Swift2026.07.01
Swiftを利用するお客様から、
「Swift CSPは自社でチェックして登録すればよいのでしょうか」
「外部の評価は必ず必要なのでしょうか」
というご相談をいただくことがあります。
Swift CSP(Customer Security Programme)は、Swiftを利用する組織が、自社のSwift接続環境をサイバー攻撃から保護するためのセキュリティプログラムです。
各ユーザーは、CSCF(Customer Security Controls Framework)に基づき、自社のセキュリティ対策状況を確認し、KYC-SA上で年次アテステーションを行います。
この記事では、Swift CSPにおける自己評価と独立評価の考え方について、実務上の注意点を解説します。
Swift CSPでは、自社でCSCFへの対応状況を確認し、KYC-SAへアテステーションを登録します。
しかし、これは単なる自己申告で完結するものではありません。Swiftでは、アテステーションの信頼性を高めるため、独立した立場による評価が求められています。
独立評価は、内部監査部門などの独立した社内部門、または外部の評価機関によって実施されます。
そのため、実務上は「自社でチェックリストを埋める」だけではなく、第三者または独立部門が確認できるよう、構成情報や運用証跡を整理しておくことが重要です。
Swift CSPの目的は、個社ごとの形式的な自己申告ではなく、Swiftコミュニティ全体のセキュリティ水準を高めることにあります。
Swift環境は、金融メッセージングや決済業務に関わる重要なシステムです。認証情報の侵害、管理端末のマルウェア感染、不適切なリモートアクセスなどが発生した場合、不正送金や業務影響につながる可能性があります。
そのため、CSCFでは、インターネット接続の制限、一般IT環境からの保護、脆弱性管理、物理的セキュリティ、認証情報の保護、ログ監視、インシデント対応など、幅広い統制領域が確認されます。
Swift CSP対応は、単に年1回チェックリストを登録する作業ではありません。
Swift CSP対応を適切に進めるためには、自社のSwift環境の範囲を明確にし、必要な統制と証跡を継続的に整理しておくことが推奨されます。
<参考資料>
Swift CSCFに基づく外部評価、内部評価支援 | 株式会社ブロードバンドセキュリティ
この記事をシェアする
日本(内資)企業初の CSP assessment provider に認定された監査機関として、これまで培ったノウハウを活かし、国内および海外の事業体様に向けて、SWIFT CSCF 準拠を支援します。