パブリック(公的機関)向けサービス

> テクノロジーリスク

EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。

パブリック(公的機関)における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、政府統一基準群)」内閣サイバーセキュリティセンター:(NISC))の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。

EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

関連トピック リスク 監査・保証 サイバーセキュリティ テクノロジーリスク デジタル

チーム

竹中 淳一

竹中 淳一

EY新日本有限責任監査法人 Technology Risk事業部 プリンシパル

EYができること

パブリック(公的機関)向けサービスでは、公的機関における情報セキュリティに関するアドバイザリー業務や、システム監査、IT全般統制評価等のリスク管理領域に多数の実績を持つ専門家が、一貫してセキュリティ全般に関する助言・支援を行います。


中央省庁、自治体、独立行政法人等

中央省庁、自治体では、公共サービスの信頼性と透明性を維持し、国民の信頼を確保するための情報の保護が重要となります。また、自然災害やサイバー攻撃が発生した場合の対応や、実効性のある復旧計画の策定も、重要な要素となります。政府統一基準群や「地方公共団体における情報セキュリティポリシーに関するガイドライン」(総務省)を基準とした情報セキュリティ対策のための規程類の整備状況、日々の情報管理業務における規程類への準拠状況を把握し、リスクに応じた改善案を助言します。


医療機関

医療機関では電子カルテや診療情報を含む機密性の高いデータの保護が必要となるため、データの暗号化や適切なアクセス権管理が重要となります。また、院外へのデータの持出しや、電磁的記録媒体(USB等管理)、職員に対する継続的な研修等も、重要な要素となります。3省2ガイドライン(「医療情報システムの安全管理に関するガイドライン」:厚生労働省、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」:経済産業省・総務省をベースに、医療機関等に求められる情報セキュリティ対策の状況を評価します。


教育機関(国立大学法人等)向け

教育機関や高度な研究を実施する国立大学法人等では、研究成果、知的財産、個人情報等を保護するためのセキュリティ対策が重要となります。また、情報資産の重要性に鑑み、バックアップや適切な復旧体制の構築が重要な要素となります。これらの特性を踏まえ、実効性のある情報セキュリティ対策の強化及び評価を行います。

教育機関(国立大学法人等)向け

セキュリティガバナンスサービス

技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

詳細ページへ

  • セキュリティ監査・アセスメントサービス

    近年のデジタルトランスフォーメーション(DX)の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。

    EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

    詳細ページへ

  • セキュリティポリシー策定支援サービス

    セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。

    また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

    詳細ページへ

  • クラウドセキュリティ監査/ガイドライン策定支援サービス

    近年、企業や組織がデジタルトランスフォーメーション(DX)を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。

    クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

    詳細ページへ

  • OTセキュリティサービス

    現在、制御系システム(OT“オペレーショナルテクノロジー”)でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS(オペレーティングシステム)で稼働し、そこでの各種脆弱(ぜいじゃく)性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。

    EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準(ISO27000シリーズやIEC62443)をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

    詳細ページへ

  • サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス

    サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。

    このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

    詳細ページへ

  • サイバーセキュリティ内部統制構築支援サービス

    サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」(通称:J-SOX)の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。

    これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

    詳細ページへ

EYの関連サービス

セキュリティガバナンスサービス

技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

続きを読む
セキュリティ監査・アセスメントサービス

近年のデジタルトランスフォーメーション(DX)の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

続きを読む
セキュリティポリシー策定支援サービス

セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

続きを読む
クラウドセキュリティ・ガバナンス構築支援サービス

近年、企業や組織がデジタルトランスフォーメーション(DX)を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

続きを読む
OTセキュリティサービス

現在、制御系システム(OT“オペレーショナルテクノロジー”)でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS(オペレーティングシステム)で稼働し、そこでの各種脆弱(ぜいじゃく)性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準(ISO27000シリーズやIEC62443)をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

続きを読む
サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス

サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

続きを読む
パブリック(公的機関)向けサービス

EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック(公的機関)における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、政府統一基準群)」内閣サイバーセキュリティセンター:(NISC))の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

続きを読む
サイバーセキュリティ内部統制構築支援サービス

サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」(通称:J-SOX)の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

続きを読む
ビジネス・ITプロセスとコントロールの構築支援サービス

今後顕在化が見込まれるリスクを事前に識別し、それに対応するITプロセスとコントロール対応を事前に実施する必要があります。

続きを読む
財務報告に係るIT内部統制の構築、高度化サービス

企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。

続きを読む
デジタル内部統制に対するサービス

企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。

続きを読む
システム導入に伴うアセスメント及びプロセス高度化支援サービス

新システム導入はビジネス成長機会が生まれる一方リスクも増加します。EYはシステム監査・アセスメントでリスク軽減を支援します。

続きを読む
データ分析支援サービス

企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。

続きを読む
EY Japan Assurance Hub

EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ 

詳細ページへ

 

お問い合わせ

詳細をご希望の場合はお問い合わせください。