サイバーセキュリティリスクについて

財務諸表監査業務を実施するに際して、サイバーセキュリティリスク(社内外からの未承認のアクセスに関連するリスク)については、”社内から”のリスクについては、検討して評価したものの、”社外”からのリスクについては、潜在的(感覚的?)には識別しつつも、顕在化していないために、財務諸表の作成に影響のある範囲でしか理解していなかったという方もいらっしゃるかもしれません。

今回は、昨今よく耳にするサイバーセキュリティリスクに対する監査への対応について記載しています。

監査基準委員会報告書315号より

監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」では、A162に、”ITの利用から生じるリスクは、サイバーセキュリティに関連して識別されることもある”という記述があり、積極的にサイバーセキュリティリスクを積極的に評価する必要があるのか?という疑問が生じますが、《付録5 ITを理解するための考慮事項》第19項(以下、引用を参照)を読む限り、積極的な評価までは不要な様です。
ただし、財務報告に必ず影響をおぼすと言えないものの、場合によっては財務報告に影響を及ぼすこともあるので、その場合にはサイバーセキュリティリスクに対する内部統制を識別・評価できるようにするために理解まではしておく必要がある という事のようです。

19.未承認のアクセスに関する監査人の考慮事項には、社内外からの未承認のアクセスに関連するリスク(サイバーセキュリティリスクと呼ばれることが多い。)を含む場合がある。
企業のIT環境には、業務上又は法令遵守上の必要性に対応するITアプリケーション及び関連データが含まれる場合があるため、そのようなリスクは必ずしも財務報告に影響を与えるとは限らない
通常、サイバー事故は、社外との接点から内部のネットワークの階層を通じて発生し、財務諸表の作成に影響を与えるITアプリケーション、データベース及びオペレーティング・システムからはかなり離れているという点を認識することが重要である。
したがって、監査人は、セキュリティ侵害に関する情報が特定された場合、通常、そのような侵害が財務報告に影響を及ぼす可能性がどの程度あるかを考慮する。
財務報告に影響が及ぶ可能性がある場合、監査人は財務諸表における潜在的な虚偽表示の影響若しくは範囲を判断するために、関連する内部統制を識別し評価するか、又は企業がそのようなセキュリティ侵害に関して適切な情報開示をしているかを判断することがある。

監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」《付録5 ITを理解するための考慮事項》

なお、《付録6 IT全般統制を理解するための考慮事項》内のIT全般統制の例のIT業務を管理するプロセスの中に、”侵入の検知 IT環境の脆弱性や侵入を監視する内部統制”という記述もあり、監査人としても、サイバーインシデント事例についても理解していくことが必要になってきています。

サイバー攻撃事例と監査上の考慮事項

そこで、主なサイバーインシデントとITの利用から生じるリスクについては、基準等を参考にして頂き、今回はNISC(内閣官房内閣サイバーセキュリティセンター)が公表しているサイバー攻撃事例集【サイバー攻撃を受けた組織における対応事例集(実事例における学びと気づきに関する調査研究)】を参考に監査上の考慮事項をまとめてみました。

ケースタイトル要因考察
1Weホスティングサービスの改ざんに関する調査研究パッチ未適用~要因~
顧客のアプリケーションへの影響を鑑みて、ホスティングサービス側でサーバOSの最新パッチ適用を行わなかった。
ホスティングサービス提供者側が、OSのパッチ適用を実施したくとも、サービス利用者側のアプリケーションへの影響から、すぐ対応できなかった(実施しなかった)。
サービス利用者側のサイバーセキュリティ対策への意識が低かった(クラウドだから安全といった誤解があった)。
~監査上の考慮事項~
ホスティングサービスを利用する際には、利用者も最新のパッチ適用を行うことを前提とした管理方針・情報伝達の仕組みの理解が重要。
2グローバルな企業グループでのランサムウェア感染に関する調査研究ランサムウェア~要因~
パッチ適用が出来ない・必要性がないと判断したOA機器やIoT機器及び汎用OSの公知の脆弱性に対する対策を後回しにしたことによるウィルス感染が生じた。
また、従来型のネットワーク境界防御による対策となっていた。
~監査上の考慮事項~
ネットワークセグメンテーションによる保護策の管理方針を確認する必要がある。
監査目的外の重要でないOA機器やIoT機器のパッチ適用については理解できていないと、リスク評価に際して誤ってしまう事が懸念される。IoT機器含めたITの利活用状況の理解が重要。
また、ウィルス感染した後の対策として、インシデント対応及びバックアップ方針(世代管理バックアップ)等についてサイバーセキュリティリスクを考慮した対応の有無も確認が必要。
3多数の国内拠点を有する企業のランサムウェア感染に関する調査研究ランサムウェア~要因~
定義型のウィルス対策ソフトは導入していたが、振る舞い検知型のウィルス対策ソフトは未導入であった。このため、未知のランサムウェアに対応できず、また既知の脆弱性に対するパッチ適用が徹底できていなかたことから、ウィルス感染が拡大した。
~監査上の考慮事項~
多数の国内拠点がある企業では、セキュリティ人材不足等からシステム管理部門の一部メンバーのみがグループ会社の隅々まで管理をすることが困難であり、全社的な対策・方針について理解し、必要に応じて、No.2の考察~監査上の考慮事項~に記載した点に留意する。
4サプライチェーンを介した標的型メール攻撃に関する調査研究脆弱なサプライチェーン~要因~
主要な取引先のセキュリティが脆弱であった。このため、マルウェアを送りつけられウィルス感染が発生。
~監査上の考慮事項~
ビジネスパートナーを含めたサプライチェーン全体の管理方針・方法について理解することが必要。サプライチェーン先の脆弱性をどのように管理(アセスメント方法(Ex.ヒアリングシートを利用)や管理方法)しているかについても、必要に応じて検討が必要。
5開発中のクラウドサービスへの不正アクセスに関する調査研究パスワード推測
(ディクショナリアタック)
~要因~
特定サービスでファイアウォールを不用意にオープンしたことで、外部からのディクショナリアタックを受けたことで、管理者アカウントが奪取された。また、他のサービスで管理者パスワードを使い回ししていたことで、その他の管理者アカウントも奪取された。
~監査上の考慮事項~
開発中のプロジェクトにおいても、そのセキュリティ上の脆弱性は運用中のプロジェクトに対しても影響を及ぼすことになるため、セキュリティ規定等の整備やリスクアセスメントについても留意が必要。
6グループ会社を経由した高度標的型攻撃に関する調査研究APT攻撃
(高度標的型攻撃)
~要因~
被害があった会社用にカスタマイズされたウィルスであったため、定義型のウィルス対策ソフトでは、検出できなかった。不正アクセスを受けたファイルサーバには本来保存しておくことは認めていない機密情報が格納されていたことから、情報漏洩につながった。
~監査上の考慮事項~
EDRやNDRといった不正検知ツールを導入している事のみを確認するのではなく、実効性ある運用・改良がおこなわれているかを確かめる。また、ログ解析の環境整備、脅威ハンティング等の対策を、IT依存度に応じて実施しているかについても留意が必要。
7学術研究機関のセキュリティ体制に関する調査研究ランサムウェアウェア
総当たり攻撃等
サイバーセキュリティインシデント事案ではないため、割愛
8利用中の外部サービスを介した組織内への不正アクセスに関する調査研究パスワード総当たり攻撃~要因~
利用クラウドシステムのセキュリティ対策が不十分であり、ブルートフォース攻撃によりIDとパスワードを奪取された。また、奪取されたIDとパスワードの使い回しにより、他のサービスに対する不正アクセスにつながった。さらに、委託先管理が十分でなく、セキュリティ監視が有効に機能せずに発見が遅延した。
~監査上の考慮事項~
クラウドシステムを利用する際には、委託先におけるサイバーセキュリティ管理についても会社がどのように管理しているのかを確かめる事が重要(Ex.委託先選定基準や定期的報告の内容にサイバーセキュリティに関する内容を含める)。
情報資産の重要性に応じた管理ができるように保護資産とその対策の関係を検討する等の対応を実施している事の確認も重要。
9インターネットを経由した社内システムへの不正アクセスに関する調査研究
(SBテクノロジー㈱)
パスワード推測
(ディクショナリアタック)
~要因~
開発環境の検証機であり、本番環境より脆弱なセキュリティ状況となっていた(Ex.パスワードが容易に推測可能な状況、規定上は保管が認められない機密情報を保管)。このため、辞書攻撃を受けたことで、不正アクセス及び情報漏洩が生じた。
~監査上の考慮事項~
開発環境や開発機についても、その他の状況に応じて本番環境にも影響することが想定される。
このため、監査上対象外とした要素がどう影響するかを理解する必要がある。
サプライチェーンについての管理が困難であり、自社システムを利用させるという方針等も有用。
10インターネットを経由した社内システムへの不正アクセスに関する調査研究パスワード推測
(なりすまし)
~要因~
認証方式はパスワードのみとなりすましに対しては十分な認証方法ではなかった(多要素認証を入れていない。Ex.知識情報以外の所持情報や生体情報)。
また、事後対策として単なるウィルス感染として処理していたため、情報漏洩を前提とした検知が実施できなかった。
~監査上の考慮事項~
情報システムへのアクセスがインターネット経由等、不特定多数からのアクセスが可能な環境では、多要素認証を導入する等、パスワードやPINコードといった知識情報だけでなく、所持情報や生体情報を必要とする等のリスクに応じた仕組みの導入が必要。
また、必要に応じてMSS(Managed Security Service)の社外へのアウトソースも検討することも必要である。

当サイバー攻撃事例集は実際の事例を基に、その背景や影響、必要な対策を理解するのに有用な情報になっていますので、是非一読ください。

最後に

サイバーセキュリティリスクについては、財務諸表監査では考慮に入れていない事もあったかと思いますが、ITの利活用が進めばこれまで以上に財務諸表との関係性がないと言えない状況が多くなるものと想像されます。内部統制の整備においても、何らかの形でサイバーセキュリティリスクについて考慮していく必要が生じるものと考えられますので、検討に際して悩まれましたら、うみもと会計事務所へお気軽にお問い合わせください。