{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
IT/セキュリティ監査自動化支援
現代的なIT開発・運用は、クラウドテクノロジーおよびツールチェーンに支えられ高度に自動化されています。旧来は人間が対応する運用ルールとして定められていた細かなITコンプライアンス/セキュリティ要求事項の多くは、自動化あるいはガードレール化しツールに埋め込まれています。このツールチェーンとしての要求事項の実装を、Cloud Security Posture Management(CSPM)、Cloud Native Application Protection Platform(CNAPP)やGRCツール、および機械稼働可能な統制記述言語(OSCAL)を用いて処理することで、IT/セキュリティ監査対応も自動化することが可能です。PwCはこうした自動化プロジェクトを包括的に支援します。
一般的な課題
監査側
- 手続きのキャッチアップや判断に人間の工数を使い、作業レベルの業務は機械に任せたい
- 社内の既存チェックリストでは正しく評価できず、モダンな手法を踏まえた更新が必要
- 従前の監査手続きの一部は再利用できず工数がかかる
現場(被監査側)
- 監査側のチェック観点が更新されておらず、アジャイルやDevOpsが実現できない。開発生産性が落ちてしまう
- 最新のプラクティス、ツールを積極採用し自動化しており、品質確保やリスク低減のためのさまざまな仕組み・活動を行っているが、監査側がそれらを理解していない
PwCのサービス
IT/セキュリティ監査自動化のイメージ
監査基準であるコンプライアンス規制や社内ルールの要求事項をツールチェーン上の設定値や稼働ログとして解釈したルールセットを、GRCツールやCSPM/CNAPP上に実装します。必要に応じて、統制記述言語(OSCAL)を活用しツール間の相互運用性を確保します。
このルールセットに基づいて、各ツールが監査対象のツールチェーンへ参照系APIやコードスキャン、ログクエリを実行し、監査証跡を自動収集します。また、レポート出力機能を活用することで、評価結果を含む監査調書を自動的にドラフトします。
この自動化は、全てのIT/セキュリティ監査テーマや監査ライフサイクル全体に実装できるわけではありません。投資対効果を見極め、かつ、人間が行うべきところを明らかにしながら展開することが肝要です。PwCは、自動化プロジェクトを企画・PoCから本格実装・展開まで包括的に支援します。
本サービスのメリット
- 監査工数、監査対応工数が削減されます。
- 継続的な監査(Continuous Assurance)が実現されます
- 事業のアジリティ確保や合理的なリスク対応が可能となります。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
