ITの利用から生じるリスク~サイバーリスク~
IT関連の業務から税務・会計関連の業務にシフトしていたのですが、先日時間を割いて、Security Days Fall 2023に参加し、情報収集をしてきました。
時間があれば積極的に参加していますが、今回は情報セキュリティ10大脅威 2023の内容を再確認したり、各セキュリティベンダーのセッションからサイバーセキュリティに関するサービス(AI活用系ツールや課題点を遡及するサービスを展開)のトレンドや時事ネタ(Ex.大阪急性期・総合医療センターのサイバーインシデント)を学んだり、と有意義なセミナーでした。
個人的にはOSINT(Open Source Intelligencen)を使った情報収集は、会社の概要調査にも活用していたので、新鮮さはなかったのですが、情報源が信頼できれば様々な調査に役立つ手段であることを再認識できました。
さて、話は変わりますが、財務諸表監査ではITの利用から生じるリスクの特定が求められており、ITを利用する以上は情報セキュリティに関するリスク(サイバーリスク)も検討しなければなりません。
特にランサムウェアによって、ビジネスに影響するような事態に陥る事業会社もかなり多く(2022年度には国内の3社に1社は被害にあっているそうです)、見過ごせないリスクになっています。
過去にはサイバー攻撃やサイバー事故などにつながる事象は積極的に公開されないことが多く、どのようにサイバーリスクを特定すればいいのかわからず、業種や外観などの外部からの情報に基づいて、リスクは低いと判断していたこともありました。
しかし、現在はサイバーリスクを評価しないでもいいぐらいに低いといえるのは限定的であり、情報システムを活用している以上は財務諸表監査上も無視できないサイバーリスクが存在しているのだろうと判断しています。
先日も大手監査法人が実施するセミナーではJ-SOXの改定で、サイバーリスクに対応する内部統制(Ex.ルータ―などのパッチ更新)についても評価をする必要があると聞いた方から、当社の場合、どの対応を評価する必要があるのか?といったご質問を受けました。
個人的には、外部からの攻撃でウイルスやマルウェアといった手段によるデータ破壊や暗号化への対策への評価は必要になるものと思いますが、ではどこまでの対策をしていれば監査上は良いのか線引きするのは現時点では難しいと思われます。
例えば、ローカルPCでのユーザ認証には、ユーザIDとパスワードが適切に設定されているから安全だと思っても、物理的な端末にアクセスが可能であれば、容易にパスワードは変更可能(方法はここでは割愛します)なため、サイバーリスクの評価のために、端末への物理的な管理状況まで評価が必要かもしれません。
また、シングルサイオン(以下、SSO)認証の場合には、ブラウザのキャッシュ情報が残っているとそれも不正アクセスにつながるので、定期的なキャッシュの削除や二段階認証、FIDO認証のための媒体管理等、評価を広げていく必要があるのかもしれません。
これから、深度については業界としても検討をしていくものと思いますので、こちらも引き続きキャッチアップしていきたいと思います。
