サイバーセキュリティに関する内部監査
サイバー攻撃の高度化・多様化およびその被害の深刻化により、サイバーセキュリティは今やセキュリティ部門やシステム部門だけの問題ではなく、全社的な経営課題となっています。企業のサイバーセキュリティリスクへの対応策の準拠性・妥当性等の評価を行う内部監査の必要性および重要性が高まっています。
サイバーセキュリティリスクに対する内部監査の役割
相次ぐ情報漏洩事件やランサムウェア感染による事業への甚大な被害、技術革新による新たな脅威等が発生している現状において、サイバーセキュリティリスクへの対応はセキュリティ部門やシステム部門だけの問題ではなく全社的に対応が必要な経営課題として認識する必要があります。このような経営環境に対して、企業の第三のディフェンスラインに位置する内部監査部門には、独立性を保ちつつ、企業のサイバーセキュリティリスクへの対応策を客観的に現状把握・評価することが求められています。
また、内部監査協会(IIA)は2025年2月に「サイバーセキュリティ:トピック別要求事項」を公開し、サイバーセキュリティのリスク領域における内部監査業務において適用しなければならない要求事項を提示しました。「サイバーセキュリティ:トピック別要求事項」は2026年2月より正式に適用開始となっており、内部監査のアシュアランス業務においては、サイバーセキュリティのガバナンス・リスクマネジメント・コントロールに関する各プロセスを評価するための基準として利用必須となりました。サイバーセキュリティ領域の内部監査においては、監査品質の期待水準もこれまで以上に高まっており、内部監査部門としての対応が求められています。
サイバーセキュリティ監査のアプローチ
サイバー攻撃が高度化・多様化しているように、企業がそれぞれ抱えているリスクや課題も個社別に異なります。規程やマニュアル類の非技術的対策はある程度できているが、技術的対策が不十分である企業もあれば、国内拠点はある程度目が届くため管理ができているが、海外はブラックボックス化しているためサイバーセキュリティ管理態勢の把握ができていない企業等、例を挙げるときりがありません。
セキュリティに関するトピック・領域は多岐にわたっているため、企業が抱えているリスクや課題を踏まえて内部監査としてどうアプローチしていくかという観点においては難しい判断が求められます。サイバーセキュリティ内部監査の実務的な進め方としては、事前準備から監査の実施(現状把握・課題識別・改善提案)、報告・フォローアップまでのステップがありますが、まずは準備段階にて、どのテーマから監査を実施するか、どのように監査を実施するかという手法(どのセキュリティ規格を参照するか等)、どの地域や部門(サードパーティ含む)を対象とするか等の取り決めをすることがこれまで以上に重要となります。
デロイト トーマツのサイバーセキュリティ監査支援
デロイト トーマツは内部監査の専門家とサイバーセキュリティの専門家を多数有しており、サイバーセキュリティ監査の計画・設計支援から、個別監査における事前準備、現状把握、課題識別、改善提案、報告・フォローアップに至るまで企業の状況に応じて柔軟な支援が可能です。
新しいウィンドウで開く