{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバーセキュリティ監査/内部監査支援
サイバーセキュリティは監査の重要テーマ
IoTの台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的に進化を遂げており、今後も加速することが想定されます。情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は私たちにさまざまな便益をもたらしますが、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下において、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体となって取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して企業の内部監査部門として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティ対応
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のような悩みがよく聞かれます。
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況を監査することができない。
サイバーセキュリティ対応がどこまで実施できているかを客観的に評価できない。
サイバーセキュリティ対応に係る自社の状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきかが分からない。
内部監査部門に求められる役割
PwC Japan有限責任監査法人は、内部監査部門がサイバーセキュリティ対応にあたり、その役割を十分に果たせるよう支援しています。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢を対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。また、内部の人員で計画の策定などができるよう、人材育成を行う必要があります。
PwCによる支援内容
PwCでは、サイバーセキュリティ領域を加味したリスクアセスメントや、実効性がある内部監査計画の策定、外部ベンダーを利用する際の内部監査プロセスの構築を支援しています。併せて、人材育成に係る方針や計画の策定に際して助言を行ったり、研修を実施したりすることで、人材の育成を支援しています。
内部監査部門に求められる対応
内部監査部門は自らが果たすべき役割や、サイバーセキュリティなどの専門領域にて技術的に要求されるスキルを踏まえ、どこまでを内製化し、どこから外注すべきかを検討する必要があります。
PwCによる支援内容
リスク評価の結果も踏まえ、内製化と外注の区分の検討を支援します。特に内製で対応すべき範囲の識別を詳細にサポートします。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢の評価を行い、その結果を経営層へ報告する必要があります。外部委託先に委託した作業結果についても、内容を理解し、評価することが求められます。
PwCによる支援内容
サイバーセキュリティに係る管理状況を第三者の目線から評価します。また、コソーシングによる内部監査を実施し、当法人のナレッジを提供することで、将来的にはクライアントが内製化できるように支援します。加えて、他社を外注として活用している場合には、他社の監査結果のレビューを含む管理態勢の構築をサポートします。
支援の全体像
PwCでは、支援実績が豊富なプロフェッショナルが内外のさまざまな知見を活用してサイバーセキュリティに関する取り組みを包括的に評価することで、クライアントの現在の対応状況を可視化します。
フェーズ |
作業概要 |
|---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムの概要を把握します。 |
計画策定 |
概要の把握を通じて認識したリスクや課題を踏まえ、重点的に評価すべき範囲、項目、組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢を評価します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容に相違がないか、担当者ら確認していただいた上で、経営層に報告します。 |
なぜPwCなのか
- 単にアセスメントを行うだけではなく、計画策定の中で、評価目的に則した評価項目を設定し、評価することが可能です。
- 同業他社の取り組み事例を幅広く把握しており、自社の取り組みをベンチマーク評価することが可能です。
- サイバーセキュリティだけに留まらず、情報セキュリティ全般を含んだ総合的な評価を行うことが可能です。
対応するガイドラインなど
- NIST Cybersecurity Framework
- NIST SP800シリーズ
- CIS Critical Security Controls
- FFIEC Cybersecurity Assessment Tool
- FISC 金融機関等コンピュータシステムの安全対策基準
- サイバーセキュリティ経営ガイドライン
サイバーセキュリティニュースレター
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
