第10回 サイバーリスクの高まりに対する内部監査の役割【DX化に伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】 ブックマークが追加されました
■サイバーリスクに対する内部監査の役割
企業経営の様々な局面でDXが進展しています。AI、ビックデータを活用した見込み顧客の発掘や、売上の予測を行うマーケティング。これらはいわゆる攻めのDXであり、ビジネスモデルの抜本的改革の中核となります。そして、その攻めの部分と同様に守りのDXにおいても今非常に重要度が増しています。なぜなら、DXの根幹となるシステムに対する技術革新が過去に類を見ない速さで行われており、その統制の複雑化およびデジタルリスクも高まっているからです。
ここで言うデジタルリスクはサイバーリスクと同義でとらえて良いと考えており、そのリスクシナリオは多様化しています。インターネットやイントラネットを介した標的型攻撃、DDoS攻撃などが主流だった時代からIoTの登場や生産現場のIT化に伴い、Attack Surface(アタックサーフェス)が拡大しています。
内部監査はその組織構造上、独立性が保たれているため企業内におけるサイバーリスクへの対応策をより客観視すべきであり、独立的にモニタリングする必要性が求められています。
■サイバー攻撃の複雑化とそのリスク
PCやサーバ、スマートフォンに保存されているファイルの暗号化や画面ロックを行い、復旧に金銭を支払うよう脅迫することに加え、近年では窃取した情報を公開するといった二重に脅迫するケースが増えており、ランサムウェアをとってみてもサイバー攻撃の手法が複雑化しています。
サイバー攻撃は、ネットワークを介して影響範囲が指数関数的に広がるおそれがあり、規模の大小に関わらず一つの拠点がサイバー攻撃を受けたとしても、それがグループ全体や業務委託先などサプライチェーン全体へ瞬時に影響を及ぼす事例も見られます。
攻撃が海外拠点にも及んだ場合、インシデントレスポンス体制が脆弱である場合などの理由から把握が遅れることもあります。また、それが原因でGDPR等の海外法規制に違反する情報漏洩などが発生した場合には、多額の制裁金が課せられるリスクもあり、何よりレピュテーションの毀損は計り知れません。加えて、サードパーティのセキュリティインシデントが自社のセキュリティに影響を及ぼす事例も増えています。
サイバー攻撃によるインシデントはどのような企業でも起こり得ますが、対応によって被害を最小限にすることは可能です。今、内部監査は独立的な立場から、サイバーリスクについても組織のコントロールとリスク管理を十分に機能させることが重要視されています。
■サイバーリスク対応は次世代の内部監査の中核となる
サイバーリスクの被害はこれまでのフィジカル空間のそれとは一線を画し、企業の存続に多大なる影響を与えます。単に一つの拠点がサイバー攻撃を受けたとしても、それがグループ全体やサプライチェーン全体へ瞬時に影響を及ぼす性質のものだからです。
これまでデロイトは次世代の内部監査のあるべき姿として、様々な機会でInternal Audit 3.0(IA3.0)のフレームワークを紹介してきました。次世代内部監査モデルでは従来軸足を置いていた「保証」(アシュアランス)に加えて「助言」と「予測」という期待役割が加わった点が協調されています。しかし、かねてから本業であった「保証」(アシュアランス)においても、リスクの深度が増しており、対応が求められるケースが非常に増えています。そして、そのリスクとはデジタルリスクであり、昨今の状況を鑑みるとサイバーセキュリティのリスクがその代表だという事はこれまで述べてきた通りです。
サイバーセキュリティ内部監査はIA3.0の中でも注目すべきテーマと認識されています。既に様々な企業が当該テーマに真剣に向き合い取り組みを開始しています。一概にサイバーセキュリティ内部監査と言っても、そのリスクの複雑性から監査を行うテーマが多様化しており、今後もその傾向は続くと予想されています。
■どのようにサイバーセキュリティ内部監査を実施するか
サイバー攻撃が多様化しているように、企業がそれぞれ抱えているリスクや課題も個社別に異なります。規程やマニュアル類の非技術的対策はある程度できているが、技術的対策が不十分である企業。国内拠点はある程度目が届くため管理ができているが、海外はブラックボックス化しているためサイバーセキュリティ管理態勢の把握ができていない企業。インシデントが起きてからの対応策(マニュアル整備、情報伝達の仕組、対応計画など)が整備されていない企業など例を挙げるときりがありません。
既に言及していますが、サイバーセキュリティ内部監査のテーマは非常に多様化しています。それをどのような規格や基準を参照して手続を作成し、何から手を付けていくかという観点においては難しい判断が求められます。
重要なのは、どのテーマから監査を実施するか【What】、どのように監査を実施するかという手法(どのセキュリティ規格を参照するか等)【How】、どの地域や部門(サードパーティ含む)を対象とするか【Where】などの取り決めをすることがこれまで以上に重要となります。また、専門家の活用や、そこで得られた知見や経験をどのように社内リソースへ定着化させるかなどのロードマップ(戦略)も重要な局面といえます。
■内部監査への期待
サイバー攻撃においてその手法が多岐にわたり、目に見える被害が頻発している現在において、内部監査に求められる期待は高まっています。3ラインモデルでいう第3線に位置する内部監査だからこそ独立性が保たれ、客観的な現状把握が可能となります。
また、攻撃が日々進化している現状を踏まえると、防御側もそれに迅速に対応していかなければいけないのは想像に難くない事実です。主な防御はオペレーションの現場である1線および2線側で実施されますが、現場任せでは対応が困難になってきているのは日々報道されるサイバーセキュリティのインシデント事象を見ても明らかです。
全社一体型(3ラインモデル全体で)での対応が余技なくされ、内部監査においてはその客観性を発揮しながら俯瞰的に今何をすべきか【What】、どのように対応するべきか【How】、どこから着手するか【Where】といった助言を行う、信頼されるサイバー・アドバイザーとしての内部監査の役割が期待されています。
本連載のバックナンバー
・第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)
・第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】
・第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】
・第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】
・第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】
・第7回 情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】
・第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】
・第9回 転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】
・第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】
・第12回 断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜
・第13回 地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~
・第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】
・第15回 スマートシティ推進における個人データの保護・活用
プロフェッショナル
西原 隆/Takashi Nishihara
デロイト トーマツ グループ マネージングディレクター
Deloitte NY本社にて10年間勤務後、2018年に有限責任監査法人トーマツに入社。グローバル企業を対象に、内部統制構築支援(US/JSOX)、ERM(エンタープライズリスクマネジメント)導入支援、サイバーセキュリティ内部監査支援、プライバシー法準拠性監査支援など多岐にわたるリスクアドバイザリー業務に従事。 現在はデジタルを活用した内部監査高度化(IA3.0)の推進をしている。
岩本 高明/Takaaki Iwamoto
デロイト トーマツ サイバー合同会社 執行役員
大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。
Recommended for you
Opens_in_a_new_window
