金融機関におけるテクノロジーとサイバーリスク管理 リスク・ガバナンスフレームワークの効果
技術とビジネスが急速に変化する中で、金融機関がさらされるサイバーセキュリティリスクは益々大きくなっています。
技術とビジネスが急速に変化する中で、金融機関がさらされるサイバーセキュリティリスクは益々大きくなっています。
KPMGが推奨する3つの取組み
KPMGは、金融機関がサイバーリスクに対応するために、第1と第2のディフェンスラインを分離し、サイバー重要リスク指標の定義、自動リスク管理から対応を始めることを推奨します。
- 新たなディフェンスラインの作成
- サイバーリスクアペタイトに基づいたポリシーの作成
- インテリジェントオートメーションツールの導入による意思決定の適切化
KPMGにおけるリスク管理のフレームワーク
KPMGでは、企業全体でリスクを管理するフレームワークを提供しています。
1. ディフェンスラインの分離:CISOとサイバーリスク管理
現在、多くの金融機関はサイバーセキュリティの課題をIT部門に任せる体制を構築しており、ビジネス目標を達成する上で不可欠な洞察力を失っています。KPMGでは、CISOおよびサイバーリスク管理責任者の役割を明確にしたガバナンスモデルを推奨します。CISOとサイバーリスク管理責任者のディフェンスラインを分離することにより、CISOは重大セキュリティ課題に専念することができ、サイバーリスク管理責任者は金融機関全体のオペレーショナルリスクに集中することが可能になります。
2. サイバーリスクアペタイトとエクスポージャー:監視機能の独立と規制コンプライアンス
現在の規制環境では、規制順守とコンプライアンスの強化が求められています。しかし、複数の規制機関がそれぞれの要件を推進しています。KPMGは、コンプライアンスだけではなく、サイバーリスクアペタイトを基準としたポリシーを作成することが重要だと考えます。
3. サイバーリスク管理のためのインテリジェンスオートメーション
インテリジェントオートメーション技術は、組織戦略の枠組みに繋がるため、重要な役割を果たします。サイバーリスク管理において、これらの技術による最も重要な効果は、ビジネスのコア資産全体のリスクを定量化・明瞭化することです。これらのツールにより、リスク軽減のための予算配分の判断が可能になります。
ディフェンスラインの行動計画
リスク・ガバナンスフレームワークを適用するには、第1のディフェンスライン(CISO)では、独立したリスク管理監視機能を設け、以下を行うことが最も重要です。これにより、企業全体のリスクアペタイトを理解した上で投資を行うことが可能になります。
- サイバーリスクアペタイト・リスク管理フレームワークの定義、評価の実行
- リミット・閾値・重要リスク指標の定義
- 新たな指標と測定モデルの作成
- 第1ライン向けにアドバイザリーサービスの提供
- ストレステストの実施