SWIFT CSP(Customer Security Programme)
将来的なサイバー攻撃
CSPは、相互に補強し合う以下3つの分野を対象としています。
- 自社環境のセキュリティ強化(You)
- 取引関係先における不正の防止と検出(Your Counterparts)
- 他社と協同で情報共有し、将来のサイバー脅威に備える(Your Community)
SWIFT Customer Security Controls Framework (CSCF)
SWIFTはサイバーセキュリティ管理プログラムの一環として2017年にCSCFを策定し、金融機関や事業会社等すべてのSWIFTユーザに対して、定期的にサイバーセキュリティ管理状況を評価することを要請しています。
最新のCSCFであるCSCF v2024において、SWIFTユーザが日々直面するサイバー脅威のリスクを低減するための「3つの目的」と「7つの原則」を支える32のセキュリテコントロール項目が定められています。32項目のうち、25が必須項目、7が推奨項目です。
CSCF評価タイプと適用時期
CSPでは2021年以降、「コミュニティ標準検証」が全ユーザー必須となっています。
また、コミュニティ標準検証では、適切なCSCFのバージョンに基いた独立検証を受ける必要があります。独立検証は次のいずれかにより実施することが求められています。
- 独立外部組織が実施する独立外部検証
- 第2または第3線の機能など、ユーザーの内部独立部門(必要に応じて、コンプライアンス、リスクマネジメント、内部監査、または同等の機能)が実施する独立内部検証。独立内部検証を実施する部門は、第1線の部門から独立している必要があります。
独立外部組織における主任検証者においても、業界標準のサイバーセキュリティフレームワークを使用した検証経験を有している必要があり(過去2年以内)、その経験が適切な資格によって裏付けられていることが求められます。
SWIFT CSP評価サービス
デロイト トーマツは、SWIFTコミュニティ全体に適用するサイバーセキュリティ基準であるCSCFに対して、外部専門家による知見や他行事例等を活用し、サイバー脅威のリスク低減を支援します。SWIFTに加盟している金融機関や事業会社が順守することが求められているセキュリティ要件に対して、外部専門家による知見や他行事例等を活用し、デロイト トーマツは一般的に妥当と考えられる目線・水準で評価します。
以下の3種類のサービスを提供します。
A.貴社の現状とCSCFとのGAP分析
B.独立検証者としての外部評価
C.社内の独立検証者に対するコソーシング業務
