航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
サイバーセキュリティ監査/内部監査支援
サイバーセキュリティは監査の重要テーマ
IoTの台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的に進化を遂げており、今後も加速することが想定されます。情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は私たちにさまざまな便益をもたらしますが、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下において、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体となって取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して企業の内部監査部門として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティ対応
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のような悩みがよく聞かれます。
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況を監査することができない。
サイバーセキュリティ対応がどこまで実施できているかを客観的に評価できない。
サイバーセキュリティ対応に係る自社の状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきかが分からない。
内部監査部門に求められる役割
PwC Japan有限責任監査法人は、内部監査部門がサイバーセキュリティ対応にあたり、その役割を十分に果たせるよう支援しています。
内部監査部門に求められる対応
内部監査部門は、サイバーセキュリティ管理態勢を対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。また、内部の人員で計画の策定などができるよう、人材育成を行う必要があります。
PwCによる支援内容
PwCでは、サイバーセキュリティ領域を加味したリスクアセスメントや、実効性がある内部監査計画の策定、外部ベンダーを利用する際の内部監査プロセスの構築を支援しています。併せて、人材育成に係る方針や計画の策定に際して助言を行ったり、研修を実施したりすることで、人材の育成を支援しています。
支援の全体像
PwCでは、支援実績が豊富なプロフェッショナルが内外のさまざまな知見を活用してサイバーセキュリティに関する取り組みを包括的に評価することで、クライアントの現在の対応状況を可視化します。
フェーズ |
作業概要 |
|---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムの概要を把握します。 |
計画策定 |
概要の把握を通じて認識したリスクや課題を踏まえ、重点的に評価すべき範囲、項目、組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢を評価します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容に相違がないか、担当者ら確認していただいた上で、経営層に報告します。 |
なぜPwCなのか
- 単にアセスメントを行うだけではなく、計画策定の中で、評価目的に則した評価項目を設定し、評価することが可能です。
- 同業他社の取り組み事例を幅広く把握しており、自社の取り組みをベンチマーク評価することが可能です。
- サイバーセキュリティだけに留まらず、情報セキュリティ全般を含んだ総合的な評価を行うことが可能です。
対応するガイドラインなど
- NIST Cybersecurity Framework
- NIST SP800シリーズ
- CIS Critical Security Controls
- FFIEC Cybersecurity Assessment Tool
- FISC 金融機関等コンピュータシステムの安全対策基準
- サイバーセキュリティ経営ガイドライン
インサイト/ニュース
20 results
Loading...
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
