近年、テクノロジーの進歩により、企業におけるIT環境や働き方が変化してきました。一方、サイバー攻撃によるマルウェア感染や従業員による顧客データの流出等、重大なセキュリティインシデントがニュースで報じられることもしばしば見受けられます。そのため、企業の情報セキュリティ意識は高まる傾向にあります。
既存のJ-SOX対応の中でIT全般統制・IT業務処理統制の構築や評価は行っているものの、内部監査部門がシステムの管理状況を把握できていないケースも少なくありません。そのため、改めて社内のIT環境を整理し、サイバーセキュリティリスクを個別に評価することは、インシデントを防止するためにも意義があります。
今回の記事では、サイバーセキュリティリスクを踏まえたIT統制の構築を進めるうえでのポイントについて、事例を交えて解説します。
目次
サイバーセキュリティリスクの高まりに伴う内部統制への影響
一般にサイバーセキュリティリスクとは、情報システムやネットワークまたはデジタル資産が脅威にさらされ、機密性・完全性・可用性が損なわれる可能性を指します。サイバーセキュリティリスクは、以下の要素の組み合わせで評価します。
①脅威(Threat):攻撃者、マルウェア、自然災害など、損害を引き起こす要因
②脆弱性(Vulnerability):攻撃を許してしまうシステムやプロセスの弱点
③影響度(Impact):リスクが現実化した際の損害の大きさ
④発生可能性(Likelihood):リスクが実際に発生する確率
2024年4月に施行された内部統制実施基準改訂の内容でも記載が追加され、その重要性が協調されております。
(内部統制実施基準より該当の条文を抜粋)
Ⅰ.内部統制の基本的枠組み 2.内部統制の基本的要素 (6)IT(情報技術)への対応:
「(省略)また、情報システムの開発・運用・保守などITに関する業務の全て又は一部を、外部組織に委託するケースもあり、かかるITの委託業務に係る統制の重要性が増している。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である。(以下、省略)」
(出典:金融庁「財務報告に係る内部統制の評価及び監査の実施基準」)
上記は、システム開発等の外部委託やクラウドサービスを使用するケースが多く見受けられること、在宅で働く人々が増加したこと等、企業のIT環境の変化に留意した内容です。こうした状況を踏まえ、情報セキュリティを確保したIT管理体制の構築が求められています。
サイバーセキュリティリスクを踏まえたIT統制改善事例:構築のポイント
以下では、実際に情報セキュリティを確保したIT環境を構築するための対応事例をご紹介します。今回の事例ではサイバーセキュリティリスク評価を個別に設ける方法で進めます。このような背景には、評価対象であるシステムの数が多くて全体が分からない、同一の評価項目に対してシステム間で評価基準に粒度のばらつきがあることが関係しております。こうした状況を回避するために、サイバーセキュリティリスクに関する個別の評価シートを作成します。必要な評価項目および要求する評価基準を網羅的かつ全社横断的に記載することで、自社のサイバーセキュリティリスクに関する管理状況を把握しやすいメリットがあります。また、評価項目に対し要求する基準レベルを統一させることで、IT全般統制・IT業務処理統制の評価をサイバーセキュリティリスク評価に依拠させることが可能になります。
効率的な構築手順として、以下の順番で進めることをお勧めします。各STEPのゴールを押さえ、最終的には評価シートに取りまとめていただきたいと思います。
STEP1(評価項目の選定):サイバーセキュリティリスクを識別して、評価すべき項目を明確にします。
STEP2(要求基準の策定):STEP1で定めた評価項目に対し、要求する評価の基準を決定します。
STEP3(評価シートの作成):STEP1とSTEP2で定めた内容を評価シートに取りまとめて、リスクとコントロールおよび提出資料を記述します。
上記各STEPのゴールを踏むことで、自社において、情報セキュリティ対策が不足してい部分を可視化し、見直しを進めることができます。
サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP1(評価項目の選定)
サイバーセキュリティリスクを個別に評価するための手順について説明しましたが、ここからは各STEPのポイントを説明します。STEP1(評価項目の選定)では、サイバーセキュリティリスクを個別に評価するために、J-SOXにおいて対応が必要となる事項を把握し、評価項目として定めることが必要です。既存のIT統制の評価項目を参考に、統制が不十分である内容を洗い出すことから始めると良いでしょう。サイバーセキュリティリスクの評価もJ-SOX評価対応の枠組みの範疇であるため、既存のIT統制のうち統制内容の変更点や昨年度の評価結果を踏まえた改善事項などがヒントになり得ます。
■IT全般統制
(例)外部委託先の管理
IT統制が不十分なポイント:重要な情報を取り扱うにもかかわらず、取引開始前のセキュリティチェックを実施していなかった。または、自社が要求する情報セキュリティ水準を下回っていないかを含めて取引開始の是非を検討していなかったなどがあります。
評価項目を大別すると、以下の4つのカテゴリに分けられます。
①組織的対策:
(例)体制、セキュリティポリシー、リスクアセスメント、情報資産管理、インシデント対応
②人的対策:
(例)入退社手続き(NDA)、セキュリティ研修、外部委託先管理
③物理的対策:
(例)入退出管理、情報資産の施錠
④技術的対策:
(例)不正アクセス対策(ファイアウォール、暗号化等)、アクセス制御、モニタリング(ログ監視、バックアップ、脆弱性診断)、パスワードポリシー
評価項目の設定は、既存のIT統制の見直しや情報システム部門へのヒアリングも行いつつ、実施基準改訂を踏まえて内容を強化できそうな視点で検討することが実用的です。
サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP2(要求基準の策定)
STEP2(要求水準の策定)では、評価項目ごとに達成すべき基準を定めます。これは自社が求める情報セキュリティとして守るべき基準を意味しています。内部監査部門だけで検討せず、システム管理者との協議を踏まえ、必要十分でありながら現実的な落としどころを見出す必要があります。協議を効果的に進めるために、あるべき基準案(ベストプラクティス案)と最低限守るべき基準案(ミニマム案)を用意することをお勧めします。
具体的には、以下手順で進めます。
①要求基準(ドラフト)の策定:内部統制の評価対象システムの概要や統制内容を踏まえて、要求基準案を策定する。その際、あるべき基準案(ベストプラクティス案)と最低限守るべき基準案(ミニマム案)を用意する。
②要求基準(ドラフト)と規程の照合:要求水準案と現行の規程類を照合し、文書化されていない内容を差分として把握する。
③情報システム管理者との協議:作成した要求基準案を基に現場のシステム管理者と協議を行い、最終的な要求基準を決定する。システム管理社との協議は、あるべき基準案(ベストプラクティス案)と最低限守るべき基準案(ミニマム案)の調停を図り、最終的な要求基準に仕上げていく。
上記手順で進めるうえで、現在のシステム管理状況が内部監査部門の要求する水準に到達していないことが課題となります。内部監査部門の要求が難しい場合は、期限を設けて対応していきます。また、実施基準改訂を踏まえた管理状況と現行の規程・マニュアル等との差分を把握し、規程・マニュアル等の改訂が必要になる場合があります。
要求水準は現場の情報システム部門との折り合いが重要になっていきます。課題事項を整理した表を作成する等、到達度合いを可視化し、お互いが納得できるよう協議を進めることが大切です。
サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP3(評価シートの作成)
STEP3(評価シートの作成)では、サイバーセキュリティリスクを個別に評価するため、IT統制(IT全般統制・IT業務処理統制)とは別個に評価シートを作成していきます。具体的には、これまでに決定した評価項目および要求水準を取りまとめていきます。評価項目ごとに潜むサイバーセキュリティリスクを識別し、コントロールとして決定した要求水準を設定します。また、評価のために確認する資料名や評価結果の記載欄も設けましょう。
評価シートのひな型は既存のIT統制を流用することが早いと思います。以下の手順で記述を進めていきます。
①リスク定義:
評価項目に対し、統制状況への質問・想定されるリスクを記載する。
②コントロール定義:
評価項目に対し、実施するコントロールに要求水準を記載し、主管部署や資料名を記載する。
③評価シート最終化:
コントロール(要求水準)の記載内容は業務改善の進捗と整合しているか情報システム部門責任者に確認を取り、最新の状況に更新する。
■その他留意事項
(IT全般統制・IT業務処理統制への応用)
IT全般統制・IT業務処理統制の評価シートとサイバーセキュリティリスク評価シートで評価項目および要求基準が重複している場合、サイバーセキュリティリスク評価に依拠させると評価が効率的です。
(例)
①不正アクセス対策:ファイアウォール等のセキュリティ対策やネットワークやエンドポイント脆弱性診断の実施
②テレワーク環境のセキュリティ対策:リモートアクセス方針の整備やVPN接続の実施
③障害管理:障害の検知、対応および履歴管理や障害のレベル分け
サイバーセキュリティリスク評価シートは個別に作成する場合でも、J-SOX対応としてはIT全般統制・IT業務処理統制と併せて包括的に評価を行うものであり、記載に整合性を持たせる必要があります。
まとめ
サイバーセキュリティリスクを踏まえたIT統制の改善は、関連する業務の改善や規程の改訂などにも影響が及びます。今回の記事にある事例を参考しながら、対応を進めることをお勧めします。
■サイバーセキュリティリスクの高まりに伴う内部統制への影響
・内部統制実施基準の改訂内容は、サイバーセキュリティリスクに対する検討の重要性を強調している。
・J-SOX対応として、情報セキュリティを確保したIT体制を構築する。
■サイバーセキュリティリスクを踏まえたIT統制改善事例:構築のポイント
・サイバーセキュリティリスクの評価シートは個別に作成する。
・評価シートの作成は段階的に行い、検討状況を可視化する。
■サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP1(評価項目の選定)
・既存のIT統制の不足面を考慮し、評価項目を設定する。
・評価項目は、組織的・人的・物理的・技術的に複数の視点で検討する。
■サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP2(要求基準の策定)
・評価項目に対して、遵守すべき情報セキュリティの基準を決める。
・要求水準は規程・マニュアル等に定める内容とすり合わせを行う。
■サイバーセキュリティリスクを踏まえたIT統制改善事例:STEP3(評価シートの作成)
・評価項目および要求水準を取りまとめ、評価シートを作成する。
・サイバーセキュリティリスク評価とIT全般統制・IT業務処理統制の統制内容の整合性を確認する。
