{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
サイバー攻撃は日々高度化・巧妙化が進んでおり、今や悪意のある攻撃者が組織内部のIT環境に侵入することを未然に防止するという「境界防御」の考え方では十分な対応が困難です。
最近のサイバー攻撃のトレンドは、特定組織を標的とした計画的な攻撃から、脆弱性のある不特定多数の組織への無差別的な自動攻撃へと変化しつつあり、あらゆる組織にとって、IT環境に潜む脆弱性を可能な限り排除することがサイバー攻撃への対策として重要になっています。セキュリティパッチを適用せず、技術的な脆弱性を放置していたシステムや機器が攻撃者に悪用され、ランサムウェアに感染する被害事例が国内外で多数発生していることからも、脆弱性というリスクの低減は現在のサイバーセキュリティを考える上で最重要課題の一つと言えます。
こうした脆弱性リスクの低減に関する考え方は、一般的に「サイバーハイジーン」(cyber hygiene)と呼ばれています。人がこまめな手洗いやうがい、マスク着用などの身体的な衛生管理によってウイルスの感染を予防するように、企業にも日々のサイバーセキュリティ活動を通して、攻撃の発生要因となるIT環境の脆弱性リスクを低減していくことが求められています。
ただし、単なるセキュリティパッチの適用やリアルタイム型のウイルス対策ソフトの導入などでは十分とは言えません。日々の暮らしのフィジカルハイジーン(感染症対策)において、マスクの着用や手洗いの徹底だけでなく、食事や運動などを通じた免疫力の向上が必要なように、サイバーハイジーンにおいては、IT環境内部の免疫力の向上、つまりサイバー攻撃に備えたシステムや機器内部の技術的なサイバーセキュリティの堅牢化が不可欠となります。
攻撃者により境界防御が突破され、組織内部のIT環境に侵入される事態に備え、いかに脆弱性リスクを低減し、技術的なサイバーセキュリティに関する内部統制を高度化するか――。PwC Japan有限責任監査法人は、IT環境を構成するシステムや機器のサイバーセキュリティに関する技術的な内部統制を実証的に評価することで、組織の「サイバー免疫力」の向上を支援します。
サイバーセキュリティに関する内部統制を評価するうえでは、ルール/態勢(プロセス)の整備状況、あるいは当該ルールに基づく業務運用状況の十分性を確認するアプローチが一般的です。しかしながら、このアプローチでは、個々のシステムや機器のレベルでサイバーセキュリティ要件が適切に技術実装・設定され、堅牢性を維持できているか(脆弱性リスクを低減できているか)といった状況にまで踏み込んで評価することは困難です。これでは、評価不足に起因する技術的な脆弱性の残存により、サイバー攻撃が発生・拡大するリスクが放置されかねません。
このため本サービスでは、従来とは視点を変え、IT環境の脆弱性リスクが本質的に低減されているかという観点から、まず個々のシステム・機器を対象にサイバーセキュリティ設定・実装状況を技術的に評価し、システムや機器内部に残存する脆弱性リスクの状況を検証します。
さらに、こうした個々の技術面の脆弱性リスクをもたらす原因となった、組織としてのサイバーセキュリティに関する内部統制(プロセス)上の課題にまで踏み込んだ評価をあわせて行います。
こうした手法により、現在のIT環境における技術的な脆弱性リスクの解消のみならず、今後同種の脆弱性リスクを再発させないための内部統制上の改善提言を同時に行い、効果的なサイバーハイジーン環境の実現に寄与します。
なお、評価の対象やスコープ、観点などは、任意で指定することができます。
例えば、IT環境を構成する重要なシステムや端末、あるいはインターネットに近接するネットワーク機器やセキュリティシステム、またクラウド事業者が提供する機能を用いてクラウドサービス上に構築したシステムなど、それぞれの組織のIT環境の形態や特性を踏まえた観点を指定することで、重大なリスクポイントを識別し、PwC固有のナレッジに基づいた効率的かつ効果的な評価を行います。