PwC’s View 特集 : Vol. サイバーリスクへの対応 3 July 2016 www.pwc.com/jp 特集:サイバーリスクへの対応 ビジネスエコシステムにおける サイバーリスクへの対応 ~企業単独のサイバーリスクへの対応からの脱却~ PwC あらた監査法人 システム・アンド・プロセス・アシュアランス部 ディレクター 綾部 泰二 はじめに 1 サイバーリスクへの対応の必要性が求められるなか、企 業単独での対応については進んでいる状況がうかがえると ビジネスエコシステムにおける ビジネスの環境 ビジネスエコシステムというキーワードが活用されるよう ころ、いわゆるビジネスエコシステムを意識したサイバーリ スクへの対応の必要性を本稿では解説したいと思います。 になっていることにみられるように、現在の企業活動の環境 なお、文中の意見に係る部分は筆者の私見であり、PwCあ は、複数の企業が商品開発や事業活動などでパートナー らた監査法人または所属部門の正式見解でないことをあら シップを組み、各企業の強みを生かしながら、消費者等を かじめお断りします。 巻き込み、業界の垣根や国を超えて広く共存共栄を図って いる状況です。 このようなビジネスエコシステムにおいては、自社におけ るサイバーリスクへの対応だけでなく、ビジネスパートナー におけるサイバーリスクへの対応も考慮しなければならな い時代を意味しています。 ビジネスエコシステムのイメージ グローバル・ビジネス・エコシ ステムとは、 「複雑に連携する 企業や組織の体系」 顧客 子会社 グループ 会社 従業員 ビジネス展開の地理的な範 囲 が 広 が れ ば 、そ の 分 、グ ローバルエコシステムも複雑 になる 20 PwC’s View — Vol. 03. July 2016 グローバルにビジネスを展開 するためには、一組織だけで は勝負できない 監督官庁 本社 共同 研究機関 サプライヤー 委託先 競合他社 今や競合他社でさえ、 ( 部分 的には)パートナーとして協業 することが珍しくなくなった 特集:サイバーリスクへの対応 2 では個社として、どのようにサイバーリスクと向き合うべき 企業規模に見るサイバーリスクの 顕在化傾向 でしょうか。サイバーリスクへの対応は、主として次の2 点が 必要です。 以下表 1 における PwC が実施しているグローバル のセ キュリティ調 査( T h e G l o b a l S t a t e o f I n f o r m a t i o n ①組織的な体制の確立 Security® Survey 2016)によると、大企業では 2014 年に ②技術的な対応 増加した被害額が、2015 年には減少傾向になっているの に対して、中規模、小規模の企業では横ばい、または増加 ①については、一度体制を整えればその後は定期的な見 傾向にあります。特に小規模では、過去 3 年において最高の 直しにより、より実効性を高めていくというプロセスになりま 被害額が認識されています。 すので、生みの苦しみとして未整備である企業においては、 この結果は、上述したビジネスエコシステムを前提とする まず①の整備、運用が求められます。 と、大企業が直接の被害を受けなくとも、取引先、協業先が ②については、日々攻撃手法が進化するサイバーリスク 被害を受けることで、自社のビジネスへの影響が発生する に対して、日々の技術的な対応が必要であり、最新の情報 可能性があることを意味しています。よって、サイバーリス の入手、専門家による対応、IT分野における対応等々が必 クへの検討をする場合には、自社の対応状況のみ検討する 要となります。特に②の対応については、専門家不足、また だけでなく、取引先や協業先におけるサイバーリスクへの対 設備投資等のコストもかかるため、企業のタイムリーなサイ 応を認識することが必要となります。 バーリスクへの対応を阻害している要因の一つになってい るといえます。 3 特に私たちの国においてはサイバーリスクへの対応可能 サイバーリスク対応への課題 な人材育成が急務であるとの状況において、全ての企業が 専門家を雇用できる状況ではないのが現実です。 ビジネスエコシステムから、個社でのサイバーリスクでの また、専門家の育成には時間がかかることを鑑みると、① 対応では不十分であると上述しましたが、やはりその前提と の体制が未整備な企業もさることながら、そもそもの専門家 して、企業規模にかかわらず個社での対応が必要となるの 不足という点が、サイバーリスク対応において多くの企業の も事実です。 根本課題として存在しているところではないでしょうか。 表1:企業規模ごとの年間平均インシデント被害額 ■2013 ■2014 ■2015 $5.9 million $4.9 million $3.9 million $0.65 million $0.94 $0.41 million million 小企業 (年商$100million未満) $1.0 $1.3 million $1.3 million million 中企業 (年商$100million~$1billion) 大企業 (年商$1billion超) (USドルベース) PwC’s View — Vol. 03. July 2016 21 特集:サイバーリスクへの対応 基盤のメンテナンス /保守費用の削減などが検討理由として サイバーリスクに対する クラウド活用の意義 4 挙げられますが、サイバーリスクへの対応についての解決 策の一つとして検討してみることも一案です。 では、各企業において「専門家不足をどのように解消して この点、上述した「PwC が実施しているグローバル のセ いくか」がサイバーリスクへの対応として一つのキーポイン キュリティ調 査( T h e G l o b a l S t a t e o f I n f o r m a t i o n トになるところですが、解消手段としては主に次の 3 点が想 Security® Survey 2016)」によると、調査対象となった 定されます。 69%の企業がクラウド型サイバー・セキュリティ・サービス ①自社で専門家を育てる。または外部から専門家を採用す ローバルでみると、機密データの保護やプライバシーの強 を使用しているとの結果となっています。調査結果からグ る 化に対してクラウドサービスを積極的に活用している状況が この方法では、そもそも専門家が不足している状況下に うかがえます。 おいて、実現性という意味で短所があります。また、人材を またそのうち、クラウド型のサイバー・セキュリティ・サー 育成する場合には、比較的長期間になることが想定されま ビスを利用している内容としては表 2のとおりです。よってク す。 ラウドベンダーを選定する際に、該当するサービスを提供し ているか否かを選定する際の考慮ポイントとしてみることも 一案です。 ②プロフェッショナルサービスの活用 この方法では、①に比べて実現性は確保されますが、①と 合わせて実施しない場合、社内にノウハウが蓄積されず、 自社におけるサイバーリスクへの対応要員の確保を目指す 場合には、併せて社内にノウハウを蓄積する計画を立てて 5 ビジネスエコシステムにおける サイバーリスクへの対応体制の構築 サイバーリスクへの対応に際して、個社のみの対応では おくことが求められます。 不十分であることは前述したとおりです。 ③サイバーリスクへの対応に万全な体制を有しているクラ では、どのように対応すべきでしょうか。この点についてま ウドサービスなどの活用 ず実施を検討していただきたいのが他社とのサイバーリス 全てのクラウドベンダーに当てはまる内容ではないと想定 クへの対応状況における情報共有です。 されますが、大手のクラウドベンダーなどでは、サイバーリス この点も、詳 細は T h e G l o b a l S t a t e o f I n f o r m a t i o n クに対して適切に対応しているベンダーも存在しています。 Security® Survey 2016を参照していただければと思いま 一般的にクラウドなどを活用する場合、ビジネスの変化に すが、日本企業においてはサイバーリスクへの対応につい 対応するためのシステム開発スピードの向上や、システム ての情報共有を他社と積極的に行っているとは言い難い調 表2:クラウド型サイバー・セキュリティ・サービスの採用 56% リアルタイム監視と分析 55% 高度認証 48% IDおよびアクセス管理 47% スレットインテリジェンス 44% エンドポイント保護 0% 22 PwC’s View — Vol. 03. July 2016 10% 20% 30% 40% 50% 60% 特集:サイバーリスクへの対応 査結果となっています。 その理由としては、情報共有の枠組みの整備ができてい ないなどが挙げられていますが、情報共有による自社へのメ リットも当該サーベイ結果では「同業他社から実用的な情報 提供を得られた」などの結果が出ている点を鑑みると、積極 的に他社と情報共有していくべきと想定されます。 では、他社といった場合にどのような範囲を想定すればよ いでしょうか。 まずは、次の 2 つの他社に対して情報共有プロセスを構 築していただければと思います。 ①ビジネスパートナー 自社のサービス提供に不可欠なビジネスパートナーにお いては、サイバーリスクの顕在化によるサービス提供不可と いう状況を回避するためにも、サイバーリスクへの対応状況 を共有しておくことは非常に重要なことだと想定されます。 よって未実施な場合には、まずはビジネスパートナーとの 情報共有の実施を行うべきであるといえます。 ②同業他社 同業他社においては、業界としての攻撃傾向などもあるの で、情報共有を行うことは有益であると考えられます。例え ば金融機関などでは業界団体を通じてサイバーリスクへの 対応が共有されているところではありますが、業界団体とし て整備されていない業界もあるかと想定されます。 そのようなケースでは、やはり同じクラウドサービスを活 用するユーザー会などの活用も有益です。また他社との情 報共有においては、現場レベルの草の根的な活動というよ りは、いわゆるマネジメント層による働きかけがある方が、 実務担当者も動きやすいのも事実です。 よって、同業他社との情報共有プロセスが未整備な場合 には、マネジメント間における情報共有のコミュニケーショ ンを担保していただくことが、重要であると考えられます。 6 おわりに 以上、サイバーリスクへの対応としてクラウドサービスの 活用、ビジネスパートナーや同業他社との情報共有など、自 社にあるノウハウだけでなく、ビジネスエコシステムでのリ スク対応の必要性について述べてきました。 貴社におけるサイバーリスク対応体制の構築においては、 企業単独による体制構築のみならず、ビジネスエコシステ ムにおけるサイバーリスク対応という協力体制の構築に本 稿が一助になれば幸いです。 綾部 泰二 (あやべ たいじ) PwCあらた監査法人 システム・アンド・プロセス・アシュアランス部 ディレクター 2006年公認情報システム監査人(CISA)登録。主にITガバナンス、システ ムリスク管理、情報セキュリティ関連の業務に従事している。業種を問わ ず ITガバナンス、システムリスク管理、情報セキュリティ関連業務の現場 責任者として多数のクライアントにサービスを提供している。情報セキュリ ティ分野において、特にインシデントが発生した場合の再発防止策検討や 有効性評価の実績を多数有する。 メールアドレス:[email protected] PwC’s View — Vol. 03. July 2016 23 PwC あらた監査法人 〒 104-0061 東京都中央区銀座 8-21-1 住友不動産汐留浜離宮ビル Tel:03-3546-8450 Fax:03-3546-8451 PwC Japanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社 ( PwC あらた監査法人、京都監査法人、PwCコ ンサルティング合同会社、PwCアドバイザリー合同会社、PwC 税理士法人、PwC 弁護士法人を含む)の総称です。各法人は独立して事業を行い、相互 に連携をとりながら、監査およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、法務のサービスをクライアントに提供しています。 © 2016 PricewaterhouseCoopers Aarata. A ll rights reser ved. P wC refers to the PwC net work member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC net work. Each of such firms and subsidiaries is a separate legal entit y. Please see w w w.pwc.com/structure for further details.
© Copyright 2025 ExpyDoc