ビジネスエコシステムにおけるサイバーリスクへの対応～企業

PwC’s
View
特集 :
Vol.
サイバーリスクへの対応
3
July 2016
www.pwc.com/jp
特集：サイバーリスクへの対応
ビジネスエコシステムにおける
サイバーリスクへの対応
~企業単独のサイバーリスクへの対応からの脱却~
PwC あらた監査法人
システム・アンド・プロセス・アシュアランス部
ディレクター綾部
泰二
はじめに
1
サイバーリスクへの対応の必要性が求められるなか、企
業単独での対応については進んでいる状況がうかがえると
ビジネスエコシステムにおける
ビジネスの環境
ビジネスエコシステムというキーワードが活用されるよう
ころ、いわゆるビジネスエコシステムを意識したサイバーリ
スクへの対応の必要性を本稿では解説したいと思います。
になっていることにみられるように、現在の企業活動の環境
なお、文中の意見に係る部分は筆者の私見であり、PwCあ
は、複数の企業が商品開発や事業活動などでパートナー
らた監査法人または所属部門の正式見解でないことをあら
シップを組み、各企業の強みを生かしながら、消費者等を
かじめお断りします。
巻き込み、業界の垣根や国を超えて広く共存共栄を図って
いる状況です。
このようなビジネスエコシステムにおいては、自社におけ
るサイバーリスクへの対応だけでなく、ビジネスパートナー
におけるサイバーリスクへの対応も考慮しなければならな
い時代を意味しています。
ビジネスエコシステムのイメージ
グローバル・ビジネス・エコシ
ステムとは、
「複雑に連携する
企業や組織の体系」
顧客
子会社
グループ
会社
従業員
ビジネス展開の地理的な範
囲が広がれば、その分、グ
ローバルエコシステムも複雑
になる
20
PwC’s View — Vol. 03. July 2016
グローバルにビジネスを展開
するためには、一組織だけで
は勝負できない
監督官庁
本社
共同
研究機関
サプライヤー
委託先
競合他社
今や競合他社でさえ、
（部分
的には）パートナーとして協業
することが珍しくなくなった
特集：サイバーリスクへの対応
2
では個社として、どのようにサイバーリスクと向き合うべき
企業規模に見るサイバーリスクの
顕在化傾向
でしょうか。サイバーリスクへの対応は、主として次の2 点が
必要です。
以下表 1 における PwC が実施しているグローバルのセ
キュリティ調査（ T h e G l o b a l S t a t e o f I n f o r m a t i o n
①組織的な体制の確立
Security® Survey 2016）によると、大企業では 2014 年に
②技術的な対応
増加した被害額が、2015 年には減少傾向になっているの
に対して、中規模、小規模の企業では横ばい、または増加
①については、一度体制を整えればその後は定期的な見
傾向にあります。特に小規模では、過去 3 年において最高の
直しにより、より実効性を高めていくというプロセスになりま
被害額が認識されています。
すので、生みの苦しみとして未整備である企業においては、
この結果は、上述したビジネスエコシステムを前提とする
まず①の整備、運用が求められます。
と、大企業が直接の被害を受けなくとも、取引先、協業先が
②については、日々攻撃手法が進化するサイバーリスク
被害を受けることで、自社のビジネスへの影響が発生する
に対して、日々の技術的な対応が必要であり、最新の情報
可能性があることを意味しています。よって、サイバーリス
の入手、専門家による対応、IT分野における対応等々が必
クへの検討をする場合には、自社の対応状況のみ検討する
要となります。特に②の対応については、専門家不足、また
だけでなく、取引先や協業先におけるサイバーリスクへの対
設備投資等のコストもかかるため、企業のタイムリーなサイ
応を認識することが必要となります。
バーリスクへの対応を阻害している要因の一つになってい
るといえます。
3
特に私たちの国においてはサイバーリスクへの対応可能
サイバーリスク対応への課題
な人材育成が急務であるとの状況において、全ての企業が
専門家を雇用できる状況ではないのが現実です。
ビジネスエコシステムから、個社でのサイバーリスクでの
また、専門家の育成には時間がかかることを鑑みると、①
対応では不十分であると上述しましたが、やはりその前提と
の体制が未整備な企業もさることながら、そもそもの専門家
して、企業規模にかかわらず個社での対応が必要となるの
不足という点が、サイバーリスク対応において多くの企業の
も事実です。
根本課題として存在しているところではないでしょうか。
表1：企業規模ごとの年間平均インシデント被害額
■2013　■2014　■2015
$5.9
million
$4.9
million
$3.9
million
$0.65
million
$0.94
$0.41
million
million
小企業
（年商$100million未満）
$1.0
$1.3
million
$1.3
million
million
中企業
（年商$100million～$1billion）
大企業
（年商$1billion超）
(USドルベース)
PwC’s View — Vol. 03. July 2016
21
特集：サイバーリスクへの対応
基盤のメンテナンス /保守費用の削減などが検討理由として
サイバーリスクに対する
クラウド活用の意義
4
挙げられますが、サイバーリスクへの対応についての解決
策の一つとして検討してみることも一案です。
では、各企業において「専門家不足をどのように解消して
この点、上述した「PwC が実施しているグローバルのセ
いくか」がサイバーリスクへの対応として一つのキーポイン
キュリティ調査（ T h e G l o b a l S t a t e o f I n f o r m a t i o n
トになるところですが、解消手段としては主に次の 3 点が想
Security® Survey 2016）」によると、調査対象となった
定されます。
69%の企業がクラウド型サイバー・セキュリティ・サービス
①自社で専門家を育てる。または外部から専門家を採用す
ローバルでみると、機密データの保護やプライバシーの強
を使用しているとの結果となっています。調査結果からグ
る
化に対してクラウドサービスを積極的に活用している状況が
この方法では、そもそも専門家が不足している状況下に
うかがえます。
おいて、実現性という意味で短所があります。また、人材を
またそのうち、クラウド型のサイバー・セキュリティ・サー
育成する場合には、比較的長期間になることが想定されま
ビスを利用している内容としては表 2のとおりです。よってク
す。
ラウドベンダーを選定する際に、該当するサービスを提供し
ているか否かを選定する際の考慮ポイントとしてみることも
一案です。
②プロフェッショナルサービスの活用
この方法では、①に比べて実現性は確保されますが、①と
合わせて実施しない場合、社内にノウハウが蓄積されず、
自社におけるサイバーリスクへの対応要員の確保を目指す
場合には、併せて社内にノウハウを蓄積する計画を立てて
5
ビジネスエコシステムにおける
サイバーリスクへの対応体制の構築
サイバーリスクへの対応に際して、個社のみの対応では
おくことが求められます。
不十分であることは前述したとおりです。
③サイバーリスクへの対応に万全な体制を有しているクラ
では、どのように対応すべきでしょうか。この点についてま
ウドサービスなどの活用
ず実施を検討していただきたいのが他社とのサイバーリス
全てのクラウドベンダーに当てはまる内容ではないと想定
クへの対応状況における情報共有です。
されますが、大手のクラウドベンダーなどでは、サイバーリス
この点も、詳細は T h e G l o b a l S t a t e o f I n f o r m a t i o n
クに対して適切に対応しているベンダーも存在しています。
Security® Survey 2016を参照していただければと思いま
一般的にクラウドなどを活用する場合、ビジネスの変化に
すが、日本企業においてはサイバーリスクへの対応につい
対応するためのシステム開発スピードの向上や、システム
ての情報共有を他社と積極的に行っているとは言い難い調
表2：クラウド型サイバー・セキュリティ・サービスの採用
56%
リアルタイム監視と分析
55%
高度認証
48%
IDおよびアクセス管理
47%
スレットインテリジェンス
44%
エンドポイント保護
0％
22
PwC’s View — Vol. 03. July 2016
10％
20％
30％
40％
50％
60％
特集：サイバーリスクへの対応
査結果となっています。
その理由としては、情報共有の枠組みの整備ができてい
ないなどが挙げられていますが、情報共有による自社へのメ
リットも当該サーベイ結果では「同業他社から実用的な情報
提供を得られた」などの結果が出ている点を鑑みると、積極
的に他社と情報共有していくべきと想定されます。
では、他社といった場合にどのような範囲を想定すればよ
いでしょうか。
まずは、次の 2 つの他社に対して情報共有プロセスを構
築していただければと思います。
①ビジネスパートナー
自社のサービス提供に不可欠なビジネスパートナーにお
いては、サイバーリスクの顕在化によるサービス提供不可と
いう状況を回避するためにも、サイバーリスクへの対応状況
を共有しておくことは非常に重要なことだと想定されます。
よって未実施な場合には、まずはビジネスパートナーとの
情報共有の実施を行うべきであるといえます。
②同業他社
同業他社においては、業界としての攻撃傾向などもあるの
で、情報共有を行うことは有益であると考えられます。例え
ば金融機関などでは業界団体を通じてサイバーリスクへの
対応が共有されているところではありますが、業界団体とし
て整備されていない業界もあるかと想定されます。
そのようなケースでは、やはり同じクラウドサービスを活
用するユーザー会などの活用も有益です。また他社との情
報共有においては、現場レベルの草の根的な活動というよ
りは、いわゆるマネジメント層による働きかけがある方が、
実務担当者も動きやすいのも事実です。
よって、同業他社との情報共有プロセスが未整備な場合
には、マネジメント間における情報共有のコミュニケーショ
ンを担保していただくことが、重要であると考えられます。
6
おわりに
以上、サイバーリスクへの対応としてクラウドサービスの
活用、ビジネスパートナーや同業他社との情報共有など、自
社にあるノウハウだけでなく、ビジネスエコシステムでのリ
スク対応の必要性について述べてきました。
貴社におけるサイバーリスク対応体制の構築においては、
企業単独による体制構築のみならず、ビジネスエコシステ
ムにおけるサイバーリスク対応という協力体制の構築に本
稿が一助になれば幸いです。
綾部泰二（あやべたいじ）
PwCあらた監査法人
システム・アンド・プロセス・アシュアランス部ディレクター
2006年公認情報システム監査人（CISA）登録。主にITガバナンス、システ
ムリスク管理、情報セキュリティ関連の業務に従事している。業種を問わ
ず ITガバナンス、システムリスク管理、情報セキュリティ関連業務の現場
責任者として多数のクライアントにサービスを提供している。情報セキュリ
ティ分野において、特にインシデントが発生した場合の再発防止策検討や
有効性評価の実績を多数有する。
メールアドレス：[email protected]
PwC’s View — Vol. 03. July 2016
23
PwC あらた監査法人
〒 104-0061
東京都中央区銀座 8-21-1　住友不動産汐留浜離宮ビル
Tel：03-3546-8450 Fax：03-3546-8451
PwC Japanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社
（ PwC あらた監査法人、京都監査法人、PwCコ
ンサルティング合同会社、PwCアドバイザリー合同会社、PwC 税理士法人、PwC 弁護士法人を含む）の総称です。各法人は独立して事業を行い、相互
に連携をとりながら、監査およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、法務のサービスをクライアントに提供しています。
© 2016 PricewaterhouseCoopers Aarata. A ll rights reser ved.
P wC refers to the PwC net work member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC net work.
Each of such firms and subsidiaries is a separate legal entit y. Please see w w w.pwc.com/structure for further details.

Download Report