クラウドセキュリティ・ガバナンス構築支援サービス

テクノロジーリスク

クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

チーム

竹中淳一

EY新日本有限責任監査法人　Technology Risk事業部　プリンシパル

EYができること

クラウドサービス利用によるメリットは大きい一方で、サービス事業者へのリスク評価が不十分であることにより組織のセキュリティポリシーと照らして不適合なサービスが導入されてしまうケースや、利用組織の設定ミスに起因した情報漏えいの事案等が増加しています。また、SaaSはサービスが膨大・多種多様で機能変更等も頻繁に実施されている中、利用組織では導入時の審査や管理が画一的に行われていることで本質的なリスクを見逃してしまい、利用中にインシデントが発生するケースが散見されています。

クラウドサービス導入時のみならず、利用中や利用終了時も含め、継続的なリスク評価・管理の枠組みが必要です。

クラウドセキュリティ監査・アセスメント

利用中／導入予定のクラウドサービスを対象に、国際的な基準、ベストプラクティスやEYのナレッジをベースに策定したリスクアセスメントのフレームワークを利用し、独立した第三者として監査・アセスメントを実施します。

クラウド利用規程・ガイドライン策定支援

SaaSを対象にクラウド利用におけるセキュリティ管理態勢の高度化を支援します。

組織におけるシステムリスク管理、委託先管理やセキュリティポリシー等の現行の枠組みやルールを調査した上で、SaaSの特性も踏まえ規程・ガイドラインを策定することで、サービスの利用開始から利用終了まで一貫したセキュリティ管理態勢の構築が可能となります。

セキュリティガバナンスサービス

技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

詳細ページへ

セキュリティ監査・アセスメントサービス

近年のデジタルトランスフォーメーション（DX）の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。

EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

詳細ページへ
セキュリティポリシー策定支援サービス

セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。

また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

詳細ページへ
OTセキュリティサービス

現在、制御系システム（OT“オペレーショナルテクノロジー”）でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS（オペレーティングシステム）で稼働し、そこでの各種脆弱（ぜいじゃく）性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。

EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準（ISO27000シリーズやIEC62443）をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

詳細ページへ
サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス

サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。

このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

詳細ページへ
パブリック（公的機関）向けサービス

EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。

パブリック（公的機関）における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群（以下、政府統一基準群）」内閣サイバーセキュリティセンター:（NISC））の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。

EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

詳細ページへ
サイバーセキュリティ内部統制構築支援サービス

サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応（研究文書）」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」（通称：J-SOX）の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。

これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

詳細ページへ

EYの関連サービス

セキュリティガバナンスサービス

セキュリティ監査・アセスメントサービス

近年のデジタルトランスフォーメーション（DX）の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

セキュリティポリシー策定支援サービス

セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

クラウドセキュリティ・ガバナンス構築支援サービス

近年、企業や組織がデジタルトランスフォーメーション（DX）を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

OTセキュリティサービス

現在、制御系システム（OT“オペレーショナルテクノロジー”）でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS（オペレーティングシステム）で稼働し、そこでの各種脆弱（ぜいじゃく）性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準（ISO27000シリーズやIEC62443）をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス

サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

パブリック（公的機関）向けサービス

EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック（公的機関）における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群（以下、政府統一基準群）」内閣サイバーセキュリティセンター:（NISC））の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

サイバーセキュリティ内部統制構築支援サービス

サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応（研究文書）」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」（通称：J-SOX）の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

ビジネス・ITプロセスとコントロールの構築支援サービス

今後顕在化が見込まれるリスクを事前に識別し、それに対応するITプロセスとコントロール対応を事前に実施する必要があります。

財務報告に係るIT内部統制の構築、高度化サービス

企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。

デジタル内部統制に対するサービス

企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。

システム導入に伴うアセスメント及びプロセス高度化支援サービス

新システム導入はビジネス成長機会が生まれる一方リスクも増加します。EYはシステム監査・アセスメントでリスク軽減を支援します。

データ分析支援サービス

企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。

チーム

EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ

詳細ページへ

お問い合わせ

詳細をご希望の場合はお問い合わせください。

EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。

EY | Assurance | Consulting | Strategy and Transactions | Tax

About EY

EY is a global leader in assurance, consulting, strategy and transactions, and tax services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities.

EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information about our organization, please visit ey.com.

EYG/OC/FEA no.

ED MMYY

This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax, or other professional advice. Please refer to your advisors for specific advice.

トピック

一般

人

クラウドセキュリティ・ガバナンス構築支援サービス

チーム