
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
日本企業のCSIRT(Computer Security Incident Response Team)は多くの課題を抱えながら、セキュリティ対応における重要な任務を実行しています。当サービスでは、他社のCSIRTと比べた成熟度を理解できるよう、自社のCSIRT機能を評価し、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することで、CSIRTの課題解決をサポートします。
デジタル化の進展により、企業がセキュリティ対応をすべき範囲が拡大しています。同時にサイバー攻撃もデジタル技術を活用し高度化・巧妙化していることから、企業のIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。そのためCSIRTは守るべきシステム、資産、サービスなどを常に意識しながら業務にあたることが求められます。
セキュリティ対策は年々高度化し、あらゆる業種の企業が日々サイバー攻撃を受け、自社の提供サービスに深刻なダメージを及ぼしかねないリスクに晒されています。しかし、CSIRTが企業のセキュリティ対応に対して組織としてどこまでサービス提供できているか、自己診断をしている日本企業は少なく、自社の組織が正しく運営できているかが分からないままセキュリティ対応を実施していることが多々あります。
PwC JapanグループはCSIRTのアセスメントを行うことで、現在の課題を洗い出し、その解決に向けたアドバイスを提供します。CSIRTが直面する組織、人材、ツール、プロセスにおける課題について、他社のCSIRT組織に比べて足りていない機能を可視化することで、解決策を検討することが可能になります。
当サービスの提供を通じ、日本企業のCSIRTのセキュリティ対応を底上げし、技術の漏洩防止や事業継続の向上に貢献することを目指します。
CSIRT成熟度評価の各種フレームワークに対する知見と、CSIRTの構築や第三者評価の経験を踏まえ、CSIRTアセスメントおよびアクションプランの策定支援を行います。客観的に自社のCSIRTを評価することで、CSIRTの成熟度レベルと課題を理解し、目標レベルまで到達するためのアクションを明確にするとともに、他組織のCSIRT成熟度レベルと比較することが可能となります。
ステップ1:CSIRT評価の各種フレームワークをベースにヒアリングやアンケート、資料の検証を行い、分析、評価を行います。
ステップ2:評価結果に基づき課題の優先度付け、改善案の検討、アクションプランの策定を行います。
ステップ3:アクションプランに基づく改善活動に対する助言と実行支援を提供します。
当サービスにより、自社のCSIRT機能を評価することで、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することができ、CSIRTの課題に対する予算確保の一端をサポートすることが可能です。
世界的に知られているフレームワークを活用することで、自社のCSIRT機能について客観的かつ網羅的な目線で評価することができます。4つのカテゴリーを評価して、自社で改善が必要な機能を洗い出します。自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋が理解できます。
PwCには、CSIRTの評価・構築に限らず多数のサイバーセキュリティ専門家が在籍しています。サイバーセキュリティに関する豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。他社の動向や海外の規制等も考慮した体制構築など、専門性の高いニーズに対する支援も可能です。
日本企業のCSIRTでは、セキュリティの専門的知見や人的リソースの不足により、他部署との兼務で人員を配置しているというケースも見受けられ、課題があると認識していても予算を確保することが難しい場合があります。客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社の課題を経営層に対して説明する際のサポートが可能です。
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
カスタマーIDの管理は、単なるセキュリティ対策にとどまらず、顧客体験の向上、事業の成長、そして顧客からの信頼を獲得するための重要な投資です。適切なアクセスマネジメントを実現することで、企業は顧客からの信頼を獲得し、持続的な成長を実現できるでしょう。
企業におけるID・アクセス管理には、全体像を理解した上で、組織固有のシステム構成や規制、コストの分析が必要であり、また情報システム部門以外の他部署との連携も不可欠です。
2024年は不安定な地政学的情勢やAI技術の進化などが影響し、サイバー脅威アクターの活動が全体的に増加しました。本年次レポートではサイバー脅威を取り巻く主なアクター、トレンド、ツール、目的についての考察や、インシデント事例を掲載しています。