EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
In Cybersecurity
金融サービスにおいては、“信頼”が根幹を成します。顧客の信頼を勝ち取り、それを維持するため、金融機関は機密性を保持し、システムとサービスの可用性を確保し、データの完全性を守ることに専念することが求められます。金融市場を注視する規制当局やステークホルダーもまた、金融機関に対してこれらの点を重視しています。
信頼を維持することは、かつてないほど困難になりつつあります。サイバー脅威は特定組織への個別攻撃から、金融システム全体への攻撃へと移行しています。金融機関もまた、新たなデジタルチャネル、オートメーション、その他の先進テクノロジーを活用した革新を進め、その恩恵を受けるとともに新たなリスクに直面しています。
これに呼応するように、規制当局は金融機関や関連組織にまん延するサイバーリスクへの監視を強め、デジタル化されたプロダクトやサービスを利用する顧客のプライバシー保護を強化することを金融機関に要請しています。
従来型とは異なるアプローチでサイバーセキュリティに対処する必要があります。サイバーリスクを単なるITの問題として捉えるだけでは十分ではありません。求められているのは組織全般の人員と業務を考慮したサイバーセキュリティに関する包括的なリスクマネジメント方策です。
EYはサイバーセキュリティの強化には人的側面が不可欠と考えています。人材に焦点を当てたトレーニングと意識向上の施策を通じて、組織におけるサイバーセキュリティ意識を高める文化を醸成することが必要です。意識向上に加え、組織に属する一人ひとり、つまり経営層、リスクやコンプライアンスの専門家、監査部門、法務、各事業部門を含む、すべての人員にサイバーセキュリティを高める役割と責任があります。
統制されたサイバーセキュリティリスクマネジメントは、金融機関がビジネス成果をあげ、規制に準拠し、効果的にリスクを管理し、ブランド価値を保持し、株主価値を高めることに寄与します。そうした戦略的なアプローチにより、金融機関と金融市場に“信頼”がもたらされます。
EYは金融機関を取り巻く、または内在するサイバー脅威と情報セキュリティの重要性と複雑性を理解しています。私たちは適切な人材と知見を融合したチームを構築し、洞察、分析、イノベーションを駆使して、クライアントが市場の変革において優位性を確立することを支援します。
EYの金融セクター向けサイバーセキュリティサービスは、次の5つのドメインで構成される体系的なプログラムで提供されます。
サイバー戦略とリスク管理
戦略策定、ガバナンス体制構築、リスク定量化、ベンチマーキング、成熟度評価、CxO向けダッシュボード、サードパーティリスク管理
データ保護とプライバシー
データ保護プログラム策定、データ漏えい防止(DLP)、データプライバシー対策、データディスカバリー、データガバナンス、暗号化、権限管理
ID管理とアクセス制御
IDガバナンス、アクセス制御と認証、顧客ID管理(CIAM)、特権アクセス管理
アーキテクチャとエンジニアリング
セキュリティアーキテクチャ設計、DevSecOps、セキュアコーディング、クラウドセキュリティ、ブロックチェーン、RPA、アプリケーションセキュリティ
次世代セキュリティ運用
ペネトレーションテスト(疑似侵入)、脆弱(ぜいじゃく)性管理、SOC構築・高度化、CSIRT構築・高度化、インシデント対応、フォレンジック、マネージドサービス
サイバー戦略とリスク管理
EYの評価フレームワーク Cybersecurity Program Assessment(CPA)を用いて、企業のセキュリティ態勢の現状評価を行います
データ保護とプライバシー
EYデータプロテクション&プライバシーサービスは、絶えず進化する脅威環境や規制環境における規制に準拠するのを支援します。
ID管理とアクセス制御
アイデンティティ(ID)管理における、アクセス権管理の不備や権限の不整合などの課題を把握し、改善計画立案から計画の実現までを支援します。
次世代セキュリティ運用
企業におけるサイバーインシデントの検知と対応の状況を把握し最適化の計画立案から構築までを支援するとともに、当該内容に基づきSOC/CSIRT業務をマネージドサービスとして提供します。
サイバーインシデント経営層向け訓練サービス
経営陣向けの訓練という形でEYが危機管理態勢の強化をご支援します。
脅威ベースのペネトレーションテスト(TLPT/Threat-Led Penetration Testing)
脅威ベースのペネトレーションテスト(TLPT)は、システムの脆弱(ぜいじゃく)性を評価するテスト手法の1つです。