CBESTとは

CBEST(シーベスト)とは、英国の金融当局が推進する、金融機関向けのTLPT(脅威ベースのペネトレーションテスト)のフレームワークのこと。

イングランド銀行(BoE)と、ペネトレーションテストのための業界団体「CREST」が開発、2014年に財務省やBoE、金融行為監督機構(FCA)により導入された。なお、CRESTは、情報セキュリティ市場におけるサービスの技術的な専門性を保証する非営利団体で、BoEと協力して、CBESTサービスプロバイダーの認定を行っている。

テクノロジーの進展とデジタル化に伴い、サイバー攻撃の脅威が増大している。金融領域においては、これまでペネトレーションテストや脆弱性スキャンなどの手法を用い、既知の脆弱性に対する対策の有効性を検証してきた。

しかし、従来のテスト手法の有効性は認められていたものの、重要資産に対して疑似攻撃を行うテストには高いリスクが伴うため、金融機関が躊躇していたことや、ペネトレーションテストプロバイダーが、対象組織や業界に特化した脅威インテリジェンスを十分に活用できていなかったという課題が指摘されることがあった。

こうした課題を解決するのがTLPTだ。TLPTでは、テスターが脅威インテリジェンスを活用し、現実世界で実際に起きているサイバー攻撃と同じ視点、手法でセキュリティ対策を評価し、防御側が防御、検知、対応を行い、対応能力の改善に役立てていく。

英国のCBESTをはじめ、欧州や香港などでも、当局が主導する形でLPTのフレームワークを構築する動きがある。なお、BoEは、2017 年 6 月時点で31の金融機関や金融市場インフラに対するCBESTの評価を終了している。

セキュリティ用語辞典一覧ページへ

関連キーワード:

CREST

TLPT

サイバー攻撃

セキュリティ対策

フレームワーク

ペネトレーションテスト

リスク

脅威インテリジェンス

脆弱性

金融機関