サイバーリスクをオペレーショナルリスクとして対処するために

サイバーリスクとイノベーションのバランスをとるためのより賢明なアプローチを採用すれば強力なトップダウンのガバナンスが可能となり、オペレーショナルリスクと同じプロセスでサイバーセキュリティーの管理にも対応でき、米国立標準技術研究所（NIST）が提唱するサイバーセキュリティー・フレームワークを実践することにもつながります。

サイバーリスクをITだけの問題として扱うことは危険です。サイバーリスクには総体的に対処し、全ての部門がそのリスクを共有する必要があります。

業界内では、金融機関が採用可能な複数のフレームワークが示されています。そのうちNISTのフレームワークは構造が包括的で優れているだけでなく、既存のオペレーショナルリスクの管理体制を活用することも可能であるため、推奨に値すると考えます。ただし、ごく一部の金融機関を除いて、これを単独で導入すべきではなく、最先端の技術力を持つ専門業者と提携して進める必要があります。

「サイバーセキュリティー・テクノロジーにむやみに資金をつぎ込むのではなく、NISTのサイバーセキュリティー・フレームワークの機能を使って、自社のテクノロジー要件を見極め、管理すべきです。各部門の判断で、または圧力の下でシステムを購入すべきではありません。正しい専門知識に基づいて問題点や適切な商品を特定しましょう。最も重要なのは、なぜ、どのように侵害が発生するのかについて、意思決定者に深く理解してもらうことです。サイバーリスクは人員、プロセス、管理および業務の弱点であり、その定義はオペレーショナルリスクと同じです。既存の業務プロセスを活用し、NISTのサイバーセキュリティー・フレームワークの採用を検討すべきでしょう」と銀行プラクティスのシニアアナリスト、ジョアン・マッゴーワンは述べています。