ビジネスメール詐欺のリスクマネジメントのためのアプローチ

ビジネスメール詐欺には様々な手口があり、年々高度化している

公表されていませんが、実際には多くの日本企業がビジネスメールの被害にあっており、その対策が急務となっています。

会社外部に取引先やメールの情報が盗聴され、その情報を外部の第三者（攻撃者）が利用し、偽のビジネスメールを送ってくることにより不適切な支払を行ってしまうケースが多く発生しています。また、このような犯罪の手口は年々多様化・高度化していることに注意が必要です。

ビジネスメール詐欺のリスクマネジメントのためのアプローチ

ビジネスメール詐欺の対策のためには、まずはリスクシナリオ（想定されるビジネスメール詐欺の手口）の特定が重要です。想定される手口は、日々高度化・多様化していくため、最新のリスクシナリオに対して現行のIT環境や業務プロセスがリスクを十分低減できているのかについて、継続的にリスク評価を実施します。

リスク評価にあたっては、システムセキュリティ面のみならず、業務プロセス面からおこなうことも必要です。システムセキュリティの強化は攻撃者からのメールの盗聴に対して一定の効果は有しますが、完全に防ぎ切ることは難しいのが現状です。防ぎ切れなかった場合でも支払や取引先の登録に係る業務プロセスにおいて適切な統制を整備し、不適切な支払を識別し、支払を阻止することが重要になります。

そのため、ビジネスメール詐欺に対するリスクを低減するためには、システムセキュリティ、業務プロセスの両面からリスク評価を行い、適切な対応策を構築する必要があります。

リスクシナリオ（想定されるビジネスメール詐欺）を起点としたリスク評価

想定されるリスクシナリオより、現行の対応状況を業務プロセス面、システムセキュリティ面から確認し、リスク評価を行います。その上でリスクが高いエリアに対して、リスクを低減するための対応策を立案します。

それぞれのリスクシナリオに対する対応策については、それぞれの危険度と対応策の容易性から導き出されるリスク度を総合的に評価し、今後の改善事項の優先度を提言、ロードマップ化します。

• システムセキュリティ面からのリスク評価及び対応策の立案（例）

想定されるビジネスメール詐欺の手口に対して、PC外部接続環境や運用状況（パスワード管理、権限管理、データ管理）、サイバー攻撃に対するセキュリティ対策状況からシステムセキュリティ面のリスクを洗い出し、評価し対応策を立案します。

• 業務プロセス面からのリスク評価及び対応策の立案（例）

想定されるビジネスメール詐欺の手口に対して、取引先登録や支払に関連する業務フロー、業務遂行体制（規程、職務分掌、承認権限）、通帳等を含む有価物の保管状況から業務プロセス面のリスクを洗い出し、評価し対応策を立案します。

対応策の立案から実行までを支援します

デロイト トーマツでは、ビジネスメール詐欺の手口に精通した、内部統制構築（オペレーショナルリスク）の専門家とシステムセキュリティ対策の専門家が連携し、効果的かつ効率的にリスク評価及び対応策を立案します。

また、対応策の立案にとどまらず、以下の実行支援もいたします。

・対応策の実行支援

・教育研修の実施

・モニタリング体制の構築、実行支援