サイバーリスクの管理内部監査の役割
June 28, 2023
Kreston-Ezra Yehuda-Rozenblumのマネージング・パートナーであるDoron Rozenblumは、最近Accounting Todayで特集され、内部監査がサイバーリスク管理の鍵となる理由についての洞察を共有した。 IT停止、データ漏洩、ランサムウェア攻撃などのサイバーインシデントは、世界的に最も高いリスクである。 データ漏洩は企業にとって特に懸念すべきもので、そのコストは2022年には過去最高の440万ドルに達し、2023年には500万ドルを超えると予測されている。 その他の重大なリスクには、ランサムウェア攻撃、デジタル・サプライチェーンやクラウドサービスの障害などがある。 犯罪的な攻撃、人為的なミス、技術的な不具合など、サイバー関連のベクトルはビジネスに深刻な混乱を引き起こす可能性がある。 ハッカーは現在、デジタル・サプライチェーンと物理的サプライチェーンの両方を標的としており、大企業がサイバーセキュリティへの投資を増やす一方で、中小企業にとってはより大きな脅威となっている。
進化するサイバーリスク:脅威とトレンド
デジタルの世界では、規模の大小にかかわらず、あらゆる企業が侵害の危険にさらされ、業務、評判、ブランド、収益パイプラインを危険にさらす可能性がある。 2023年のサイバーリスクの状況は多様で、絶えず進化しており、サイバー犯罪のコストは2023年には8兆ドル、2025年には10.5兆ドルに達すると予測されている。
特にフィッシングによるランサムウェア攻撃は、公共部門と民間部門の両方において最大の脅威となっている。 このような攻撃は、数が増えているだけでなく、金銭的コストや風評被害も増大している。 フィッシングとは、ハッカーが個人を騙して貴重なデータを共有させたり、マルウェアを拡散させたりすることであり、多くの場合、高位の個人や信頼できる機関になりすます。 ビジネスメール詐欺(BEC)も深刻な問題で、しばしばフィッシングと関連している。 攻撃者は、チャットやモバイル・メッセージング・アプリケーションなど、電子メール以外のコラボレーション・ツールを使って、策略を実行する。 ハッカーはフィッシング攻撃でマイクロソフトのブランドを頻繁に悪用し、セキュリティ習慣の悪さやユーザーの知識不足から、ブランドになりすます攻撃が懸念されている。
オンライン・バンキングやオンライン・ショッピングを利用する人が増えるにつれ、詐欺、特にID窃盗はデジタル化の傾向にある。 2022年、消費者は詐欺により90億ドル近くを失ったと報告し、これは前年から30%増加し、かなりの数の個人情報盗難が報告された。
サイバーリスク管理の強化内部監査の戦略
企業はその規模、複雑さ、相互接続性により、サイバーリスクに対する脆弱性が高まっている。 クラウドサービスやモノのインターネット(IoT)の利用は、安全確保が困難な新たな攻撃ベクトルを生み出す。 こうしたリスクに対処するためには、すべての利害関係者を巻き込んだ強固なサイバーリスク管理戦略が不可欠である。
人工知能(AI)は可能性を秘める一方で、脅威のベクトルにもなり得る。 AIシステムやプラットフォームは、不正確な仮定や信頼できない情報源から引き出された結論の可能性があるため、慎重に導入されるべきである。
内部監査は、サイバーリスクに対する重要な防衛手段として発展してきた。 それは金融分野にとどまらず、サイバーセキュリティにも及んでいる。 サイバーリスクを効果的に監査するためには、内部監査は、最新の脅威の理解、組織のIT環境とサイバーセキュリティフレームワークの知識、リスク管理とデータ分析の専門知識、IT部門、リスク管理部門、コンプライアンス部門との連携を必要とする。
サイバーリスクに対する強力な内部監査には、リスクベースのアプローチが必要である。 重要な資産とシステムを特定し、保護し、既存の管理を評価し、改善すべき分野を特定しなければならない。 サイバーリスク管理は、組織の全体的なリスク管理戦略に統合されるべきであり、サイバーリスクのプロファイルと新たな脅威に関する定期的な最新情報を取締役会と上級管理職に提供すべきである。 サプライチェーン管理も、ベンダーやサプライヤーのサイバーセキュリティ対策を評価する必要がある重要な分野である。
結論として、サイバーリスクは組織にとって増大する脅威であり、内部監査はこうしたリスクを管理する上で重要な役割を果たしている。 リスク状況の評価、内部統制の見直し、データ分析ツールの活用は、効果的な経営に欠かせない。 協調的でリスクベースのアプローチを採用することで、内部監査は組織が複雑で進化するサイバーリスクの状況をナビゲートするのを助けることができる。
詳細はこちらをご覧ください。
