サイバーセキュリティに関する監査 ブックマークが追加されました
ナレッジ
サイバーセキュリティに関する監査
内部監査の新潮流シリーズ(6):DXによりIT環境が高度化・複雑化している中で、サイバーセキュリティ監査は重要です。
IT環境が高度化・複雑化して不可欠な要素となっていることに伴い、サイバーセキュリティ対策の重要性も増しています。サイバーセキュリティ対策を考える上で「監査」は不可欠で重要な取り組みであり、自組織を取り巻くサイバーセキュリティ対策の状況を把握することから始めることが有効です。サイバーセキュリティ対策を評価するにあたっては情報セキュリティ監査基準等のフレームワークを活用することができます。
デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。
サイバーセキュリティに関する監査の背景・必要性
近年、新たなデジタル技術を活用したデジタルトランスフォーメーション(DX)を推進する企業・組織が増えている中、リスクを回避、低減するための「守り」としてだけではなく、サイバーセキュリティを事業成長への貢献、投資といった「攻め」の手段として捉え、取り組む企業も増えています。このようにIT 環境が高度化・複雑化し、かつ事業成長のために不可欠な要素となっていることに伴い、サイバーセキュリティ対策の重要性が増しています。
サイバーセキュリティ対策を考える上で重要な取り組みの一つが「監査」です。組織内部で自主的に行う内部監査、第三者による外部監査かに係らず、まずは自組織を取り巻くサイバーセキュリティ対策の状況を把握することが、初めの一歩となると考えます。監査のアプローチ例としては(1)事前準備、(2)現状把握、(3)課題識別、(4)改善提案、(5)報告・フォローアップの5つのステップが挙げられます。特に重要と考えられるのは(1)事前準備です。事前準備では監査の目的、手法、活用するフレームワーク、対象業務・システム、スケジュール、体制等を決定します。このうち、活用するフレームワークの候補は多岐にわたるため、監査の目的および各フレームワークの特性を踏まえた上で選定する必要があります。実務的には既存のマネジメントシステムや規程類がISO/ICE27000やNIST Cybersecurity Framework 等、特定のフレームワークに基づいて構築されていれば、それに合わせて選択することもあると考えます。以降のステップでは、策定した計画に基づいてステークホルダーとのコミュニケーションに重点を置きながら(2)~(5)を進めることが肝要となります。
サイバーセキュリティに係わるフレームワークの特性概要
「情報セキュリティ監査基準」や「ISO/IEC 27001・27002(ISMS)」は、業界を問わず情報セキュリティ対策全般の評価にあたり参考になると考えられます。「NIST Cybersecurity Framework」は、業界を問わず,サイバー攻撃対策について記載されています。「CIS Controls」は、サイバーセキュリティ体制や規模等の企業特性に合わせて評価できるように対策がグループ分けされていて、サイバー攻撃対策の技術的内容について、重点的に記載されています。「FFIEC Cybersecurity Assessment Tool」は、評価対象組織の固有リスクにあわせてセキュリティ対策を評価できるように構成されています。
上記の内容につきまして、詳しくは「内部監査実務ハンドブック」をご覧ください。
また、トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。
内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。
プロフェッショナル
仁木 一彦/Kazuhiko Niki
デロイト トーマツ リスクアドバイザリー パートナー
北野 晴人/Haruhito Kitano
デロイト トーマツ サイバー合同会社 執行役員
