【国際】世界経済フォーラム、サイバーレジリエンスで6つの原則と定量評価指標発表

　世界経済フォーラム（WEF）は7月14日、サイバーレジリエンスのフレームワークと指標に関するガイダンスをまとめたホワイトペーパーを発表した。

　同ガイダンスは、サイバーレジリエンス・フレームワーク（CRF）とサイバーレジリエンス・インデックス（CRI）をまとめたもの。CRFは組織にサイバーレジリエンスを定着させるために必要な要素を網羅的にチェックできるリスト。一方CRIは、CRFに回答していくことで算出され、組織内外のサイバーレジリエンスの状況を定量的に評価することができる。

　CRFは、6つの主要原則で構成され、各原則毎にプラクティス、サブプラクティスが設定されている。6つの主要原則は、「定期的なサイバーリスクの評価と優先順位の決定」「セキュリティの基礎の確立」「サイバーレジリエンスの事業戦略への組み込み」「組織内外との連携」「サイバーレジリエンスのための戦略・制度・組織の設計」「サイバーレジリエンス文化の醸成」。

　同ツールは、WEFのプログラム「Centre for Cybersecurity」が製作し、アクセンチュアが製作に協力した。Center For Cybersecurityの加盟企業は、アマゾン、マイクロソフト、IBM、シスコシステムズ、デル、タタ・コンサルタンシー・サービシーズ（TCS)、インフォシス、ウィプロ、マヒンドラ・グループ、HCLテクノロジーズ、ヒューレット・パッカード・エンタープライズ、サウジアラムコ、中国華能集団、シーメンス・エナジー、トタル・エナジーズ、ダウ、バンク・オブ・アメリカ、JPモルガン・チェース、クレディ・スイス、UBS、アリアンツ、AIG、チューリヒ保険、BNYメロン、イタウ・ウニバンコ、ブラックロック、マスタカード、ペイパル、S&Pグローバル、マンパワー・グループ、ボストンコンサルティンググループ（BCG）、アクセンチュア、デロイト、KPMG、PwC、Swift等が加盟。日本企業では日立製作所とエーザイが加盟している。

　今回WEFは、自組織がサイバーレジリエンスに優れていると考えている組織リーダーは19%しかいないと指摘。また、回答者の58%は、パートナーやサプライヤーのサイバーレジリエンスは自組織よりも低いと感じており、サイバー攻撃対策のコストを維持するのが難しいと考えている回答者は2020年の69%から81%に増加している。同ガイダンスは、そのための解決策として作成された。

　CRFを活用することで、セキュリティレスポンスやリカバリーだけに注目した視野が狭いレジリエンスを改善することや、目指すべきサイバーレジリエンス能力を把握することができる。また、CRIで定量的にコンディションを把握することで、ステークホルダーにサイバーレジリエンスの価値を伝えやすくなり、パートナーやサプライヤーなど組織外のチームとも協力関係を築くことができるとした。

【参照ページ】The Cyber Resilience Index: Advancing Organizational Cyber Resilience

株式会社ニューラル サステナビリティ研究所