ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
システムのレジリエンスに関する診断・分析サービス
デジタルオペレーショナルレジリエンスの向上に向けて
レジリエンスとは、企業が危機的な状況においても事業継続できる能力や環境変化に対しても柔軟に対応できる能力のことを指します。多くの日本企業がこうしたレジリエンスの向上に課題を抱えているなか、PwCは、これらの課題の解決に向けた診断、分析、アドバイザリーサービスを提供し、企業のレジリエンス向上を支援します。
重要性が高まるシステムレジリエンス
企業活動の主要な部分を情報システムに依存している現在、システム障害やサイバー攻撃などのリスクは、事業の継続性を損なうような甚大な影響につながる可能性があります。情報漏えい、システムの不正操作、改ざん・破壊や、情報システムが停止または使用不能となることにより、それらのシステムを使用して遂行されている重要な事業やサービスが継続できなくなり、撤退を余儀なくされるおそれもあります。また、影響が自社内に留まらず、社外、グループやサプライチェーンにまで及ぶ場合、適時適切な対応をし損ねると被害による影響はさらに拡大し、より多くのステークホルダーに多大な迷惑をかけてしまうとともに、会社としての信頼が大きく損なわれてしまうことにもなります。
デジタルツインやスマートシティなど、デジタル化の進展によりITシステムへの依存がますます高まるなか、システム・オブ・システムズ(複数のシステムから構成される複合的なシステム)などの複雑なシステム連携時におけるシステム全体の安全性や信頼性を確保する取り組みとしても、レジリエンス強化の対応がいっそう重要となってきています。経営者がこれを経営に関わる重要な課題と捉え、自らリーダーシップを発揮し、情報システム部門だけでなく事業部門を含めた全社での取り組みとして推進することが求められています。
また、こうしたレジリエンスに対する取り組みは近年国際的にも重要視されてきており、金融機関などでは、バーゼル銀行監督委員会がオペレーショナルレジリエンスのための諸原則、欧州委員会がデジタルオペレーショナルレジリエンス規制案などを公表しているほか、日本の監督官庁も関連するディスカッション・ペーパーや監督指針の改正案を公表するなど注力し始めています。
日本企業を取り巻く状況
日本企業はこれまでもBCP(事業継続計画)の策定を進めてきましたが、個別の危機事象に関する対応策を踏まえたシナリオベースによる考え方が多く用いられており、想定外の危機事象に対応しづらいことが課題となっています。想定外の危機事象や環境変化まで考慮してレジリエンスを強化していくためには、重要な事業やサービスの遂行に必要な経営資源(情報システムを含む)を特定し、これらの経営資源が停止または使用不能になり重要な事業やサービスに中断のおそれが生じた場合を考慮して、対応を検討することが求められます。
また、有事においては、これらの経営資源自体の復旧に加えて、業務上のリスクを考慮したうえで重要な事業やサービスを一時中断するか否かの判断を迫られますが、このような判断にあたっては、各事業部門、システム部門に加えて、経営陣、危機管理部門なども含めた迅速な連携が必要です。このような対応には平時からの準備が必要であり、自社の課題を事前にきちんと把握したうえで、各部門が相互に連携し、事前に危機発生時の対応計画を検討しておくことが望まれます。
PwCのサービス
本サービスでは、PwCのこれまでの知見や経験を体系化したうえで、クライアントのレジリエンスに関する取り組みの現状課題を洗い出して診断・分析を行うとともに、重要な課題については、解決に向けた助言やアクションプランの検討・策定などのサポートを行います。サービス対象は、金融機関に留まらず、通信事業者、インターネット事業者、病院・ヘルスケア事業者、官公庁・公共団体など多岐にわたる分野の企業・組織を想定しています。
上記サービスを補完するものとして、厳選した10問程度の設問に答えるだけで自社のレジリエンスの現状について簡単に自己診断が行える「簡易自己診断ツール※」の無償提供も近日中に予定しています。また、必要に応じて、この自己診断の結果に対する助言または詳細な分析に関わるアドバイザリー(有償)も行います。
※ 簡易自己診断ツールでは、「レジリエンスに関する訓練やウォークスルーの目的として有事における各自の役割の理解・定着ができているか」「訓練やウォークスルーの目的として事業やサービスの継続の取り組みに関わる課題の洗い出しが考慮されているか」「訓練実施により洗い出された課題の検討やそれらを踏まえた見直しも実施されているか」「重要業務の遂行に必要な経営資源(リソース)、特に有事にボトルネックとなる経営資源の洗い出しや識別がEnd to Endで実施されているか」「これらの経営資源に関する制約・課題・相互依存関係が把握されているか」といった設問から、レジリエンスの現状と課題を把握します。
レジリエンスに関する自社の現状と課題を把握し、より安定的な経営環境を実現するための重要な一歩として、本サービスをぜひご活用ください。
最新情報
18 results
Loading...
サイバーセキュリティインシデント報告における重要性判断
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
SECの新たなサイバーセキュリティ開示規則 透明性が問われる新たな時代における情報開示への対応
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
注目が高まるAIと人権リスク―人権マネジメント担当者はどのようにしてAIによる人権リスクに向き合うべきか―
AIの利用が進むにつれて社会に及ぼす負の影響への懸念が増大し、AIの責任ある利用に対する規制当局や機関投資家等ステークホルダーからの要請が高まっています。本稿では、AIが抱えるリスクの取り扱いについて、企業の人権マネジメントの観点から検討します。
Loading...
リスク・アシュアランス部コラム
Loading...
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
価値創造のためのDX経営の要諦 デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
Audit Management Officeの組成によるDX監査態勢の強化 ~DX監査を契機とした経営に資するリスクベース監査の実現に向けて~
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。
Loading...
