サイバーセキュリティにおいて、現在は「圧倒的に攻撃者有利」の時代だ。繰り返されるサイバー攻撃への対応が企業の命運を左右する現在、企業が考えるべきセキュリティ対策について、EYアドバイザリー・アンド・コンサルティング シニアマネージャーの森島直人氏に話を聞いた。今回は3回目だ(1回)(2回)。
「権限最小の原則」をきっちり守れば、被害を最小限に抑えられる
ーーこれまで、CISOの立場と役割について解説いただきました。また、リスクがなくなる方向に業務を見直すという話がありました。業務といった観点では、内部統制について、情報システム部門と他の部門との連携が話題に上ります。セキュリティを強化する観点ではいかがでしょうか?
EYアドバイザリー・アンド・コンサルティング株式会社 シニアマネージャーである森島直人氏
内部統制は、セキュリティだけの話ではありません。事業が何を目的としているのかをもう一度整理し、そこからその目的達成のために、どのように業務フローを構築するのか、そのフローの中でどこを自動化していくのか、という話です。
「手作業だから」「システムだから」と言って切り離して議論していいものではなく、情報システム部門と他の部門がきっちり連携する必要があります。
内部統制とは、事業の目的を達成するために業務プロセスに組み込まれ、組織のすべての構成員が守らなければいけないルールのことです。
セキュリティインシデントが発生すると、事業の目的を達成できなくなってしまいますから、セキュリティもつまるところ、内部統制の要素のひとつにすぎません。
いわゆる日本版SOX(J-SOX)法では「自動化された業務処理統制」とか「手作業による内部統制」といった用語がありますが、セキュリティについても同じです。
どの部分を自動化するべきで、どの部分を手作業として残すのか。それらを合わせてリスクは許容可能な水準まで低減できているのか。
第1の防衛線が全体としてどのようにリスク対応しているのかといった観点で、他の内部統制と同様、セキュリティについても情報システム部門と業務部門は互いに連携することが必要でしょう。
3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成