サイバーセキュリティは、もはやIT部門の「技術課題」ではなく、経営が引き受けるべき「事業リスク」である。ランサムウェアによる業務停止、顧客情報の漏えい、規制当局への報告・公表の遅延、復旧の長期化は、収益機会の逸失だけでなく、経営の重要課題となっている。一方、多くの金融機関では「対策は進めているが、自社の水準を経営層に説明できない」「同業他社と比べた立ち位置が見えない」という課題が残る。日本でも、金融庁の「金融分野におけるサイバーセキュリティガイドライン」（以下、金融庁ガイドライン）の公表を受け、各金融機関でガバナンス・体制整備が進む一方、経営に対して「自社は十分か」を説明しにくい実態がある。本稿では、国内の枠組みを踏まえつつ、世界で進む「評価の標準化」の潮流を概観し、次回以降の議論（CRI Profileなど）につながる視点を提示する。

EYが大手の金融サービス企業に所属する81名のサイバーセキュリティ責任者に聞いたところ、インシデントの発生件数が少なく、また検知や対応に要する時間も大幅に短縮できる企業には共通点があることが分かった。「セキュリティ先駆企業」が実行する「5つのアクション」とは何だろうか？