI Profileを次の「3つの部品」に分けて捉えるのが分かりやすい。
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
金融セキュリティのおすすめコンテンツ
PR
PR
PR
