IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
サイバーセキュリティ監査/内部監査支援
サイバーセキュリティは監査の重要テーマ
IoTの台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的に進化を遂げており、今後も加速することが想定されます。情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は私たちにさまざまな便益をもたらしますが、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下において、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体となって取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して企業の内部監査部門として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティ対応
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のような悩みがよく聞かれます。
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況を監査することができない。
サイバーセキュリティ対応がどこまで実施できているかを客観的に評価できない。
サイバーセキュリティ対応に係る自社の状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきかが分からない。
内部監査部門に求められる役割
PwC Japan有限責任監査法人は、内部監査部門がサイバーセキュリティ対応にあたり、その役割を十分に果たせるよう支援しています。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢を対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。また、内部の人員で計画の策定などができるよう、人材育成を行う必要があります。
PwCによる支援内容
PwCでは、サイバーセキュリティ領域を加味したリスクアセスメントや、実効性がある内部監査計画の策定、外部ベンダーを利用する際の内部監査プロセスの構築を支援しています。併せて、人材育成に係る方針や計画の策定に際して助言を行ったり、研修を実施したりすることで、人材の育成を支援しています。
支援の全体像
PwCでは、支援実績が豊富なプロフェッショナルが内外のさまざまな知見を活用してサイバーセキュリティに関する取り組みを包括的に評価することで、クライアントの現在の対応状況を可視化します。
フェーズ |
作業概要 |
|---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムの概要を把握します。 |
計画策定 |
概要の把握を通じて認識したリスクや課題を踏まえ、重点的に評価すべき範囲、項目、組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢を評価します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容に相違がないか、担当者ら確認していただいた上で、経営層に報告します。 |
なぜPwCなのか
- 単にアセスメントを行うだけではなく、計画策定の中で、評価目的に則した評価項目を設定し、評価することが可能です。
- 同業他社の取り組み事例を幅広く把握しており、自社の取り組みをベンチマーク評価することが可能です。
- サイバーセキュリティだけに留まらず、情報セキュリティ全般を含んだ総合的な評価を行うことが可能です。
対応するガイドラインなど
- NIST Cybersecurity Framework
- NIST SP800シリーズ
- CIS Critical Security Controls
- FFIEC Cybersecurity Assessment Tool
- FISC 金融機関等コンピュータシステムの安全対策基準
- サイバーセキュリティ経営ガイドライン
サイバーセキュリティニュースレター
インサイト/ニュース
20 results
Loading...
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
