サイバーセキュリティは、もはやIT部門の「技術課題」ではなく、経営が引き受けるべき「事業リスク」である。ランサムウェアによる業務停止、顧客情報の漏えい、規制当局への報告・公表の遅延、復旧の長期化は、収益機会の逸失だけでなく、経営の重要課題となっている。一方、多くの金融機関では「対策は進めているが、自社の水準を経営層に説明できない」「同業他社と比べた立ち位置が見えない」という課題が残る。日本でも、金融庁の「金融分野におけるサイバーセキュリティガイドライン」（以下、金融庁ガイドライン）の公表を受け、各金融機関でガバナンス・体制整備が進む一方、経営に対して「自社は十分か」を説明しにくい実態がある。本稿では、国内の枠組みを踏まえつつ、世界で進む「評価の標準化」の潮流を概観し、次回以降の議論（CRI Profileなど）につながる視点を提示する。