ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

海外でビジネスを行う際に考慮したい
各国のサイバーセキュリティ規制

プライスウォーターハウスクーパース
【第9回】 2016年1月14日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 さらに2015年に入ってからは、米国の金融機関に対する検査の基本方針や標準を規定する機関であるFFIEC(アメリカ連邦金融検査協議会)がサイバーセキュリティのアセスメント・ツール(FFIEC Cybersecurity Assessment Tool)を発表した。これは現時点では金融機関に実施を強制するものではないが、すでに多くの金融機関が実施し始めている。金融機関以外の企業にとってもこの枠組みの活用はサイバーセキュリティの戦略立案に大いに役立つと思われるので、どんなツールなのか少しだけ紹介したい。

 このアセスメント・ツールは、「サイバーリスクの測定」と「サイバー成熟度評価」の2部構成になっている。まず、各社の「サイバーリスク」を評価するための指標が提供されている。たとえ同じ業種であっても企業規模やサービスの提供手段の違いによってサイバーリスクは個々に異なるためである。そして同じくこのツールにて提供される指標を用いてサイバーセキュリティ対策のレベルを示す「サイバー成熟度」を測定する。このツールには図1に示すように「サイバーリスク・レベル」に応じて求められる「サイバー成熟度レベル」が規定されているため、サイバーリスクが「高」であるにもかかわらず成熟度がその標準レベルよりも低い場合には、あと何をすれば達成できるかについても知ることができるようになっている。

 このアセスメントは、規制当局が「リスクベース」のサイバーセキュリティを目指し自己監査を促しているという点で非常に画期的なツールといえる。そして金融機関に限らず他の業種においても、業界が定めた統一基準によるセルフアセスメントの実施が求められる可能性はあるため、米国の業界規制については今後の動向を見ていく必要がありそうだ(図2)

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧