Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

英国のCBESTフレームワークを知ろう

ホーム 用語集 英国のCBESTフレームワークを知る

英国のサイバーセキュリティ環境を守る上で、CBESTフレームワークは重要な役割を果たしています。クリティカル・ナショナル・インフラストラクチャー・バンキング監督評価テスト、略してCBESTは、金融機関がサイバー攻撃の潜在的な影響を理解するのを助けるインテリジェンス主導のテストフレームワークです。この記事では、このフレームワークの起源、誰がそれに従うのか、そしてなぜそれがビジネスにとって有益なのかを探ります。

英国のCBESTフレームワークを知る

CBESTフレームワークとは何か?

CBESTフレームワークは、サイバーセキュリティシステムの脆弱性を特定するために設計された、構造化されたサイバーセキュリティガイドラインとテストのセットです。イングランド銀行(BoE)によって開始されたCBESTは、脅威インテリジェンスとペネトレーションテストを活用して、英国のシステム的に重要な金融機関が直面するサイバー脅威を理解するための初の試みです。CBESTフレームワークの目的は、これらの機関のサイバーセキュリティ体制を改善し、潜在的なサイバー脅威を効果的に管理し、軽減することです。

CBEST評価は義務ではありませんが、英国の金融サービスセクターの重要な部分を形成するエンティティには強く推奨されています。このフレームワークは、サイバーリスクを特定、評価、管理するための標準化されたアプローチを提供し、それが機関の全体的な運用レジリエンスに寄与します。

CBESTフレームワークの起源

CBESTフレームワークは、2014年にイングランド銀行が英国政府および金融業界のCISP(サイバーセキュリティ情報共有パートナーシップ)と協力して開始しました。このようなフレームワークを開発する緊急性は、金融機関を標的とする高度なサイバー攻撃の増加によって促されました。目的は、これらの機関が自らの脆弱性を理解し、潜在的なサイバー脅威に備え、効果的に対応するための手順と実践を確立することでした。

CBESTフレームワークは、そのインテリジェンス主導のアプローチでユニークで画期的でした。これは、実際の脅威アクターの行動を現在の脅威インテリジェンスに基づいて再現する初のサイバーセキュリティテストプログラムでした。これは、従来のコンプライアンスベースの評価からの転換を示し、英国の金融セクターをより堅牢でレジリエントにすることに貢献しました。

CBESTフレームワークに従う必要があるのは誰か?

CBESTテストは金融機関を念頭に置いて開発されましたが、銀行業界に限定されているわけではありません。英国の金融サービスインフラストラクチャーの重要な部分を形成する組織は、CBESTテストの潜在的な候補です。これには、銀行、保険会社、大手投資会社、金融市場インフラストラクチャー、さらにはこれらの企業の主要なサプライヤーも含まれます。

しかし、CBEST評価の明確な利点にもかかわらず、これらの評価は義務ではないことに注意が必要です。代わりに、イングランド銀行や金融行為規制機関(FCA)などの規制機関によって強く推奨されています。ここでの考え方は、これらの機関がサイバーセキュリティに対してインテリジェンス主導のアプローチを採用し、英国の金融エコシステムを潜在的なサイバー脅威から守ることを奨励することです。

CBESTフレームワークに従うことの利点

CBESTフレームワークは、組織や広範な金融セクターに多くの利点を提供します。まず、サイバーセキュリティに対する積極的なアプローチを強調し、組織が潜在的な脆弱性を特定し、それが悪用される前に対処することを可能にします。これにより、堅牢なサイバーセキュリティインフラストラクチャーの構築が進みます。

次に、CBEST評価は、組織が実際のサイバー脅威に対応する準備ができているかどうかについて貴重な知見を提供します。これにより、機関は潜在的なサイバーインシデントに備え、効果的に管理することができます。第三に、CBEST評価の結果は、戦略的な投資決定を情報に基づいて行うのに役立ち、上級管理職がサイバーセキュリティを向上させるためにリソースをどこに配分する必要があるかを理解するのに役立ちます。最後に、CBESTに準拠することで、機関はサイバーセキュリティへのコミットメントを示し、顧客、投資家、規制当局の信頼を高めることができます。

CBESTフレームワークの採用

CBESTフレームワークを採用するには、組織が直面する可能性のあるサイバー脅威と現在のサイバー防御の脆弱性を明確に理解する必要があります。組織はまず、CBEST脅威インテリジェンス評価を実施する必要があります。これにより、最も関連性のある脅威アクター、その動機、使用する可能性のある方法、および組織の重要な機能に対する潜在的な影響を特定するのに役立ちます。

脅威インテリジェンス評価の後、CBESTペネトレーションテストを実施する必要があります。これは、前のステップで収集したインテリジェンスを使用して、組織の最も重要なビジネス機能に対する標的攻撃をシミュレートすることを含みます。このテストの結果は、実際のサイバー攻撃が組織にどのように影響を与えるかを明確に示し、サイバーセキュリティコントロールを改善する必要がある領域を特定します。

CBEST評価プロセス

CBEST評価プロセスは、スコーピングフェーズ、テストフェーズ、レポートフェーズの3つの主要なフェーズに分かれています。評価が始まる前に、参加する組織、関連する規制当局、およびCBEST認定サービスプロバイダーが共同でテストの範囲を決定します。これには、サイバー攻撃で標的にされる可能性のあるビジネスの重要な機能と、そのような攻撃を実行する可能性のある脅威アクターの特定が含まれます。

テストフェーズでは、脅威アクターの役割を果たす倫理的ハッカーであるレッドチームが、脅威インテリジェンスレポートで特定された技術、戦術、手順を使用して組織のサイバー防御を突破しようとします。これにより、組織は実際のサイバー攻撃時にどのように対処するかを正確に把握できます。レッドチームはテスト中にすべての発見を記録し、最終レポートに含めます。

CBESTの規制コンプライアンスにおける役割の理解

CBESTフレームワークと評価は義務ではありませんが、イングランド銀行と金融行為規制機関によって強く推奨されています。とはいえ、CBEST評価の結果は規制上の影響を及ぼす可能性があります。テスト中に組織が重大な脆弱性を持っていることが判明した場合、規制当局はより厳しいサイバーセキュリティ要件を課す可能性があります。したがって、CBESTフレームワークに従うことで、組織がサイバーセキュリティを真剣に受け止め、脆弱性を特定し対処するために積極的な措置を講じていることを規制当局に示すことができます。

さらに、CBESTフレームワークは、一般データ保護規則(GDPR)やISO 27001情報セキュリティ規格など、他のグローバルなサイバーセキュリティ標準や規制とシームレスに統合するように設計されています。この適応性は、これらの規制にすでに準拠している組織にとって有益であり、既存のサイバーセキュリティプロセスとプロトコルを活用してCBESTフレームワークに従うことができ、システムの完全なオーバーホールを必要としません。

CBESTフレームワークの実施

CBESTフレームワークの実施は大規模な取り組みとなる可能性がありますが、それは価値のある投資です。プロセスの最初のステップは、脅威インテリジェンス評価とレッドチーミングテストを実施するためにCBEST認定サービスプロバイダーを雇うことです。これらのサービスプロバイダーはイングランド銀行によって厳格に審査され、サイバーセキュリティテストにおいて高いレベルの能力を示さなければなりません。

評価が完了したら、組織はその結果に基づいて行動を起こす必要があります。これには、新しいサイバーセキュリティ対策の実施、既存の対策の強化、またはスタッフへの追加トレーニングの提供が含まれる場合があります。組織はこのプロセス全体を通じてサービスプロバイダーからの支援と指導を受けます。

評価後の行動と改善

評価が完了した後、次に重要なステップは、組織が発見に基づいて適切な行動を取ることです。これらの行動は、新しいサイバーセキュリティ対策の実施、既存の対策の強化、またはスタッフへの追加トレーニングの提供など、さまざまです。サービスプロバイダーはこの重要な段階を通じて関与し、組織に必要な指導とサポートを提供します。

Kiteworksは英国の組織がCBESTフレームワークに従って機密コンテンツを保護するのを支援します

英国の金融セクター内の組織にとって、CBESTフレームワークはサイバーセキュリティを評価し強化するための貴重なツールです。これにより、これらの組織が直面するサイバー脅威について深い知見が得られ、これらの脅威に対処する準備が整っているかどうかが測定されます。CBEST評価への準拠は義務ではありませんが、CBESTフレームワークに従うこと自体が、組織のサイバーセキュリティへの強いコミットメントを示します。これにより、顧客、投資家、規制当局の信頼を高めることができます。CBEST認定サービスプロバイダーを雇い、評価結果に積極的に取り組むことで、組織はサイバーセキュリティ防御を大幅に強化し、英国の金融セクター全体のレジリエンス向上に貢献できます。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2 レベル1に準拠したセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、およびマネージドファイル転送を統合し、組織がファイルを管理、保護、および追跡することを可能にします。

Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャ統合を使用して外部に共有される際に保護し、すべてのファイル活動、つまり誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告します。

最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準へのコンプライアンスを実証します。

Kiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

 

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks