国際的サイバーセキュリティー業界団体クレスト、日本での基準導入や人材育成支援への意欲を語る

国際的なサイバーセキュリティー業界団体であるクレスト（CREST）は、2006年に英国で設立された非営利団体だ。加盟組織の評価・認証や能力構築プログラムの提供などを通じたサイバーセキュリティー業界の品質水準の向上を進めている。3月9日のヒアリングでは、同団体のアジア太平洋地域マネージャーであるナイジェル・フェア氏が、日本における認知拡大や人材・企業育成支援に意欲を示した。

クレストは、会員制度を採用しており、世界で500超の組織が加盟しており、加盟要件を満たす必要がある。既に技術的に成熟した企業だけでなく、今後会員要件の充足を目指す企業向けに段階的支援制度を設けていることが特徴だという。「クレストキャンプ（CREST CAMP）」と呼ばれるプログラムがその代表だ。これは、既存の加盟企業の人材が対象国の現地企業と約1週間集中的に対話し、技術面、組織運営、リスク管理、品質管理、人材育成などについて助言する仕組みだ。アジアでは、ベトナム、フィリピン、インドネシア、タイなどで実績があり、日本でも同様の支援策の実施は可能との見方を示した。

また、クレストは、他国での公的セクターとの連携事例としてバルト地域での国防当局やサイバーセキュリティー関連機関との対話について説明した。同地域では、脅威インテリジェンス（注1）やリスク管理にとどまらず、サイバー攻撃を受けた後の復旧対応を重視する方向へ議論が進んでいるとした。さらに、ジョージアやアルメニアでは、サイバーセキュリティー分野の制度整備や能力構築にあたり、クレストの認証や人材育成枠組みが参照・活用されているとした。同団体の既存の枠組みを活用することで制度整備や能力構築を効率的に進められる点が評価されているという。

日本との関係では、フェア氏が2026年2月に東京を2度訪問し、内閣サイバーセキュリティセンター（NISC）、金融庁（FSA）、産業制御システムセキュリティセンター（CSSC）などの関係者と意見交換した。日本企業としては、既にNRIセキュア、NTTデータなどがクレストの会員・認証の枠組みに参加しているという。

同氏は日本側の関心として、金融分野における脅威インテリジェンス主導型ペネトレーションテスト（TLPT）（注2）や、産業システム分野での基準・能力強化を挙げた。また同氏は、日本のサイバーセキュリティー能力について、「高い技術力があり、優秀な人材は多い」と評価する一方、その能力を対外的に証明する「保証」の仕組みが重要だと指摘し、同団体の認証制度が活用できる分野だとした。特に、銀行・金融、重要インフラ分野では、サービスを調達する側が、委託先の技術力や運営体制を客観的に把握できることが重要であり、英国、EU、オーストラリア、シンガポールなどでは既に同様の枠組みが活用されていることから、日本でも導入余地は大きいとの見方を示した。

（注1）サイバー攻撃に関する情報を収集・加工・分析し、組織の防御や意思決定に役立てる仕組みのこと。

（注2）最新の脅威インテリジェンスに基づき、現実的なサイバー攻撃シナリオを作成して行う高度な侵入テスト。

（峯裕一朗、遠山宗督）