Embed Size (px)
Citation preview
27月刊監査研究 2017.4(No.521)
研究会報告
IPPFプラクティス・ガイドのGTAG Ⓡ シリーズ
サイバーセキュリティ・リスクの評価3つのディフェンスラインの役割
2016年9月公表
(原文題名:Assessing Cybersecurity Risk:Roles of the Three Lines of Defense)
内部監査人協会(IIA)訳:研究会No. e9(CIAフォーラムFSFR)
CIAフォーラム研究会報告
CIAフォーラムは、CIA資格保持者の研鑽および相互交流を目的に活動する、一般社団法人日本内部監査協会(IIA-JAPAN)の特別研究会である。各研究会は、担当の座長が責任をもって自主的に運営し、研究期間、目標成果を設定し、研究成果を発信している。
当研究報告書は、CIAフォーラム研究会No.e9(CIAフォーラムFSFR)が、その活動成果としてとりまとめたものである。報告書に記載された意見やコメントは、研究会の「見解」であり協会の見解を代表するものではなく、協会がこれを保証・賛成・推奨等するものでもない。
目次
Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 1035 Greenwood Blvd., Suite 401 Lake Mary, FL 32746, U.S.A., to publish this translation. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc.
要約………………………………………………… 28序論および業務上の重要性……………………… 28サイバーセキュリティに関連する主要なリスクおよび脅威………………………… 293つのディフェンスライン:役割と責任……… 30 第1のディフェンスラインの担い手および 主な活動………………………………………… 30 一般的なサイバー脅威に対する コントロール………………………………… 31 第2のディフェンスラインにおける責任者 と重要な活動・措置…………………………… 33 第1と第2のディフェンスラインの陥穽…… 34 第3のディフェンスラインとしての 内部監査部門の役割…………………………… 34 内部監査の範囲と協力機能………………… 38サイバーセキュリティ・リスクおよびコントロールの評価アプローチ………………… 38 サイバーセキュリティ・リスクアセスメント・ フレームワーク ………………………………… 39
Component1:サイバーセキュリティ・ ガバナンス ………………… 39 Component2:情報資産の棚卸 …………… 39 Component3:標準的なセキュリティの 設定 ………………………… 40 Component4:情報へのアクセスの管理 … 40 Component5:迅速な対応と改善 ………… 40 Component6:継続的モニタリング ……… 41取締役会やその他ガバナンス組織に対してアシュアランスの報告をする上での内部監査部門長の役割…………………………………… 42付録A. 主要なIIA基準* …………………… 43付録B. 関連するIIAのガイダンス ………… 44付録C. 主要な概念の定義 ……………………… 44付録D. サイバーセキュリティ・リスクに 対する内部監査の考慮事項…………… 45著者/貢献者……………………………………… 47
*(編集注)本プラクティス・ガイドにおけるIIA基準は2013年版になります。IIA基準は、2017年1月1日より改訂版が適用されています。
28 月刊監査研究 2017.4(No.521)
研究会報告
要約
あらゆる種類の組織がサイバー脅威に対し
てより脆弱になりつつある。その原因は、組
織がコンピューター、ネットワーク、プログ
ラムおよびアプリケーション、ソーシャルメ
ディア並びにデータへの依存を増しているた
めである。セキュリティが破られることは、
組織およびその顧客に対して金銭上および評
判に関する悪影響を及ぼし得る。組織の外部
のユーザーから情報に対するグローバルな接
続およびアクセスの可能性があることは、リ
スクを増大させ、リスクは、IT全般統制お
よびアプリケーション統制により歴史的に対
応がなされてきたものを超える。組織の情報
システムに対する依存および新しい技術の発
展により、IT全般統制およびアプリケーシ
ョン統制に対する伝統的な評価は、サイバー
セキュリティに関するアシュアランスを提供
するためには不十分になる。
サイバーセキュリティとは、一つの組織の
情報資産を不正アクセスから守るために設計
された技術、工程および実践のことである。
情報資産には、コンピューター、ネットワー
ク、プログラムおよびデータが含まれる。サ
イバー攻撃の頻度と激しさが増す中、サイバ
ーセキュリティのリスク・マネジメントの改
善がかなり必要とされている。
内部監査部門は、組織のサイバーセキュリ
ティのリスクを以下の点を考慮して評価する
際に、重要な役割を担う。
・ 組織の最も価値ある情報にアクセスする
権限を誰が有するか。
・ サイバー攻撃にとって最も攻撃目標にな
りやすい情報資産は何か。
・ 改ざん等された場合に最も重大な支障を
引き起こすのは、どのシステムか。
・ 権限のない者に取得された場合に、金銭
上または競争上の損失、法律的な問題ま
たは評判上の損害を組織にもたらすの
は、どのデータか。
・ サイバーセキュリティに関する事案が発
生した場合に、経営陣は遅滞なく対応す
る用意ができているか。
このプラクティス・ガイドは、内部監査部
門がサイバーセキュリティに関して果たすべ
き役割を取り上げる。役割には以下の点を含
む。
・ アシュアランス、ガバナンス、リスクお
よびサイバー脅威に関する内部監査部門
長の役割
・固有のリスクおよび脅威の評価
・ リスク・マネジメント、コントロールお
よびガバナンスに関連した第1、第2お
よび第3のディフェンスラインの役割お
よび責任
・ アシュアランスに関係するギャップが生
じ得る箇所
・内部監査部門の報告責任
加えて、このガイドは、新たに生じている
リスク、3つのディフェンスラインすべてが
直面する共通の脅威、並びにサイバーセキュ
リティのリスクおよびコントロールを評価す
るための分かりやすい考え方を提示する。
序論および業務上の重要性
内部監査人は、サイバーセキュリティのリ
スクに関するアシュアランスを提供するため
に、最新の手法を必要とする。IT全般統制
の評価は有用だが、サイバーセキュリティの
保証を提供するためには不十分である。なぜ
なら、IT全般統制の評価は適時でも完全で
もないからである。完全性、正確性および権
限付与といった監査の基本的な目的は、依然
として適切である。しかしながら、新しい要
素が数多く出てきたために、サイバーセキュ
リティのアサーションについて尊重される結
論を提供する最新の内部監査手法の必要性が
高まっている。
29月刊監査研究 2017.4(No.521)
研究会報告
内部監査部門長は、サイバーセキュリティの
リスクおよび経営陣が対応時間を短縮するこ
とに配慮して対応する能力を評価するための
明快な内部監査手法を作り出さなければなら
ない。内部監査部門長は、第1および第2の
ディフェンスラインの人員の専門能力を活用
して、サイバーセキュリティのリスクを把握
し続けるべきである。
サイバーセキュリティに関連する主要なリスクおよび脅威
サイバーセキュリティは、業務の有効性お
よび効率性、内部および外部に対する報告の
信頼性並びに該当する法律および規則の遵守
に関する組織の目標を支援するシステムに関
連がある。組織は一般的には、情報の完全性、
機密性および可用性を守るために、組織全体
についてサイバーセキュリティ・コントロー
ルを設計し、実施する。
サイバー攻撃は様々な理由により永続す
る。理由には、経済的な詐欺、情報の窃取お
よび悪用、活動家の理由、コンピューター・
システムを麻痺させること、重要なインフラ
および政府または組織の重要なサービスを妨
害すること等が含まれる。サイバー脅威の5
つの一般的な発生源は、表1に列挙されてい
る。
ある一つの組織に関連するサイバー脅威を
理解するためには、どんな情報が外部者にと
って価値があるか、またはそれが利用できな
くなったり改ざんされたりした場合に重大な
混乱を引き起こすかを判断することが重要で
ある。また、どんな情報が、それが外部者に
取得されたり公表されたりした場合に、経済
的または競争上の損失を引き起こすか確認す
今日の技術の拡散により、組織の情報に対
してかつてないほど多くのユーザーのアクセ
スが可能になる。第三者は、サプライチェー
ン、顧客およびサービス・プロバイダーを通
して、組織の情報にアクセスする機会を与え
られることが増えている。より多様なデータ
がたやすく利用可能になったのは、組織がし
ばしば、大量の機微で秘密の情報を、クラウ
ド・コンピューティングを通してアクセス可
能な仮想インフラストラクチャーに保存する
ためである。
内部監査の手法に影響を与えるもう一つ
の要素は、ますます多くの機器が接続さ
れ、かつ常にデータ交換を行っていること
(「Internet of Things」として知られる現象)
である。組織がグローバル化し、組織の従業
員、顧客、第三者プロバイダーの輪が広がる
につれ、組織の情報に対する恒常的なアクセ
スへの期待も高まっている。「デジタル・ネ
イティブ」(注1)である若い世代は、どこ
からでもデータに瞬時にアクセスできること
を想定している。
セキュリティに対する予期せぬ脅威は、敵
対的な外国との関係、組織的なハッカー、内
部者並びに標準以下のソフトウェアおよびサ
ービスによってもたらされる可能性がある。
サイバーセキュリティの手続きは、サイバー
セキュリティの事例および侵害が増加し続け
るのに対抗して、複雑性を増す可能性がある。
リスク事例を制限時間内に検知し報告するこ
とは、伝統的なIT全般統制のサイクルによ
る予防的価値よりも重要である。
このようなエマージング・リスクに対応す
るために、内部監査部門長は経営陣が予防型
と発見型との両方のコントロールを導入済で
あることを確実にするよう求められている。
(注1)「デジタル・ネイティブ」という用語は、2001年に「デジタル・ネイティブ、デジタル移民」という記事において、教育コンサルタントで著者であるマーク・プレンスキーによって作り出され、使われたものである。コンピューター、ビデオゲーム、ソーシャルメディア等のデジタル言語を使って育った世代の人々を指す。
30 月刊監査研究 2017.4(No.521)
研究会報告
ることが重要である。検討すべき情報の例は
次のものを含む。顧客および従業員のデータ、
知的財産、サプライチェーン、製品の品質お
よび安全性、契約の条件および金額、戦略的
な計画、財務データ。
組織が活動する業界には、サイバー脅威を
認識する際に重要な背景事情が確立してい
る。たとえば、小売業者は、顧客データの保
護に注力し、顧客サービスが中断しないこと
を確実にしようとするだろう。研究開発を中
心とする組織にとっては、知的財産が主要な
関心事であろう。製造業者は、生産の信頼性
と効率性、サプライチェーン・システム並び
に製品の品質と安全性に注意を集中するだろ
う。専門的なサービスを提供する会社は、契
約書および財務費用モデルに含まれる機微な
取引関連情報に最も関心があるだろう。
3つのディフェンスライン:役割と責任
組織内のリスクおよびコントロールの機能
の有効性と効率性を改善するためのベストプ
ラクティスという手法は、2013年1月に発行
された内部監査人協会(IIA)のポジショ
ンペーパー「効果的なリスク・マネジメント
およびコントロールにおける3つのディフェ
ンスライン」において用意されている。サイ
バーセキュリティに関する内部監査部門の役
割を評価する重要な手順の一つは、3つのデ
ィフェンスラインが適切に分離され、有効に
機能しているか確認することである。それに
加えて、組織のリスク・アペタイト、すなわ
ち一つの組織が受け入れることのできるリス
クのレベルを超えるリスクを特定し、上位者
へ報告することに関連する役割および責任を
定義するために、上位者への報告手順が定め
られるべきである。
第1のディフェンスラインとして、経営陣
は、データ、プロセス、リスクおよびコント
ロールを所有・管理する。サイバーセキュリ
ティとの関連では、この機能はしばしば、シ
ステム管理者および他の役職で組織の資産を
保護することを担当する者により担われる。
一般的な第1のディフェンスラインの活動
は、31ページの表2に記載されている。
第2のディフェンスラインは、第1のディ
フェンスラインのプロセスおよびコントロー
ルが存在し、有効に機能していることを確実
にする責任を負う、リスク、コントロールお
よびコンプライアンスの監督部門からなる。
これらの部門は、有効なリスク・マネジメン
トおよびサイバーセキュリティに関するリス
クと脅威のモニタリングを確実にすることに
責任を負う部署を含むであろう。第2のディ
フェンスラインによってなされる一般的な活
動は、33ページの表3に記載されている。
第3のディフェンスラインとして、内部監
査部門は、経営陣および取締役会に対して、
ガバナンス、リスク・マネジメントおよびコ
ントロールに関する独立して客観的なアシュ
アランスを提供する。これは、サイバーセキ
ュリティのリスクと脅威を管理し低減するた
めに第1および第2のディフェンスラインに
よって実施された活動の全体的な有効性を評
価することを含む。第3のディフェンスライ
ンによって実施される一般的な活動は、35ペ
ージの表4に記載されている。
第1のディフェンスラインの担い手および主な活動
第1のディフェンスラインは、リスクおよ
びコントロールに責任を負い、管理し、プロ
<表1>�サイバー脅威の5つの一般的な発生源
・国家・サイバー犯罪者・ハクティビスト・内部者およびサービス提供者・標準以下の製品およびサービスの開発者
31月刊監査研究 2017.4(No.521)
研究会報告
対応とデータにつき安全措置を施す責任も負
う。
組織が上述の態勢を確保するに充分な規模
にない場合、サイバーセキュリティ・リスク
への対応に関係する業務の管理者とIT関連
の管理者で審議会を設置するのが一般的な方
法である。既述の責任は、関連するリスクに
対処するに適切な権限を持つ、第1のディフ
ェンスラインに配置されており、関連するリ
スクに対処するに適切な権限を持つ一人また
は複数の個人を通じてカバーされる。
一般的なサイバー脅威に対するコントロール
サイバー脅威はシステムをダウンさせるこ
とないしデータを取得することを狙うので、
この脅威は重要なデータが保存されている場
所ならどこででも頻繁に発生する。例えば、
データセンター、内部ネットワーク、外部に
置かれた(システム)環境、業務継続計画用
の(BCP)プラットフォームが含まれる。
どこで攻撃が起こるにしても、法令等違反、
セスおよびコントロールの不備に対処するた
めの是正行為を実行する業務管理者からな
る。組織は、サイバーセキュリティを念頭に
置き、複数の役職を設置するだろう。
最高技術責任者(CTO)は主として、組
織の使命を追求するために利用可能な技術に
関して知識および指示を出す責任を負い、し
ばしば組織の知的財産を守る責任を負う。ま
たCTOの責任は、競争上の優位性、戦略の
変更および技術革新を可能にするであろう技
術進歩の次の段階に向けて組織が準備できて
いることを確実にすることも含むだろう。
組織はまた、最高セキュリティ責任者(C
SO)、最高情報システム責任者(CISO)
またはITセキュリティに責任を負う他の者
を採用するだろう。CSOまたはCISOは、
サイバー脅威を特定し理解するうえでの要石
として、サイバーセキュリティの戦略を策定
し実施し、セキュリティ・ポリシーおよび手
続きを実行する。彼らはしばしば、組織の資
産および関係者のデータが適切に守られてい
るか確認するための管理プログラムを開発す
る際に、指導的役割を果たす。
最高情報責任者(CIO)を採用し、競争
的優位性と戦略的変革を組織横断的に推進す
る役割を担わせることもあろう。CIOはま
た、情報を中心とするサイバーセキュリテ
ィ・プログラムを整備すること、組織全体に
わたるサイバーセキュリティ研修プログラム
を実施すること、サイバーセキュリティ・ポ
リシーを整備することについても責任を負わ
されることもあろう。
CTO、CSO、CISO、CIOは最高
執行責任者(CEO)および他の経営陣幹部
と協力して、サイバー犯罪および関連するサ
イバー攻撃に対応する。組織内の部署が自ら
の技術的対応につき責任を負う場合には、当
該部署はまた、組織内で実施される他のリス
ク・アセスメント活動と調整を行いながら、
適切なコントロールを設計・実施し、技術的
<表2>�第1のディフェンスラインの一般的な活動
・ セキュリティ手順、研修、テスティングの実施
・ 保全機器の設定、最新ソフトウェア、セキュリティ・パッチの維持
・ 侵入検出システムの配備と侵入テストの実施
・ ネットワーク・トラフィックの十分な管理と保護のため安全なネットワーク設定
・ 情報資産、IT機器、関連ソフトウェアの在庫管理
・ 関係する監視活動とともにデータ保護と遺失防止策を展開
・ 最小権限のユーザーアクセスが持つ役割の制限
・実行可能な限りでのデータの暗号化・ 内部スキャンと外部スキャンを用いての脆
弱性管理の実施・ 公認資格を持つ、IT、ITリスク、情報
セキュリティ人材の採用と保持
32 月刊監査研究 2017.4(No.521)
研究会報告
ュリティ検査への関与。加えて、情報セキュ
リティに係る防御手段を特定しての報告義務
を巡って、期待するところを明示すべきであ
る。
デュー・デリジェンスが行われ、契約書が
交渉の結果締結された後、経営陣はサービ
ス・レベル・アグリーメントが遵守されてい
ることを確実なものとするため、主要指標を
監視し報告することを通じてベンダーを監
督・統制することを検討すべきである。もし、
ベンダーが契約上の要請を充足しなければ、
経営陣は監査実施の条項を発動し、懸念事項
の速やかな解決を求め、課徴金を課し、そし
て必要であれば他のベンダーに切り替えるた
めの計画を検討することができる。
経営陣はまた、フィッシングの電子メール
や悪意ある電話を含むソーシャル・エンジニ
アリングを関与させた攻撃計画に対しても、
警戒すべきである。情報や措置の実施を必要
とする正当な組織または個人になりすまし、
攻撃者は権限ある個人を信用させることによ
り、機微情報を共有させ、またはシステムの
クレデンシャル情報を提供させ、または不正
で詐欺的なウェブサイトへのリンクをクリッ
クさせ、または被害者のコンピューターにマ
ルウェアをインストールする措置を行うこと
を正当な権限者に納得させる。マルウェアは
複雑・高性能になってきており、特定の目的
やネットワークを目標とするようになってい
る。いったんマルウェアがインストールされ
ると、その組織のネットワーク内で広く複製
が生じ、システムの性能と可用性を阻害し、
データを盗み、そして攻撃者の不当な犯罪意
図達成の努力を進展させることができるよう
になる。
マルウェアは問題意識の欠如を利用して侵
攻してくる。したがって、疑わしいないし普
通とは異なる電子メール、前例のない要請、
電話、あるいはシステムの動きに注意すべき
であることを、頻繁に個人向けに注意喚起し
課徴金、評判の毀損、収入の逸失を含む結果
となろう。
機微データや機密データは分類され、内部、
外部、ないしは両方に保存される。内部保存
につき、大部分の組織は、セキュリティ構成、
ファイアウォール、アクセスコントロールの
ような技術に、第1のディフェンスラインと
して依拠する。しかし、ファイアウォールに
過大な負荷をかけることを狙った攻撃では、
攻撃者がアクセスできるようになり、不正な
取引が実行されてしまうだろう。
ファイアウォールにそのような攻撃が届く
リスクを減少させるために、第1のディフェ
ンスラインはネットワークの周辺部で予防的
措置を実施する。これは困難なプロセスであ
り、アクセスの制限と不正なトラフィックの
遮断をするものである。ソフトウェア製品、
組織、悪意あるウェブサイトに係る情報に基
づき既知の脆弱性を監視するために、モニタ
リングのような、発見的コントロールも実施
されるべきである。
多くの組織は、良性のトラフィックのリス
ト(ホワイトリスト)と遮断対象のトラフィ
ックのリスト(ブラックリスト)を整備する。
しかし、常に変化しているネットワークのト
ラフィックの特性のため、能動的なモニタリ
ングと頻繁な更新が重要である。攻撃者がシ
ステムにアクセスできた場合、次の攻撃は管
理者特権を得ることおよび自らの動きの跡を
隠ぺいすることである。
データが組織外部に保存される場合、関係
するリスクをベンダーが適切に管理している
ことを確実なものとすることが必須である。
第1のディフェンスラインが踏むべき最初の
極めて重要な手続きは、次のすべて、ないし
一部の事柄を要求する、効力の強い契約を結
ぶことである。サービスを提供する組織のコ
ントロール(SOC)報告書、監査実施の権
利を認める条項、サービス・レベル・アグリ
ーメント(SLAs)、そしてサイバーセキ
33月刊監査研究 2017.4(No.521)
研究会報告
続けることが重要である。研修は、各個人が
偽のコミュニケーションであると気づくこと
および事案を迅速に報告し、調査、上位者へ
の報告、解決につなげることに役立つ。業界
の他社からの教訓や情報は、研修、意識づけ、
追加的な予防措置の採用に向けて利用するこ
とができる。
第2のディフェンスラインにおける責任者と重要な活動・措置
第2のディフェンスラインは、ITリス
ク・マネジメント機能とITコンプライアン
ス機能から成り立つことが多く、組織の警戒
態勢と実施計画の整備に重要な役割を担う。
第2のディフェンスラインは次の事項に責
任を負う。
・サイバーセキュリティに関連するリスク
とリスクにさらされている度合いを評価
し、組織の受容するリスク・レベルと整
合しているか検討する。
・現時点であるリスクとエマージング・リ
スクおよび法令等の変化をモニターする。
・第1のディフェンスラインと協力して、
適切なコントロール態勢の整備を確実な
ものとする。
サイバーセキュリティ・リスクは他の伝統
的なリスクに比して絶えず変化しており、速
やかな対応が必要である。リスクおよびそれ
に組織がさらされている状況は変化し続ける
ため、変化しつつある脅威の状況に対して、
組織を適切に整え安全を適切に確保するため
のガバナンスと監督を推進することにおい
て、第2のディフェンスラインは重要である。
1件のセキュリティ侵害が、組織の受容する
リスク・レベルを変え、法令等を変えること
にもつながりうる。
IIAのプラクティス・ガイド「内部監査
と第2のディフェンスライン」によれば、監
督、態勢整備方針、基準、そして制限を提供
することが第2のディフェンスラインの基本
的意義である。例えば、受容できる違反発生
率を含む脆弱性のリスク度合いに応じて、期
待と指針を明確に制定すべきで、経営陣に懸
念を報告する前に重要なインフストラクラチ
ャーを手当する際の指針となる。
第2のディフェンスラインは、第1と第3
のディフェンスラインと緊密に協力し、取締
役会ないし理事会における有効な認識を醸成
し、サイバーセキュリティ・リスクに係る報
告とコントロールが十分で最新のものである
ことを確保すべきである。第2のディフェン
スラインはリスク評価を実施・報告するが、
サイバーセキュリティを継続して優先項目と
すべきである。なお、業界や組織の類型によ
っては、サイバーセキュリティに特化したリ
スク評価を実施することも正当化できよう。
第2のディフェンスラインの役割は明確に
されるべきである。例えば、現に活動中で緊
急なセキュリティ事案につきITコンプライ
アンスが果たす役割は事案発生の前に理解さ
れていなくてはならない。合意された閾値を
含む重要リスク指標は、監視、ガバナンスお
よび報告活動に有益な手段である。
組織は、重要工程で重要なベンダーおよび
サプライヤーを利用する。特に直接のネット
ワーク接続ないし他のデータ転送の手段を通
<表3>�第2のディフェンスラインの一般的な活動
・ サイバーセキュリティ・ポリシー、研修、およびテスティングの整備
・サイバーリスク・アセスメントの実施・サイバー脅威に係る情報の収集・ データを分類し、最小権限のユーザー・ア
クセスが持つ役割を規定・ インシデント、主要リスク指標、リスク低
減策のモニター・ 公認資格を持つITリスク人材の獲得と保
持・ 第三者、サプライヤー、サービス・プロバ
イダーとの関係の評価・ 事業継続計画の策定/テストの実施、復旧
訓練への参加およびテストの実施
34 月刊監査研究 2017.4(No.521)
研究会報告
じて、機微・機密データにアクセスを持ちう
るベンダーがいることに注目して、第2のデ
ィフェンスラインは、これらの第三者サービ
ス・プロバイダーとの関係につきサイバーセ
キュリティ・リスクを巡って評価する必要が
生じる場合があろう。技術的および契約上の
コントロールに係る条項はレビューする必要
があり、ベンダーは、合意済みのサイバーセ
キュリティ・コントロール手段につき十分な
報告を用いて定期的なアシュアランスを提供
することが不可欠である。
サイバーセキュリティ・リスクに関してベ
ンダーに対するガバナンスを経営陣が実施す
ることを確実なものとする責任を、第2のデ
ィフェンスラインは負っている。そのような
ガバナンスには、典型的には、コントロール
報告書を入手しレビューすること、コントロ
ール活動を監視すること、そして、ベンダー
が期待ないしサービス・レベル・アグリーメ
ントに沿わない場合、組織内の、例えばベン
ダー・リスク委員会のような管理組織に、リ
スクを報告していくことが含まれよう。
第1と第2のディフェンスラインの陥穽予期せぬリスクは、サイバーセキュリティ
手続きの中に継続的な活動として監視と監督
が織り込まれていない場合に生じる。新たな
脅威や脆弱さは日々生まれている。サイバー
セキュリティに係る確固とした、かつ継続的
な研修、教育、そして監視が欠如することは、
組織への脅威と攻撃を惹起し、重要なシステ
ムとデータが不正アクセスされることになろ
う。
このリスクを緩和するために、多くの組織
ではサイバーセキュリティ委員会を設置して
いる。その委員会は、CSO、CISO、な
いしは個人情報保護管理責任者が主導する場
合が多く、インフラストラクチャー、ネット
ワークおよびセキュリティ・チームの関係者
並びにITリスクおよびコンプライアンスの
経営陣が定期的に会議を行う。この委員会の
主な目的の一つは、組織の重要資産、リスク・
アセスメント、脅威発生の可能性、潜在的な
影響の大きさ、そしてサイバーセキュリティ
攻撃からこれらの資産を適切に保護する既存
のコントロール手段を理解することにある。
委員会はまた、新たな脅威および関連する指
標についても討議する。関連する指標には、
実際の攻撃者の動きを模倣してセキュリティ
防御体制の有効性を確認するペネトレーショ
ン・テストの最近の結果が含まれる(注2)。
他の陥穽としては、以下の事項が欠落する
ことを含む。
・ 重大なリスクが認識され効果的かつ効率
的に管理されることを確かにするための
密接な協力機能を有する、はっきり認識
されたディフェンスライン
・ サイバーセキュリティ戦略が適切な注目
と焦点を受けることを確かにするための
経営陣の関与と支援
・ タイムリーな対応とインシデント発生後
の根本原因分析
・ 上位者に上がってきた出来事に対応する
ために定められたプロトコルと責任
・必要とされるスキルセット
・ エマージング・リスクを予見して対処す
るための業界に関する情報と知識
・ 日常的なメンテナンスと補修を含むサイ
バーセキュリティ計画への十分な時間、
お金、および、リソースの投資、または、
予算付与
第3のディフェンスラインとしての内部監査部門の役割
ガバナンスは第一義的には組織体の取締役
(注2)ISACA, “ISACA Glossary of Terms, “69. 2015. http://www.isaca.org/Knowledge-Center/documents/glossary/glossary.pdf (2016年6月20日にアクセス)。著作権者の許可を得て転載。
35月刊監査研究 2017.4(No.521)
研究会報告
会と経営陣の責任である一方、ガバナンスを
評価することは内部監査部門の主要な役割の
一つである。IIA基準2110.A2(注3)は、
組織体のITガバナンスが組織体の戦略と目
標を支えているかどうかを評価することを内
部監査部門に求めている。
第3のディフェンスラインとして、内部監
査部門は第2のディフェンスラインと連携し
て、とりわけサイバーセキュリティ機能にお
いて、重要な役割を演じる。内部監査部門は
次に関して相談を受けることができる。
・ サイバーセキュリティと組織体のリスク
間の関係
・ 対応とコントロール活動の優先順位付け
・ 組織体のあらゆる関連する面にわたるサ
イバーセキュリティ・リスク低減のため
の監査;例えば、特権アクセス、ネット
ワークのデザイン、ベンダー管理、モニ
タリングなど。
・ 改善活動におけるアシュアランス
・ リスク認識を高めることとサイバーセキ
ュリティ・リスク・マネジメントとの調
整。特に、組織体内に成熟した第1と第
2のディフェンスライン機能が不足して
いる場合に。
・ サイバーセキュリティに関する条件が組
織体の業務継続計画(BCP)と災害復
旧テスト活動に含まれていることを確認
すること
IIA基準2120:「リスク・マネジメント」
で求められるリスク・マネジメント・プロセ
スの有効性の評価の一部として、内部監査部
門の役割は、組織体のリスクと調和させるた
めに、サイバーセキュリティ・リスクおよ
びコントロールを独立して評価することであ
る。これは、フレームワーク、基準、リスク・
アセスメント、およびガバナンスに関連する
第2のディフェンスラインの仕事の適切性を
レビューすることを含む。
加えて、内部監査部門は第1のディフェン
スラインにおけるコントロールの有効性を評
価する。IT全般統制は基礎ではあるがサイ
バーセキュリティ・リスクの低減のために完
全な解決策を提供するものではないことを心
に留めることは重要である。サイバーセキュ
リティの複雑性は、リスクに対するモニタリ
ング、侵入等が起こったときに発見する行為、
および是正行動を促すことなど、コントロー
ルの追加的な階層を必要とする。
伝統的なばらばらの評価に基づくアシュア
ランスは、サイバーセキュリティ・リスクの
ペースについていくには十分ではないので、
革新的なアシュランス戦略が求められる。継
続的な監査技術が、セキュリティの構成、エ
マージング・リスクの異常値と傾向、対応に
要する時間、および改善活動の変化を評価す
るために、ますます必要になる。
内部監査部門の価値増大のために、内部監
査部門長は、エマージング・リスクに関する
適時でかつ将来を考えたコミュニケーション
を提供する継続的な評価を通じて、革新的な
(注3)The International Professional Practices Framework (IPPF)(Altamonte Springs: The Institute of Internal Auditors, Inc., 2013), 30
<表4>�一般的な第3のディフェンスラインの活動
・ サイバーセキュリティに関連する予防的で発見的な手法について、独立した継続的な評価を提供する
・ 標準的なセキュリティ設定に対する特権アクセス、問題のあるWebサイト、悪意のあるソフトウェア、および、データの抜き取りのあるユーザーのIT資産を評価する
・改善への不断の努力を追跡する・ サービス組織体、第三者、およびサプライ
ヤー(注:第1と第2のディフェンスラインは継続的な責任をシェアする)のサイバーリスク・アセスメントを行う
36 月刊監査研究 2017.4(No.521)
研究会報告
継続的なアシュアランスのためのビジョンを
探求するかもしれない。Global Technology
Audit Guide (GTAG)、“Coordinating Con-
tinuous Auditing and Continuous Monitoring
to Provide Continuous Assurance,”は、第2
のディフェンスラインに位置するコンプライ
アンス機能と連携した継続的な評価を行うた
めの戦略を構築することに関する更なる説明
を与える。
プラクティス・ガイド“Reliance by Inter-
nal Audit on Other Assurance Providers,”に
よれば、もし内部監査人が再実施するまたは
仕事を検証し同じ結論に至るのであれば、内
部監査部門は第2のディフェンスラインに依
拠することができる。例えば、ITリスク・
マネジメントによって完了したペネトレーシ
ョン・テストを再実施する代わりに、内部監
査人がテストの詳細(スコープを含む)をレ
ビューし、結果に依拠することができるかど
うか決めることができる。可能な場合には、
内部監査人は、学んだ結果と教訓を将来のサ
イバーセキュリティ内部監査手続きに含める
ための梃子にすべく、その仕事を実施したテ
クニカル・スタッフを観察しインタビューす
べきである。
第1および第2のディフェンスラインと共
に、内部監査部門は第三者であるサービス・
プロバイダーに期待することを議論し明確に
決めるべきである。サービスの対象範囲次第
だが、第三者であるサービス・プロバイダー
は、サイバーセキュリティ・リスクの継続的
モニタリングをアレンジできる。とりわけ、
クラウド・コンピューティングが、ホスティ
ド・インフラストラクチャーに対する需要を
増加させている中においてそうである。継続
的なモニタリング・テクノロジーを利用する
ことによって、サービス・プロバイダーは、
経営陣に対して容易にサイバー・リスクを計
測し対応に要する時間を短縮する経済的な方
法を提供するために、サイバーセキュリティ
に関連した能力を発達させる。しかし、この
ようなサービスのタイプは、典型的にはアシ
ュアランスの主要な源泉ではなく、ユーザの
組織体は、彼らのサービス・プロバイダーが
継続的モニタリングを行うことをめったに要
求しない。
内部監査部門長がサイバーセキュリティに
関連する組織体のガバナンスを評価するとき
に考慮すべき10個の質問を挙げる。
1.経営陣とガバナンス機関(監査委員会、
取締役会など)はサイバーセキュリティに
関連するキーとなるリスクに気づいている
か。サイバーセキュリティの計画は適切な
サポートと優先権を得ているか。
2.経営陣はサイバー脅威もしくはセキュリ
ティ違反を受けうる資産を識別するリス
ク・アセスメントを行っているか。更に、
潜在的な(財務的なおよび非財務的な)影
響は評価されているか。
3.第1と第2ディフェンスラインは、新し
いリスクまたはエマージング・リスク、共
通の弱点および、サイバーセキュリティに
関連するサイバーセキュリティ違反を常に
知っているようにするために、業界の他社
と連携しているか(例えば、会議、ネット
ワーク作りの意見交換会、Web上での情報
発信など)。
4.サイバーセキュリティ方針と手続きが定
められ、従業員とコントラクターはサイバ
ーセキュリティの意識づけ研修を定期的に
受けているか。
5.ITプロセスはサイバー脅威を発見する
ように設計され運用されているか?経営陣
は十分なモニタリング・コントロールを適
切に行っているか。
6.フィードバック・メカニズムは、経営陣
と取締役会に組織体のサイバーセキュリテ
ィ・プログラムの現状がわかるように運用
されているか。
7.経営陣は、サイバー攻撃もしくは脅威が
37月刊監査研究 2017.4(No.521)
研究会報告
起きた際の有効なホットラインないし非常
時手続きを有しているか。これらは従業員、
コントラクター、およびサービス・プロバ
イダーに伝えられているか。
8.内部監査部門はサイバー脅威を減らすた
めのプロセスとコントロールを評価する能
力があるか。または、内部監査部門長はサ
イバーセキュリティの専門性を有する追加
リソースを考慮する必要があるか。
9.組織体は、外部にデータを保管する者(例
えば、ITプロバイダー、クラウド・スト
レージ・プロバイダー、ペイメント・プロ
セッサー)を含む、第三者サービス・プロ
バイダーのリストをメンテナンスしている
か。独立したサイバーセキュリティ検証業
務が、サイバーセキュリティ・リスクマネ
ジメント・プログラムの一部として、サー
ビス組織体のコントロールの有効性を評価
するために行われているか。
10.内部監査は組織体が直面する一般的なサ
イバー脅威(例えば、国家、サイバー犯罪、
ハクティビスト、ネットワーク化されたシ
ステム、クラウド・プロバイダー、サプラ
イヤー、ソーシャル・メディア・システム、
マルウェア)を適切に識別し、それらを内
部監査のリスク評価と監査計画策定プロセ
スに織り込んでいるか。
これらの10の質問は、(経営)トップだけで
はなく組織体全体を通した、強力なガバナン
スが必要であることを強調する。答えが組織
を横断して一貫して好ましいときには 良好
なガバナンスが行われている可能性が高い。
質問を用いて、内部監査部門長はサイバー
セキュリティに関連したレッドフラッグ(赤
信号)の識別を始めることができる。内部監
査部門長は、第2のディフェンスラインが戦
略的に活動しているかどうか、そして、第1
のディフェンスラインがリスクを識別し、反
応し、直ちに修正する行動をとる態勢にある
かどうかを評価するかもしれない。すべてを
包含する方策はガバナンス構造である。表5
は潜在的なガバナンス・ギャップの前兆とな
るレッドフラッグ(赤信号)のリストである。
これらの初期段階の質問から予備的な対処
法を読み解き、訓練されたリスクベース・ア
プローチに基づき、脅威にさらされている分
野を識別するプロセスを開始するのは、内部
監査部門長の役割である。内部監査部門長の
専門的な判断は、サイバーセキュリティに対
する複数の脅威の相互関係を完全に理解する
ために、大きな役割を果たすだろう。
経営陣のガバナンス構造は、レッドフラッ
グ(赤信号)を知覚する方法に影響を与える
可能性があることに注意することが重要であ
る。そのため、内部監査部門長の専門的判断
とリスクベースの監査アプローチが、こうし
たレッドフラッグ(赤信号)との効果的なコ
ミュニケーションを容易にし、それによって
経営陣が脅威を軽減するコントロールを持っ
ているかどうかを評価することを可能にす
る。
ガバナンスが弱いことの兆候となる一般的
なレッドフラッグ(赤信号):サイバーセキ
ュリティ・プログラムの戦略およびサイバー
セキュリティに関連する取組みの欠如または
複数年の遅れ。セキュリティ部門の大幅な予
算削減も注目に値する。もし情報セキュリテ
ィ部門が、必要なサイバー・コントロールに
ついて経営陣のアカウンタビリティを高める
ことに受け身、気が進まない、または出来な
い場合、経営陣に認識を高めてもらい、同部
門を支援してもらう必要があるかもしれない。
・雑多でバラバラなガバナンス構造・不完全な戦略・サイバーセキュリティへの取り組みの遅れ・予算カットや縮小・ アカウンタビリティを果たすためのあいま
いな決議
<表5>�潜在的なガバナンス・ギャップの前兆となるレッドフラッグ(赤信号)
38 月刊監査研究 2017.4(No.521)
研究会報告
内部監査の範囲と協力機能サイバーセキュリティ・リスクの範囲を決
めることは、内部監査部門が第2のディフェ
ンスラインであるコンプライアンス部門と連
携して計画することを要する、相互依存的な
活動である。監査の計画は、業務の影響を優
先順位付ける洞察力を有し、監査期間中また
は監査後も協調が可能なコンプライアンス部
門と統合的に行うと最も効果的である。
内部監査部門長は、内部監査計画で何がカ
バーされるか、とともに現時点で保証が提供
されない範囲を明確に定めるべきである。I
IA基準2050との整合性:連携、サイバーセ
キュリティ・リスクの適切な範囲は、第1と
第2のディフェンスラインとの協力機能を必
要とし、内部監査活動が組織にとって最も重
要な情報を明らかにさせる。最も重要な情報
を優先すれば、内部監査活動が(企業全体の
データ管理者を含む)関連するデータ所有者
と協働し、サービス提供プロセスを評価して、
誰が重要性に応じたデータへのアクセスを許
可されているかを判断すべきである。
内部監査活動は、その後、運用管理者と協
働して、重要な情報(例えば従業員データ、
個人が識別可能な情報、顧客のクレジットカ
ード番号、ベンダーの購入履歴)を閲覧可能
にするアクセス経路に関するシステムおよび
技術を識別すべきである。
運用管理者と協働することは、サイバーセ
キュリティの脆弱性に関連する要素が継続的
に監視されているか確認することにも役立つ。
内部監査は、重要な情報へのアクセス権を誰
が有しているか、それらのアクセス経路に関
連する技術の評価に応じて、サイバーセキュ
リティ監査範囲の調整を考慮すべきである。
以下の質問が重要な情報を特定するプロセ
スを促進する。
・どのような情報が重要と判断されている
か、またその理由
・何がデータの価値か(不正行為者、競合
相手など)。
・情報はどこでアクセス、処理、保管され
るか。
・情報はどのように送信されるか。
・アクセス権を付与および取消した後の厳
格さの程度はどうか。
・アクセス・レベルは役割に応じて決定さ
れ、どの役割が管理者アクセスを有して
いるか。
・アクセスはどのように割り当て、承認、
監視、削除されるか。
・不正アクセスへの情報がどの程度保護さ
れているか。
・どのような種類のテストが実施されてい
るか(侵入、立ち入り、変更履歴など)。
・重要情報へ職能上アクセス権限がある人
に対しサイバーセキュリティ・リスクを
どのように監視しているか。
既に事業継続または災害復旧の計画で文書
化していない場合、経営陣はビジネス・イン
パクト分析を行い、重要なシステム、データ
およびリソースの集合全体を分類、優先順位
付けおよび文書化することを考慮すべきであ
る。内部監査部門長は、内部監査計画が重要
な情報を含むシステムを十分にカバーしてい
るかどうかを判断するため、ビジネス・イン
パクト分析の結果を利用できる。内部監査部
門長は、その後取締役会に対し、現時点でア
シュアランスを提供しているまたはしていな
い範囲並びにアシュアランスを提供する範囲
の計画を明らかにすることができる。
サイバーセキュリティ・リスクおよびコントロールの評価アプローチ
以下に示した6つの相互に依存する要素
が、経営陣のサイバーセキュリティ・コント
ロールとガバナンスの設計および運用の有効
性を評価するために使用することができる。
39月刊監査研究 2017.4(No.521)
研究会報告
この要素の一部にでも欠陥があるとサイバ
ーセキュリティの全体の有効性に影響を与え
るので、各要素がどのように設計され相互に
運用されているかを評価することが、CAE
に組織がサイバーセキュリティ・リスクに対
処する方法を十分に用意しているかの判断材
料を与える。要素が全体として適切に設計ま
たは運用されていない場合には、その組織は
サイバー脅威およびエマージング・リスクに
対処する準備が十分できていない。
サイバーセキュリティ・リスクアセスメント・フレームワーク
Component1:�サイバーセキュリティ・ガバナンス
内部監査活動は、組織のサイバーセキュリ
ティ・ガバナンスを理解しなければならな
い。IIA基準2100:「業務の内容」は、ガ
バナンス、リスク・マネジメントおよびコン
トロールの各プロセスを評価し、各々の改善
に貢献することを求めている。ガバナンスは
役割と責任の明確化、説明責任の確立、複数
年の戦略適用、複数の利害関係者との戦略的
連携を含むアクション・プランの優先順位付
けを含んでいる。
強固なサイバーセキュリティ・ガバナンス
は以下に依存する。
・サイバーセキュリティのリスク検知力と
組織に影響を与える可能性のある脅威に
対する専門力の協力と収集
・リスク選好度と許容範囲の設定
・突発事態発生時の事業継続と災害復旧計
画
・セキュリティ侵害に対する迅速な応対
・サイバーセキュリティのリスクと脅威を
理解する文化の確立
効果的なガバナンスは、明確に定義された
ポリシー、関連ツール、十分な人員配置、お
よび洞察力のトレーニングで証明される。
多様な視点を持つ複数の利害関係者は、ガ
バナンスの質を強化する。サイバーセキュリ
ティのガバナンス委員会は、通常、経営陣、
第1、第2および第3のディフェンスライン
の代表者、技術およびプロセスの責任者、並
びにサプライヤー、顧客、サービス・プロバ
イダー、同業者のように潜在的に重要な外部
の利害関係者を含む。
インシデント対応チームは、経営陣と取締
役会に対して侵害のタイプを定期的に報告
し、それまで未知のギャップに追加の洞察を
提供する。経営陣はその後、認識された課題
の改善状況を追跡できる。
Component2:情報資産の棚卸IT部門は、すべての情報資産の現在在庫
を維持し、組織の目標達成と持続的な運営に
不可欠な資産を優先順位付けるべきである。
戦略的な組織の目標と取組みを合致させるた
めには、これらの資産は従来のIT全般統制
と定期的な評価以上の対応を要する。最も重
要な資産を保護するために設計された予防的
および発見的コントロールは継続的に監視さ
れ、その有効性を確認する必要がある。
組織の情報資産を評価する場合、以下のこ
とを考慮する必要がある。● データ
・タイプ(例えば、トランザクショナル、
IT環境設定、非構造化)
・分類(標準化と優先順位付けが可能)
・環境(例えばデータウェアハウス、キ
ーデータベース)● テクノロジー資産のインフラストラクチ
ャー・リポジトリー
5)迅速な対応と改善
4)情報へのアクセスの管理
3)標準的なセキュリティの設定
2)情報資産の棚卸 :データ、インフラストラクチャー、アプリケーション
1)サイバーセキュリティ・ガバナンス
6)継続的 モニタリング
40 月刊監査研究 2017.4(No.521)
研究会報告
・サーバー
・ネットワーク機器
・ストレージ
・エンドユーザー機器(例:ラップトッ
プ、モバイル機器)● アプリケーション● 外部との関連性
・第3者のホスト環境
・外部機関とのデータファイルの共有
(例:ベンダー、規制機関、政府)
ネットワーク上で相互に作用しているソフ
トウェアや機器を認識する能力は、サイバー
の脅威から防御するための基本となる。組織
においては、認識されていない機器やソフト
ウェアをネットワーク攻撃から守ることは不
可能である。社員による会社への機器持ち込
みを認めてしまうことは、機器やソフトウェ
アを通じて、社内のネットワークに大量かつ
多種のアクセスが発生することになる。社員
が保有する機器およびそのネットワークへの
接続をコントロールすることは、管理すべき
重要な事項である。社員はますます、絶え間
なく社内情報へアクセスできることが必要と
なってきている。認識されていない機器を検
知・認証し、目録を作ることにより、組織は
それらの機器に関する変更を追跡・監視・評
価することができ、それによりサイバーセキ
ュリティ戦略が全体として有効であることを
確保できる。
Component3:�標準的なセキュリティの設定
集約化・自動化する管理ソフトにより、機
器やオペレーティング・システム、アプリケ
ーション・ソフトの基本体系を構築・維持す
る態勢がとられている。管理ソフトを活用す
ることにより、手動や標準化されていない方
法よりも、効率化が図られる。リスクベース
の正確な環境評価がなされていることを確実
にするため、情報セキュリティや内部監査活
動を通じて基本体系をレビューすべきである
(例:外部に接続しているウェブ環境には追
加対策が必要かもしれない)。必要なパッチ
を当てると共に、ソフトウェアおよびハード
ウェアを更新することが、業界内で新たな脅
威が発生する中で安全な態勢を維持するため
に必要とされる。
Component4:情報へのアクセスの管理経営陣は、たとえば業務内容に応じたユー
ザーアクセスの承認・付与プロセスを持つこ
とのような、予防的コントロールを実施する
ことを考慮すべきである。また、社員が組織
内で人事異動したことを検知するプロセス
は、新たな業務に適ったユーザーアクセスが
付与されていることを確実にするために役立
つ。現在の業務内容に相応しいアクセスレベ
ルが付与されていることを検証するために、
内部監査活動を通じて重要なデータおよびシ
ステムへのユーザーアクセスをレビューする
とよい。
特権管理アクセスは、特に重要である。情
報にアクセスおよび公開する権限を持つユー
ザーは、サイバーセキュリティのリスクに最
も晒されやすい。不注意によるパスワードの
開示やフィッシングによるマルウェアのロー
ディングによって、ユーザーは、無権限のア
クセスを防ぐために設計された何層ものシス
テム上のコントロールをかいくぐるかもしれ
ない。アクセス可能な者は組織の内部にも外
部にもいるため、 データが組織の内部に保
有されるか外部に保有されるかにかかわら
ず、重要なデータにアクセスできる社員、コ
ンサルタント、ベンダーに対して、注意が払
われるべきである。アクセス権限の付与や削
除をする際の予防的コントロール活動を検証
すること、並びに特権的なアクセス権限を持
つユーザーの感受性や行動について評価する
ことは、組織におけるサーバーセキュリティ
対策を有効なものにする主要な手段である。
Component5:迅速な対応と改善速やかにリスクを伝達し低減する組織の能
41月刊監査研究 2017.4(No.521)
研究会報告
力は、対応手順の有効性と成熟度の水準を表
わす。成熟度の高い対応手順は、経営陣の対
応に要する時間の短縮につながる。第2のデ
ィフェンスラインの役割として、以下のよう
なものがある。● 問題とされるリスクの伝達● 低減策の策定● 解決に向けた課題の追跡● 組織横断的な解決策の動向と報告
Component6:継続的モニタリング本枠組みの最後の要素として、前述の5つ
の項目を継続的に監査することは、どのよう
にリスクがコントロールされ、どのように是
正措置が実施されたかを判断するのに役立
つ。効果的な評価のためには、ルーティンや
チェックリストに基づく調査以上のものが求
められる。第2のディフェンスラインは、以
下に示した行動の変化を引き出すための戦略
をモニタリングすることを期待される。
● 関連するサイバーセキュリティリスクを
計測するために、機密情報にアクセスす
る人々の監視も含むアクセスレベルの評
価および精査。重要なプロセスを担う一
部のユーザーにとって、該当するIT資
産、セキュリティ設定、問題のあるウェ
ブサイト、マルウェア事例およびデータ
移転に関する脆弱性を検出する体系的な
方法を開発することが有効である。
● 脆弱性の評価:定期的にシステムをスキ
ャンすることは、環境内の脆弱性を特定
するために重要である。脆弱性が特定さ
れ、分類(例:最重要、重要、中程度)
され、対処(例:ハイリスクシステムの
すべての最重要な脆弱性には30日以内に
対処する)された後、特定された脆弱性
に対する改善活動が実施されるべきであ
る。
● 外部に接続したシステムは、しばしば組
織を最も高いリスクに晒すものであり、
優先的な対応が必要である。しかしなが
ら、改善活動は、外部に接続したシステ
ムにのみ限定しないことがベストであ
る。第1と第2のディフェンスラインは、
サービス・レベル・アグリーメント(S
LAs)の内容を取り決め、合意するた
めに組織横断的に対応すべきである。そ
して、内部監査は、経営陣が取り決めら
れたSLAsを遵守しているかについ
て、評価すべきである。
● 第三者のリスク評価とモニタリング:対
応手順は、第三者であるベンダーのリス
クや提供されるサービスに基づき組織が
晒されるセキュリティリスクの水準を評
価することを支援する。例えば、ベンダ
ーが組織にとって重要なデータを保有す
る場合には、経営陣は次のような監視プ
ログラムの導入を検討すべきである。
・SLAsの能動的なモニタリング
・情報セキュリティの設定の見直し
・独立したサイバーセキュリティ検査契
約の結果
・サービスを提供する組織のコントロー
ル(SOC)報告書
・脆弱性評価とペネトレーション(侵
入)・テスト
・ベンダー管理に関する上位者への報告
手続き
・主要なセキュリティコントロールを検
査するために行われるベースライン評
価
・技術的アーキテクチャーや組織データ
の保護に関する既存のコントロールを
分析する継続的な評価
・組織のネットワークやシステムにアク
セスする第三者リソースを監視するこ
とにより、それらのリソースが不適切
な行為をしたり組織を不必要なリスク
に晒したりしていないことの確保
● ペネトレーション・テスト:第2のディ
フェンスラインは、技術的な予防的コン
42 月刊監査研究 2017.4(No.521)
研究会報告
トロールおよび攻撃に対する経営陣の防
御や対応の能力を評価するために、既知
の脆弱性に対するペネトレーション・テ
ストを実施するとよい。ペネトレーショ
ン・テストは、実際のサイバー攻撃に対
応する組織の能力と準備度合いについて
信頼性・客観性のある評価を行うため、
抜き打ちで実施することも含めるべきで
ある。しかしながら、テストの範囲は、
業務を中断させないよう合理的であるべ
きであり、予め関係する管理職に許可を
得るべきである。例えば、悪意のあるネ
ットワークの中断を想定したDos攻撃シ
ナリオを実施する場合、通常の業務を中
断しないよう管理職と調整する必要があ
る。
● マルウェア:機器やソフトウェアが顧客
に出荷された後に脆弱性が発見されるこ
とがあることから、定期的に機器や製品
を精査し、脆弱性を特定し、優先順位に
従い改善するプロセスを考慮すべきであ
る(例:最初に改善すべき重要な資産)。
あるシステムの改善が図られ、所定の閾
値以下にリスクが低減したら、モニタリ
ング、報告を行うことでよく、それ以上
の対応は不要である。
● インシデントのモニタリングと対応:検
知、対応、改善、復旧および侵害発生時
の管理職への報告というプロセスの組み
合わせが組織として求められる。ロギン
グおよびモニタリングの技術並びに高度
な対応訓練を受けたチームが、それらの
コントロールが目標を達成することを確
実にするために不可欠である。
新興産業のサイバーセキュリティ・リスク
並びに組織または同業の組織により経験され
た事例を踏まえ、実施中のモニタリング戦略
を、時間をかけて調整する必要がある。
付録Dは、この枠組みの構成要素やマネジ
メント活動を示しており、そこには内部監査
部門が継続的な監査およびアシュアランスを
提供する際に考慮したいと思うかもしれない
事項を含む。
取締役会やその他ガバナンス組織に対してアシュアランスの報告をする上での内部監査部門長の役割
リスクの中身が変化し、クラウドサービス
やモバイル機器、ソーシャルメディアの利用
が増加するため、サイバー脅威も増加してい
る。内部監査部門長は、定期的に経営陣およ
び取締役会と組織のリスク・アペタイトにつ
いて協議を行うべきである。また、内部監査
部門長は、定期的にリスク・マネジメントの
リーダーまたは委員会と面談し、サイバーセ
キュリティ・リスクと脅威の優先順位付けを
行い、最重要なリスクに資源が割り当てられ
ることを確保すべきである。従って、経営陣
は、組織にとって最も重要な情報システムや
データ資産に関する戦略を立て、内部監査部
門長はそれを経営陣び取締役会と共に検証す
ることが不可欠である。
取締役会および経営陣は、サイバーセキュ
リティに係るリスクおよび脅威を管理および
軽減するために第1および第2のディフェン
スラインによって実施された活動の全体的な
有効性を含め、リスク・マネジメントおよび
コントロールに関するアシュアランスを、内
部監査部門長に期待する。取締役会は、組織
にとって最も重要な情報システムやデータ資
産を理解する必要があると共に、サイバーリ
スクを防止、検知し、許容可能なレベルに低
減するためのコントロールが実施されている
ことについて、CIO、CISO、CSO、
CTOおよび内部監査部門長からアシュアラ
ンスを得る必要がある。
内部監査部門長は、サイバー脅威のうち一
般的なものおよび業界特有のもの並びに組織
43月刊監査研究 2017.4(No.521)
研究会報告
に影響を及ぼすサイバーセキュリティ関連の
インシデントについて、取締役会メンバーに
十分に知らしめるべきである。取締役会およ
び経営陣は、サイバー脅威の概要について理
解するための意識付けトレーニングや教育に
参加することが有意義かもしれない。継続的
な取り組みを通じて意識を高めることによ
り、取締役会は、組織にとっての生命線であ
るシステムやデータを守り監視するために、
適切なガバナンス体制が設置されていること
を検証するのに必要な知識を備え、よりよい
立ち位置をとることができるかもしれない。
技術的サイバーセキュリティに関連する話題
が意味のある情報になることにより、取締役
会が監督責任を果たし、サイバーの全体像や
関連リスクを長期間にわたって監視すること
ができるようになる。
3つのディフェンスラインと取締役会との
効果的なコミュニケーションは不可欠であ
る。定期的なコミュニケーションを作り上げ
ることにより、取締役会に関連情報が提供さ
れ、内部統制を監督する役割を効果的に果た
すことを確実にする。取締役会は内部監査部
門長に対して、経営陣が、重大な侵害が生じ
た際には取締役会、当局、顧客、公衆に報告
する戦略および計画を持っていることについ
て、アシュアランスを提供することを期待す
る。上位者への報告の手順は、異常事態が発
生した場合にタイムリーかつ適切な通知がで
きるよう、取締役会によって確立されレビュ
ーされなければならない。
戦略とコミュニケーション計画は、妨害的
なサイバーセキュリティ上の侵害発生時にお
ける、役割と責任を明確にしたうえで文書化
しておかなければならない。その計画は、テ
ストされる必要があり、配信のため準備され
ているコミュニケーションレター/プレスリ
リースの草案は、事前に法務部門によりレビ
ューされる必要がある。包括的で入念に準備
された対応および低減施策の戦略は、組織へ
の影響を最小化し、異常事態発生時における、
顧客やその他の利害関係者の信頼・信用を維
持するのに役立つ。
付録A.主要なIIA基準
「内部監査の専門職的実施の国際基準」の
次の抽出箇所は、サイバーセキュリティに関
連するものである。
基準1210−熟達した専門的能力内部監査人は自らの責任を果たすために必
要な「知識・技能・その他の能力」を備えて
いなければならない。さらに内部監査部門は
部門の責任を果たすために必要な「知識・技
能・その他の能力」を、部門総体として備え
ているかまたは備えるようにしなければなら
ない。
1210.A3−内部監査人は与えられた業務を遂
行するために、重要な情報技術(IT)のリ
スクおよびコントロール手段の十分な知識
と、活用可能なテクノロジー・ベースの監査
技法を身につけていなければならない。しか
しながら、すべての内部監査人が情報技術(I
T)の監査業務に第一義的な責任を負う者と
同等の専門知識を持つことは期待されていな
い。
基準2050−調整(Coordination)内部監査部門長は、適切な内部監査の業務
範囲を確保し、業務の重複を最小限にするた
めに、内部監査部門以外のアシュアランス業
務やコンサルティング・サービスを行う組織
体内部および外部の者と、情報を共有し活動
の調整をすべきである。
基準2110−ガバナンス�内部監査部門は、次に掲げる目標を達成す
るためのガバナンス・プロセスを評価し、そ
の改善のための適切な提言をしなければなら
ない。ガバナンス・プロセスの目標は次のと
おり。
・ 組織体において、適切な倫理観と価値観を
44 月刊監査研究 2017.4(No.521)
研究会報告
高める。
・組織体の業務遂行に有効なマネジメントと
アカウンタビリティを確保する。
・リスクとコントロールに関する情報を、組
織体の適切な部署に伝達する。
・取締役会、外部監査人、内部監査人および
最高経営者(management)間の活動をコー
ディネートし、それらの間の情報を伝達す
る。
2110.A2−内部監査部門は、組織体の情報技
術(IT)ガバナンスが、組織体の戦略や目
標を支えているかどうかを評価しなければな
らない。
基準2120−リスク・マネジメント�内部監査部門はリスク・マネジメント・プ
ロセスの有効性を評価し、リスク・マネジメ
ント・プロセスの改善に貢献しなければなら
ない。
付録B.関連するIIAのガイ ダンス**
Practice�Guide, “Business Continuity Man-
agement – Crisis Management”
Practice�Guide, “Auditing Privacy Risks,
2nd Edition”
GTAG, “Change and Patch Management Con-
trols: Critical for Organizational Success,
2nd Edition”
GTAG, “Management of IT Auditing, 2nd
Edition”
GTAG, “Information Technology Outsourcing,
2nd Edition”
GTAG, “Identity and Access Management”
GTAG, “Developing the IT Audit Plan”
GTAG, “Information Security Governance”
GTAG, “Auditing IT Governance”
Position�Paper, “The Three Lines of Defense
in Effective Risk Management and Control”
付録C.主要な概念の定義
サイバーセキュリティ:インターネット情報
システムにより処理、保存、送信された情報
への脅威に対処することによって情報資産を
保護すること(注4)。
サイバー脅威:データ通信経路を用いてコン
トロール・システム装置やネットワークに不
正アクセスを図る人。これは、組織の内部か
らの信頼できるユーザーによるアクセスであ
ったり、遠隔地からの見ず知らずの人からの
インターネットを使ったアクセスであったり
する。コントロール・システムへの脅威は数
多くの場所からやって来る可能性があり、そ
れは、敵対的な外国の政府、テロリストグル
ープ、不満分子の職員、悪意の侵入者などを
含む(注5)。
ハクティビスト:孤立しているが損害を与え
る攻撃を実行することにより、中くらいのレ
ベルの脅威を与える姿勢をとる少人数の政治
的活動を行うハッカー集団。ほとんどの国際
的なハクティビストグループは、重要インフ
ラに損害を与えることよりも、むしろ宣伝に
重きを置いているようである。彼らの目標は
政治的アジェンダをサポートすることにあ
る。彼らの準目標は宣伝であり、自分たちの
(注4)ISACA, “ISACA Glossary of Terms,” 29. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (accessed June 20, 2016). All rights reserved. Used by permission.
(注5)Department of Homeland Security, Industrial Control Systems Cyber Emergency Response Team, “Cyber Threat Source Descriptions.” https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions (accessed June 20, 2016).
**(編集注)IIAのガイダンスの翻訳につきましては、日本内部監査協会ホームページ「会員サイト」をご参照く
ださい。翻訳が出来しだい掲載する予定になっております。
45月刊監査研究 2017.4(No.521)
研究会報告
大義のための悪名を獲得するために損害を生
じさせることである(注6)。
情報セキュリティ:組織体内において、情報
が承認されていないユーザーへの開示(秘匿
性)、改ざん(健全性)、要請時のアクセス遮
断から保護されること(可用性)を確実にす
ること(注7)。
マルウェア:所有者の同意なしで、コンピュ
ーター・システム内の情報に対して、侵入し、
損害を与え、取得するように設計された悪意
のあるソフトウェア(注8)。
パッチ:ソフトウェアのプログラミングエラ
ーと脆弱性に対する修復処置(注9)。
フィッシング:これは電子メール(email)に
よる攻撃の一種であり、利用者にメール送信
者が本物であると信じ込ませようとする試み
であり、ソーシャル・エンジニアリングを活
用した情報取得の意図を持ったものである
(注10)。
セキュリティ態勢:組織体の防御を管理し、
状況変化に対応するための、内部監査の資
源(例:人員、ハードウェア、ソフトウェア、
規定)および能力に基づく、組織体のネット
ワーク、情報、システムに関するセキュリテ
ィの程度(注11)。
付録D.サイバーセキュリティ ・リスクに対する内部 監査の考慮事項
このガイドで述べる諸活動で整理した以下
の要素はサイバーセキュリティ・リスクに関
して相互に機能する。またその内容は、オペ
レーション上の有効性を監視する上での考慮
事項を含む。
Component1:�サイバーセキュリティ・ガバナンス
・説明力のあるステークホルダーを伴う明確
で戦略的な目的および定義された役割と責
任
・適切な権限と客観性を担保するレポーティ
ングライン
・セキュリティツールを展開させ、ポリシー
を実施する専門的技術
・実務の要素は以下を含む。
・リスク・アペタイトの定義と情報交換
・サイバーセキュリティ・ポリシーの設置
・一貫した理論的解釈と手法に基づくリス
ク・アセスメントとモニタリングの実施
・組織体が変わる必要があるとき、維持す
るためのセキュリティ監視戦略を展開さ
せるための訓練と人員配置
・特別なモノやサービスを生産ないし提供
している第三者との独立したサイバーセ
キュリティ検査契約の必要性
・継続的なコミュニケーション、メトリック
ス、報告、行動追跡
・インシデントの管理
・サイバーシナリオに関連したビジネス継続
計画
・経営陣および取締役会の目に見える関与
Component2:情報資産の棚卸・データの棚卸:管理職が重要で機微なデー
(注6)Ibid. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions#hack (accessed June 20, 2016).
(注7)ISACA, “ISACA Glossary of Terms,” 49. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (accessed June 20, 2016). All rights reserved. Used by permission.
(注8)Ibid., 59. (注9)Ibid., 69. (注10)Ibid., 70. (注11)Richard Kissel, Editor, “Glossary of Key Information Security Terms, NSISTIR 7298, Revision 2,”
179. 2013. http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf (accessed July 5, 2016).
46 月刊監査研究 2017.4(No.521)
研究会報告
タの種類と場所を認識・特定する。これは
組織体の内部・外部を問わない。
・承認または非承認の機器の棚卸:承認され
たハードウェア機器がネットワークにアク
セス(棚卸、追跡、修正)し、発見された
非承認の機器を除去する。
・組織のネットワーク上の非承認機器の数
およびネットワークから非承認機器を除
去するのに要する平均時間を監視する
・組織体のネットワーク上のシステムのう
ち、組織体のネットワークへアクセスす
る際にユーザー認証を行わないものの割
合を追跡する
・ネットワーク機器、サーバー、並びにエ
ンドユーザー機器の更新版のリストの維
持
・承認および非承認のソフトウェアの棚卸:
承認されたソフトウェアだけがネットワー
ク上にインストール/実行され(棚卸、追跡、
修正)また非承認のソフトウェアがインス
トールされるのを阻止していることを確実
にする。もし、非承認のソフトウェアが発
見されたら、速やかに除去されるべきであ
る。
・ネットワーク上の非承認のソフトウェ
ア・インスタンスの数とネットワークか
ら除去される非承認のソフトウェアの平
均時間の記録
・ホワイトリスト/ブラックリスト化した
ソフトウェアが稼働していない組織体の
システムの割合
・組織体のホワイトリスト/ブラックリス
ト化したソフトウェアによって阻止され
たソフトウェア・アプリケーションの数
・堅牢なシステムの割合
Component3:標準的なセキュリティの設定
・モバイル機器、ラップトップ、ワークステ
ーション、並びにサーバーに関するハード
ウェアおよびソフトウェアに対する安全な
設定:セキュリティの設定を、確立し、導
入し、機動的に管理する(追跡、報告、修正)
・承認された仕様基準に比して、仕様と異
なる組織体のシステムの割合
・技術設定管理アプリケーションにより実
施されていないセキュリティ設定のある
組織体のシステムの割合
・直近で利用される可能性のあるオペレー
ティング・システム・ソフトウェア・セ
キュリティ・パッチで、更新されていな
い組織体のシステムの割合
・直近で利用可能なビジネス・ソフトウェ
ア・アプリケーション・セキュリティ・
パッチにより更新されていない組織体の
システムの割合
・ファイアウォール、ルーター、スイッチ等
のネットワーク機器に対するセキュリティ
設定:セキュリティの設定を、確立し、導
入し、機動的に管理する(追跡、報告、修正)
・ネットワークシステムに対する設定変更
の量と頻度
・承認されない設定変更について担当アド
ミニストレーターに警告するまでの平均
時間とネットワークに対する防御/遮断
までの平均時間
Component4:情報へのアクセスの管理・管理上の特権の使用についてのコントロー
ル:コンピューター、ネットワーク、アプ
リケーションに係る使用状況、割当、管理
上の特権の仕様を監視する
・アカウントのモニタリングとコントロール:
システムの使用サイクルとアプリケーショ
ンのアカウント(作成、使用、休止、削除)
を管理する
・知る必要があるベースでのコントロールさ
れたアクセス:極めて重要な資産(例:情
報、リソース、システム)に対する安全な
アクセスを、追跡、コントロール、防御、
修正する
・ユーザーの数:ユーザーのアクセス過程に
ついては、内部と外部のユーザーを含む、
47月刊監査研究 2017.4(No.521)
研究会報告
重要データにアクセスすることのできるす
べてのユーザーを考慮しなければならな
い。ほとんどの組織体は、内部や外部から
データにアクセスする従業員、コンサルタ
ント、ベンダーを有する。ファイル送信が
送られる先の第三者を含める。
Component5:迅速な対応と改善・改善提案を出し迅速な行動を取ることから
完了するまでの、サイバーセキュリティ・
プログラムの継続的な改善
・脆弱性を評価し、脅威情報を分析し、ギャ
ップを特定する
・パフォーマンスを測定し、業界のベンチマ
ークと類似の企業を比較する
・支援プログラムに必要な特定の知識、技能、
遂行能力を認識する
・以下のリストは、基準の例である。
・場所/部署/職員に基づく、確固たる対
応策の数と割合
・場所/部署/職員に基づく、IT脆弱性
の数と例外規定
・場所と部署に基づく、プラットフォーム
のコンプライアンス評点
Component6:継続的モニタリング・マルウェア防御:インストール、拡散、並
びに悪意のあるコードの実行をコントロー
ルし、迅速に防御を更新し、データを収集
し、修復行為を行う
・ネットワークポート、プロトコル、サービ
スの制限およびコントロール:ネットワー
ク機器のポート、プロトコル、サービスに
係るオペレーション上の使用を追跡、コン
トロール、並びに修正
・アプリケーション・ソフトウェア・セキュ
リティ:自社開発および取得したソフトウ
ェアのセキュリティ上の弱点の防御、摘発、
修正
・無線アクセスのコントロール:無線LA
N、アクセスポイント、無線クライアント
システムの使用の追跡、コントロール、修
正
・バウンダリー・ディフェンス:異なる信頼
レベルの情報伝送ネットワークのフローの
摘発、防御、修正
・ペネトレーション・テスト、フィッシン
グ・テスト、レッドチーム訓練:組織体の
防御の全体的強度のテスト(テクノロジー、
プロセス、人)
・メンテナンス、モニタリング、変化事象の
分析:検知、理解ないしは攻撃からの回復
に役立つ変化事象やインシデントの収集、
管理、分析。侵入検知システム(IDS)
および特権ユーザーの活動ログの分析を含
む。
・データ防御/データ損失防止:データ漏え
いの影響を防止/最小化し、プライバシー/
インテグリティを確保する。適切な場合に
は補助のためのツールを使用。
著者/貢献者
Bradley C. Ames, CRMA, CISA
Forrest R. Foster, CISA
Caroline Glynn, CIA, CISA
Mike Lynn, CRMA
Dean Nakama
Tim Penrose, CIA, CISA
Sajay Rai, CISM
(メンバーの氏名は、2017年1月現在)
<�CIAフォーラム研究会No.e9(CIAフォーラムFSFR)メンバー>
(順不同・敬称略)
(座長) 高島康裕
(メンバー) 植田洋行 大島 誠
北目 学 平岡正和
宮城義文 四津 純
