8,100万ドルを超える被害が出た 2016 年の バングラデシュ中央銀行強盗事件など、大規模な標的型 SWIFT ハッキングがきっかけとなり、SWIFT 顧客への攻撃を緩和するために CSCF サイバーセキュリティフレームワークが開発されました。 しかし、サイバー犯罪者は SWIFT をターゲットとし続けており、2021 年の European Payments Council のレポートには SWIFT 関連の銀行インフラを利用したマルチベクトルサイバー攻撃の事例が記録されています。このレポートは、SWIFT サービス局に対する標的型 APT 攻撃をベースとした銀行カードデータの大規模漏えいについて指摘しています。2021 年、SWIFT は CSCF の評価基準を更新し、インターネットアクセスの制限を推奨から必須に変更しました。また、サービスプロバイダーが運営する SWIFT 関連サービス、アプリケーション、コンポーネントを提示またはアクセスする際に、より堅牢な多要素認証を使用することとしました。次の機関は SWIFT の CSCF に準拠する義務があります。

金融機関 — SWIFT メッセージングプラットフォームを使用する金融機関は、CSCF の必須制御事項を遵守する必要があります。つまり、金融機関は、外部および内部の脅威から組織を保護するための堅牢なセキュリティ制御を備えなければなりません。この制御事項には、マルウェアやランサムウェアの感染を阻止するための脆弱性からの保護、機微な情報、認証情報、重要な資産を保護するための役割とアクセス権限の分離などが含まれます。CSCF の制御の基本原則の 1 つは、最小権限アクセス管理です。ゼロトラスト・セキュリティ・モデルを取り入れることで、金融機関は自らの環境を保護し、脆弱性の悪用を防ぎ、アイデンティティを管理して権限を分離し、CSCF を遵守できます。

サードパーティおよびベンダー — 金融機関による SWIFT 金融取引情報の処理、保存、伝送を支援する組織も、CSCF の制御事項を遵守する必要があります。このようなサードパーティ組織も、同じゼロトラスト・セキュリティ・モデルによって、SWIFT CSCF の必須制御事項を遵守することができます。そうすることで、このようなベンダーは、サプライチェーンを標的としたサイバー攻撃から自社およびその他のサプライチェーンメンバー（サービス提供先である金融機関を含む）を保護できます。