サービスリリースの背景
経済の根幹を支える金融機関は、世界のどの国においても、高度なサイバーセキュリティが求められる。特に米国では、NIST(米国国立標準技術研究所)によるCyber Security Framework(重要インフラのサイバーセキュリティを強化するためのフレームワーク)をベースに、FFIEC(米国連邦金融機関検査協議会)が金融機関向けに用意したCybersecurity Assessment Tool(CAT)が広く活用され、サイバーセキュリティの取り組みが推進されているという。
発表されたサービスは、この米国金融機関のスタンダードともいえるFFIEC CATを監査基準として、金融機関に対して、サイバーセキュリティに対する取り組みの成熟度を測り、改善につなげる監査サービスになる。
サービス概要
ビジネス上のリスクレベルを算出し、それに対して適切なサイバー対策が取られているか、サイバーセキュリティ成熟度評価を行う。その結果、リスクレベルに対して、サイバーセキュリティ成熟度が不足する場合は、サイバー対策を強化し、過剰な場合はコストの最適化を検討する。
- 対象:日本国内で金融サービスを提供している/客観的なサイバー対応レベルを知りたい企業・組織
- 期間:4~6か月
- 成果物:監査計画書/リスクプロファイル/監査結果シート/成熟度グラフ群/監査報告書/改善に向けたロードマップ など
サービスの特徴
1. 金融機関が実践すべき取り組みの過不足を可視化
FFIEC CATのフレームワークに加えて、ニュートン・コンサルティングの様々なフレームワーク評価経験やニュートン・コンサルティング独自の知見も反映した監査基準に基づき、整備状況や運用状況の監査を行い、過不足を可視化する。
2. 自動評価ツールを使用するため、効率的な監査を実現
FFIEC CATによる監査ツールとして、FSSCC(米国金融サービスセクター連携協議会)がFSSCC Automated Cybersecurity Assessment Tool(自動評価ツール)を公表している。このツールをニュートン・コンサルティングで日本語化したものを使用して監査を行う。自動ツールのため、効率よく監査を進めることが可能。
3. 具体的な改善策を提示
FFIEC CATによる監査結果に基づき、サイバーセキュリティの対応として絶対的に不足している部分、また、FFIEC CATで算出したリスクプロファイルに対して不足している部分の具体的な改善策を提示し、サイバーセキュリティ成熟度向上のための支援を行う。
