ナレッジ

SWIFT CSP(Customer Security Programme)

サイバー攻撃の脅威は年々高まっており、世界中で国際銀行間金融通信協会(SWIFT)ネットワークを利用した不正送金事案が発生しています。サイバー攻撃対策は業界全体の課題であり、SWIFTはSWIFTユーザの対策支援を目的として、 CSP(Customer Security Programme)を策定しています。

将来的なサイバー攻撃

CSPは、相互に補強し合う以下3つの分野を対象としています。

  1. 自社環境のセキュリティ強化(You)
  2. 取引関係先における不正の防止と検出(Your Counterparts)
  3. 他社と協同で情報共有し、将来のサイバー脅威に備える(Your Community)

 

SWIFT Customer Security Controls Framework (CSCF)

SWIFTはサイバーセキュリティ管理プログラムの一環として2017年にCSCFを策定し、金融機関や事業会社等すべてのSWIFTユーザに対して、定期的にサイバーセキュリティ管理状況を評価することを要請しています。

最新のCSCFであるCSCF v2021において、SWIFTユーザが日々直面するサイバー脅威のリスクを低減するための「3つの目的」と「8つの原則」を支える31のセキュリテコントロール項目が定められています。31項目のうち、22が必須項目、9が推奨項目です。

SWIFT CSCFの構成
※クリックで拡大

CSCF評価タイプと適用時期

CSPでは、第一線防衛であるSWIFTユーザーが「自己検証」を実施することとしていますが、2021年以降は「コミュニティ標準検証」が全ユーザー必須となります。

 
※クリックで拡大

また、2021年よりすべてのユーザーはコミュニティ標準検証が必須となり、CSCF v2021に基づいて独立検証を受ける必要があります。独立検証は次のいずれのかにより実施することが求められています。(詳細は「2020年6月SWIFTから公表された情報に関する変更点」参照)

  1. 独立外部検証
    サイバーセキュリティ評価の経験を有する外部独立機関によるもの、及びセキュリティ業界の認定を有する個人検証者によるもの。
  2. 独立社内検証  
    ユーザーの第2もしくは第3線機能(コンプライアンス、リスクマネジメント、内部監査 等)、もしくは検証結果を提出した第 1 線機能から独立した機能的同等な部門(CISO オフィス 等)、あるいはその部門と機能的同等な部門。検証作業者は、直近のサイバーセキュリティ評価に関連する経験を有する必要がある。
     

2020年6月SWIFTから公表された情報に関する変更点

SWIFTが2020年6月にCSCFの検証サイクルの調整を公表し、独立検証の実施要否やCSCFの適用タイミング等が変更されました。

 
※クリックで拡大

SWIFT CSP評価サービス

デロイト トーマツは、SWIFTコミュニティ全体に適用するサイバーセキュリティ基準であるCSCFに対して、外部専門家による知見や他行事例等を活用し、サイバー脅威のリスク低減を支援します。

SWIFT CSP評価サービス

デロイト トーマツは、SWIFTコミュニティ全体に適用するサイバーセキュリティ基準であるCSCFに対して、外部専門家による知見や他行事例等を活用し、サイバー脅威のリスク低減を支援します。SWIFTに加盟している金融機関や事業会社が順守することが求められているセキュリティ要件に対して、外部専門家による知見や他行事例等を活用し、デロイト トーマツは一般的に妥当と考えられる目線・水準で評価します。

以下の3種類のサービスを提供します。

A.貴社の現状とCSCFとのGAP分析
B.独立検証者としての外部評価
C.社内の独立検証者に対するコソーシング業務

お役に立ちましたか?