2023年7月12日、ServiceNow Japan合同会社(以下、ServiceNow社)との共催により、ラウンドテーブルセッション「監査視点から見るセキュリティ対策のための脆弱性管理」を開催しました。ラウンドテーブルでは、脆弱性管理に関する参加企業の取組みや課題と今後の展望について活発なディスカッションが行われました。
本稿ではラウンドテーブル中に行われたプレゼンテーションと、ディスカッションの模様を紹介します。
プログラム
ラウンドテーブルには、さまざまな業界から12社のCIO/CISOやIT・情報セキュリティ関連の上席担当者に参加いただきました。
プログラムの内容は、以下のとおりです。
- オープニング
- プレゼンテーション1:リスクに応じた対応すべき脆弱性の選別
KPMGコンサルティング シニアマネジャー 畠山 誠 - プレゼンテーション2:財務諸表監査におけるサイバーセキュリティリスク
あずさ監査法人 パートナー 山口 達也 - ディスカッション1:脆弱性管理に関する各参加企業様の取組み(現状)
- プレゼンテーション3:脆弱性管理整備支援サービス KPMG Powered Enterprise Cyberの紹介
KPMGコンサルティング シニアマネジャー 荒木 良之 - プレゼンテーション4:セキュリティ運用の自動化が必要な理由とその効果
ServiceNow社 ソリューションセールス統括本部 セキュリティ事業部 事業部長 内田 太樹 氏 - ディスカッション2:脆弱性管理に関する各参加企業様のお悩みと今後の展望
- クロージング:まとめ
オープニング
はじめに、今回のセミナーコンセプトについて、KPMGコンサルティング パートナー 澤⽥ 智輝が説明を行いました。
「KPMGがCISOを対象に行ったグローバルサーベイ「KPMGサイバートラストインサイト2022」では、日本のCISOの課題として、サイバーセキュリティに関する情報共有を行うコミュニティが不足していることが判明しました。今回のディスカッションが、互いに支えあうコミュニティづくりの礎になれば幸いです。」
リスクに応じた対応すべき脆弱性の選別
脆弱性に起因するインシデントの例
米国での規制事例
- ニューヨーク州金融サービス局(NYDFS)は、2017年に “Title 23 New York Codes, Rules and Regulation Part 500:Cybersecurity Requirements for Financial Services Companies”※1(ニューヨークサイバーセキュリティ規制)を採択し、州内での業務の免許または承認を受けている金融機関に対して新しいサイバーセキュリティ要件を適用している。
リスクベースのサイバーセキュリティプログラムを実装し、脆弱性評価についても継続的にモニタリングおよび検証を義務付けている。 - また、2020年に大規模なハッキング事案を受け、NYDFSは2021年4月にレポート※2を発表し、上記規制の対象企業に対して、パッチを適用するシステムやパッチを適用する順序など、組織のパッチテスト、検証プロセスおよび導入の優先順位を決定する脆弱性管理プログラムを用意することなどを求めている。
【出典】
※1:New York State Department of Financial Service, 「DFS ISSUES REPORT ON THE SOLARWINDS SUPPLY CHAIN ATTACK」(2021年4月)
※2:New York State Department of Financial Service(2019年2月)
KPMGコンサルティング シニアマネジャー 畠山 誠
監査現場における状況
実際の監査現場における対応は、監査法人によって若干の差異はあるが、概ね以下の通りとなっています。
- IT環境の理解の一環として、サイバーセキュリティ対応状況についても、ヒアリング等を実施しクライアントの対応状況(概要レベル)を把握する。
- 状況理解に留まっているのが現状であり、サイバーセキュリティ対応に対する具体的な監査手続を実施するには至っていないと思われる。
- インシデント等が実際に発生している場合は、より詳細な調査を実施するケースもある。最終的に財務諸表の虚偽記載リスクに影響を及ぼすと判断すれば、IT内部統制評価の一部としてサイバーセキュリティ対応に対する確認手続をとる場合も想定されている。
- 環境理解においては、この分野で先行している米国の監査調書フォーマット等を利用・応用している事例がある。
- 全体としては、IT環境の理解ではあるものの、サイバーセキュリティ対応部分のみ別調書として取りまとめている事例もある。
- クライアントが特にITサービスプロバイダーの場合、インシデントが発生していても、教えてもらえない場合があるというケースがある。
あずさ監査法人 パートナー 山口 達也
現状の会計監査では、IT環境の理解の一環としてクライアントのサイバーセキュリティ対応状況を確認していますが、サイバーセキュリティ対応の有無について明確な手続きが定められているわけではありません。ただし、サイバーセキュリティインシデントが発生した場合、財務諸表への影響を分析し、もし影響を与える可能性がある場合、IT内部統制評価の一部としてサイバーセキュリティ対応に対する確認手続きをとることがあります。
今後の会計監査について、山口は、「脆弱性を突かれたサイバーセキュリティ侵害も多く、監査現場の立場からも、脆弱性対応の必要性が増しています」と述べました。
財務諸表監査の次に、法定監査が設定される可能性があるのは、業種・業態を問わずあらゆる企業が抱えている課題であるサイバーセキュリティを含むセキュリティ分野かもしれません。
脆弱性管理に関する各参加企業様の取組み(現状)
<ディスカッション1>
山口のプレゼンテーションを受けて、内部監査や会計監査の指摘において脆弱性管理に関して指摘を受けたことがあるかを確認したところ、参加企業12社中3社が受けたことがあるとの回答でした。
「内部監査において指摘を受けたことがあり、外部から説明を求められた際に説明責任が果たせるよう心掛けている。また、システムをリスクレベルに応じてレーティングし、リスクレベルが高いシステムの脆弱性については、期限を定め迅速に対応している。」(大手電気通信事業会社)
「監査において、管理台帳がない、ルールがない、ログが残っていないなどの指摘を受けたことがある。しかし、何をもって脆弱性管理を実施していると言えるのか、明確な指針がないため、対応に苦労している。」(大手保険会社)
このような現状に対して、監査人の立場から山口は、「監査の際は、実際に問題となる内部統制の不備があるか、内部統制が有効に機能していることを対外的に説明できる証跡があるのか、の2段階で評価することが多く、内部監査を実施しているものの、第三者に対して内部統制の実施を示す文書やログなどがない場合があり、監査においてはそれらを指摘しています」と述べました。
さらに、各企業の脆弱性管理の取組みについて議論したところ、各社とも脆弱性管理の必要性を感じているものの、部分的な導入にとどまっている会社がほとんどでした。
「CVE(Common Vulnerabilities and Exposures)が公表され、ある一定の数値を超えた場合は数日以内にCISOに対して対応計画を提出するよう社内ルールで定めており、その後も継続的にフォローする仕組みとなっている。」(大手保険会社)
脆弱性対策の現状について情報共有するなかで、議題は脆弱性管理の海外グループ会社への展開に移りました。グローバル企業においては、海外グループ会社(特に米国の子会社)のほうが脆弱性管理を強化しており、海外で実施した施策を日本に持ち込んで展開することを計画している企業が少なくないことが判明しました。
「欧米に追随する形で、今期中に脆弱性管理に関するソリューションを日本においても導入・適用する予定である。」(大手電機メーカー)
「グローバル拠点では、資産管理をしっかりとした上で脆弱性管理を行っている。日本では、外部に公開しているシステムに対してはある程度の管理ができているが、工場まわりのシステムへの対応は課題である。」(大手医療機器メーカー)
内部監査や会計監査の指摘において脆弱性管理に関して指摘を受けたことのある企業では、それらに対する対策を講じているものの、脆弱性管理に関する具体的な監査基準があるわけではないため、どの程度会社として対応するかの判断に苦労していることが見受けられました。
脆弱性管理のカギとなる、資産管理とパッチ適用の優先順位付けは各社各様に対応している様子がうかがえました。
KPMG Powered Enterprise Cyber
「KPMG Powered Enterprise Cyber」は、KPMG Powered Enterpriseの一部であり、以下のサービスを提供し、デジタルリスク対策の推進を支援します。
- IAMとセキュリティインシデントレスポンス、脆弱性管理に関するデジタルトランスフォーメーションの垂直立ち上げ
- 先進的なIAMとセキュリティインシデントレスポンス、脆弱性管理の実現
- 検証済みのテクノロジーソリューションの活用
- 導入リスクの低減とROIの向上
- チェンジマネジメントの推進
本サービスは、サイバーセキュリティ対策の導入を効率的かつ効果的に支援する業務改革ソリューションです。
- サービスの詳細はこちら:KPMG Powered Enterprise Cyber
KPMGコンサルティング シニアマネジャー 荒木 良之
近年、ServiceNow社が複数のお客様にアンケートをとった結果、脆弱性管理を行うセキュリティ人材が足りていないのではなく、仕事量が増加していることが判明しました。これらの手助けとなるのが当社のサービス「ServiceNow SecOps」です。ServiceNow SecOpsは、セキュリティ状況を「可視化→対処の優先順位付け→ワークフロー化→レポーティング」するツールです。
「ServiceNow社では、脆弱性対応の成熟度を以下4段階に分けて考えています。脆弱性対応は、必ずしも最高レベルを目指す必要はありません。各社の状況・要件に応じて目指すレベルを設定していただきたいですが、最低でもレベル2以上を目指してほしいと思います。」
ServiceNow社 ソリューションセールス統括本部 セキュリティ事業部 事業部長 内田 太樹 氏
脆弱性管理に関する各参加企業様のお悩みと今後の展望
<ディスカッション2>
内田氏のプレゼンテーションで説明のあった脆弱性対応の成熟度レベルを参加企業に確認したところ、すでに成熟度レベル2に達している企業はなく、レベル1に対応している参加企業も、12社中3社でした。レベル1の企業も、運用においては苦労していることが判明しています。
「毎月、リスクの優先順位付けを行い、期間内に対応する方針があるが、可視化よりも対応するための予算付けに苦労している。」(大手医療機器メーカー)
最後に、脆弱性管理の取組みや現状の課題について、ディスカッションを行いました。仕組みやツールを導入して成熟度レベルを上げることについて、各社ともすでに検討に着手しているようですが、以下のような課題が挙げられました。
「ツールを用いて資産情報を収集しているが、その資産情報を十分に活用できておらず、それが課題だと認識している。また、脆弱性が確認されてから対応するまでに時間がかかっていることも課題だと認識している。現在、まずテスト環境にて脆弱性対応しても問題ないことを確認し、その後本番環境へ提供しているため、対応完了までに平均3~4週間程度要している。」(大手物流会社)
「古いOSのシステムなどはパッチを当てるとシステムが停止してしまう場合もあるため、簡単に脆弱性への対応ができない場合もあり、どのようにリスクを受容するか判断に迷う部分がある。」(大手電気通信事業会社)
脆弱性対応に関する課題は各社ごとに異なりますが、セキュリティ強化に向けて検討や検討の実施に継続的に取り組んでいることがわかりました。
