サービス

ビジネスメール詐欺のリスクマネジメントのためのアプローチ

事例を踏まえたリスクシナリオの作成が対策の第一歩

偽のビジネスメールにより不適切な支払を行ってしまうケースが多発しています。このような犯罪の手口は年々多様化・高度化しているため、定期的に支払業務や取引先登録業務についてシステムセキュリティおよび業務プロセスの両面からリスク評価を行い、不適切な支払を防止するための対応策を構築することが重要です。

ビジネスメール詐欺には様々な手口があり、年々高度化している

公表されていませんが、実際には多くの日本企業がビジネスメールの被害にあっており、その対策が急務となっています。

会社外部に取引先やメールの情報が盗聴され、その情報を外部の第三者(攻撃者)が利用し、偽のビジネスメールを送ってくることにより不適切な支払を行ってしまうケースが多く発生しています。また、このような犯罪の手口は年々多様化・高度化していることに注意が必要です。

※画像をクリックすると拡大表示します

ビジネスメール詐欺のリスクマネジメントのためのアプローチ

ビジネスメール詐欺の対策のためには、まずはリスクシナリオ(想定されるビジネスメール詐欺の手口)の特定が重要です。想定される手口は、日々高度化・多様化していくため、最新のリスクシナリオに対して現行のIT環境や業務プロセスがリスクを十分低減できているのかについて、継続的にリスク評価を実施します。

リスク評価にあたっては、システムセキュリティ面のみならず、業務プロセス面からおこなうことも必要です。システムセキュリティの強化は攻撃者からのメールの盗聴に対して一定の効果は有しますが、完全に防ぎ切ることは難しいのが現状です。防ぎ切れなかった場合でも支払や取引先の登録に係る業務プロセスにおいて適切な統制を整備し、不適切な支払を識別し、支払を阻止することが重要になります。

そのため、ビジネスメール詐欺に対するリスクを低減するためには、システムセキュリティ、業務プロセスの両面からリスク評価を行い、適切な対応策を構築する必要があります。

 

リスクシナリオ(想定されるビジネスメール詐欺)を起点としたリスク評価

想定されるリスクシナリオより、現行の対応状況を業務プロセス面、システムセキュリティ面から確認し、リスク評価を行います。その上でリスクが高いエリアに対して、リスクを低減するための対応策を立案します。

それぞれのリスクシナリオに対する対応策については、それぞれの危険度と対応策の容易性から導き出されるリスク度を総合的に評価し、今後の改善事項の優先度を提言、ロードマップ化します。

※画像をクリックすると拡大表示します
※画像をクリックすると拡大表示します
  • システムセキュリティ面からのリスク評価及び対応策の立案(例)

想定されるビジネスメール詐欺の手口に対して、PC外部接続環境や運用状況(パスワード管理、権限管理、データ管理)、サイバー攻撃に対するセキュリティ対策状況からシステムセキュリティ面のリスクを洗い出し、評価し対応策を立案します。

  • 業務プロセス面からのリスク評価及び対応策の立案(例)

想定されるビジネスメール詐欺の手口に対して、取引先登録や支払に関連する業務フロー、業務遂行体制(規程、職務分掌、承認権限)、通帳等を含む有価物の保管状況から業務プロセス面のリスクを洗い出し、評価し対応策を立案します。

 

対応策の立案から実行までを支援します

デロイト トーマツでは、ビジネスメール詐欺の手口に精通した、内部統制構築(オペレーショナルリスク)の専門家とシステムセキュリティ対策の専門家が連携し、効果的かつ効率的にリスク評価及び対応策を立案します。

また、対応策の立案にとどまらず、以下の実行支援もいたします。

・対応策の実行支援

・教育研修の実施

・モニタリング体制の構築、実行支援

本記事に関してのより詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合せください。

 

≫ お問合せフォーム ≪

プロフェッショナル

仁木 一彦/Kazuhiko Niki

仁木 一彦/Kazuhiko Niki

有限責任監査法人トーマツ パートナー

オペレーショナル・リスク・プラクティスの日本責任者、IR(統合型リゾート)ビジネス・プラクティスの責任者を務める。 公認会計士、公認内部監査人、公認不正検査士。 2000年公認会計士登録。 【オペレーショナル・リスク・プラクティス】 15年以上にわたり、リスクアドバイザリー業務に従事し、オペレーショナル・リスク領域のプロジェクト責任者を多数務める。 専門分野は、コーポレートガバナンス、内部統制、内... さらに見る

野見山 雅史/Masafumi Nomiyama

野見山 雅史/Masafumi Nomiyama

デロイト トーマツ リスクサービス パートナー

大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に監査法人トーマツに入所。2010年7月よりデロイト トーマツ リスクサービス株式会社のパートナーに就任。 中央省庁、金融、テクノロジー、コンシューマビジネス等の多様な業種・業界に対してITリスクに関するコンサルティング及び監査サービス(サイバーセキュリティ、プライバシ、IT資産管理、IT内部統制等)を多数提供。  ... さらに見る