サイバーリスク管理の複雑化
重点領域
サイバーセキュリティ経営ダッシュボード
企業文化や環境を踏まえたリアルなシナリオによるシミュレーション
KPMGコンサルティング株式会社(本社:東京都千代田区、代表取締役社長:森 俊哉、以下:KPMGコンサルティング)は、経営者のサイバーリスク対応を支援するサービス「サイバー・イン・ザ・ボードルーム(Cyber in the Boardroom)」の提供を開始しました。本サービスは、経営陣が自社のサイバーセキュリティに対するリスクマネジメントを強化し、対外的な説明責任を果たすことを支援するためのサービスです。サイバーリスクに対して、「捉える」、「知る」、「備える」という3つの重要な側面にあわせたサービスを構成しています。
【背景と主旨】
サイバーセキュリティのインシデント発生に伴う金銭的損害やブランドの棄損は、企業経営において大きなリスクになってきています。KPMGが実施したグローバル調査「2015 KPMG CEO Outlook」では、回答したCEOの20%が「サイバーリスクは最も懸念されるリスクである」と回答しています。しかしながら、日本において経営幹部(ボードメンバー)が経営会議でセキュリティについて審議・報告している企業は、約3割程度にとどまっています(※1)。サイバーリスクの重大性が高まることにより、経営幹部は対策の実施に対するリーダーシップ、および説明責任の発揮を強く求められることが予測されます。
※1 出典:日本情報システム・ユーザー協会「企業IT動向調査2016」
一方で、サイバー攻撃の多様化・高度化に伴い、サイバーリスク管理の管轄領域や、関与する組織が多岐にわたるようになってきています。これにより各担当部門からの報告が、リスクの把握・対策や対応といった意思決定への明確な判断材料にならなくなってきています。
【サイバーリスク管理の複雑化】
https://www.atpress.ne.jp/releases/108134/img_108134_1.jpg
これらの状況から、KPMGでは、経営者の視点として、自社の状況を正しく捉え、サイバーリスクを正しく知り、そして適切に備えることが重要であると認識しています。
<捉える>
自社のサイバーセキュリティの状況を、むやみに特定のテクノロジー領域に偏ることなく、簡潔かつ定量的に把握する必要があります。KPI(重要業績評価指標)を設定し、脅威の変化も考慮しながらモニタリングをすることが必要です。
<知る>
最新のサイバー脅威とセキュリティ対策、リーダーシップの表明と体制の構築、攻撃を防ぐための事前対策、攻撃を受けた場合に備えた準備といったテーマを、経営者として理解する必要があります。
<備える>
インシデント対応における経営者の迅速な判断や、説明責任の発揮においては、日頃より訓練を通じて習熟度を高めておくことが、企業価値の棄損を防ぐために有効です。
【サイバー・イン・ザ・ボードルーム サービスの概要】
本サービスは、以下のサービスコンポーネントを1つにパッケージしたアドバイザリーサービスです。
1.サイバーセキュリティ経営ダッシュボード
「サイバーセキュリティ経営ダッシュボード」は、サイバーセキュリティ経営における重点領域として、(1)リスク状況 (2)コンプライアンス (3)インシデント (4)セキュリティ意識 (5)セキュリティインテリジェンス (6)サイバーセキュリティ成熟度の6領域に対してKPIを設定し、リスク管理の状況を可視化するフレームワークです。
KPMGがグローバルで独自に開発した「サイバーセキュリティ経営ダッシュボード」ツールに基づき、最新のサイバーリスクや、セキュリティ対策の管理状況、セキュリティ態勢上必要となる組織や社員の成熟度などを直感的かつ定量的に把握し、重点領域へのモニタリングを容易にします。
経営層からの要件ヒアリングに基づくKPIの定義、ダッシュボードへの落とし込み方法のプロセス面での設計、定期的なKPIの集計支援といったコンサルティングサービスを提供します。
経済産業省が2015年12月に公表した『サイバーセキュリティ経営ガイドライン』の重要10項目を可視化するためのテンプレートも標準で用意するとともに、オプションとして、弊社の成熟度評価ツールであるCMA(Cyber Maturity Assessment)サービス(オプション)を追加することで、業界他社とのベンチマーク状況も確認することができます。
<サイバーセキュリティ経営における6つの重点領域>
リスク状況 :サイバーリスクの適切な評価
コンプライアンス :最新のコンプライアンスへの適用状況
インシデント :インシデント管理プロセスの効果
セキュリティ意識 :組織の構成員のセキュリティ意識
セキュリティ・インテリジェンス:内外で発生するイベントを解析し、
自社への影響を可視化
サイバーセキュリティ成熟度 :サイバーセキュリティに対する
組織の成熟度
https://www.atpress.ne.jp/releases/108134/img_108134_2.jpg
https://www.atpress.ne.jp/releases/108134/img_108134_3.jpg
2.サイバー攻撃演習
サイバー攻撃が発生した後に着目し、経営サイドでの対応フローや社内外のコミュニケーション(ステークホルダ、メディア等への説明)の確認を目的とした、セキュリティ責任者や経営者が参加しやすい演習を実施します。
単純にサイバー攻撃をシミュレーションするだけでなく、業界や企業独自の文化、システム構成を踏まえたリアリティのあるシナリオを作成することで、リスク管理体制の評価・強化に効果的です。
<企業文化や環境を踏まえたリアルなシナリオによるシミュレーション>
https://www.atpress.ne.jp/releases/108134/img_108134_4.jpg
3.経営層向けサイバーリスク啓発サービス
「経営層向けサイバーリスク啓発サービス」では、最新のサイバー脅威動向を解説し、日常的な管理とモニタリング、有事における対応の要点を解説し、自社にとっての課題・対策を知るためのワークショップを開催します。
1回2時間、毎月もしくは隔月の頻度でシリーズとして開催し、経営層として知っておくべきサイバーセキュリティの知識向上を目的とします。
サイバーインザボードルームサービスは、年間を通じて定常的に経営層によるサイバーリスクマネジメントを支援するサービスであり、それぞれのサービスコンポーネントは個別でのご提供も可能です。
【KPMGコンサルティングについて】
KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、BPR、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクター等のインダストリーに対し、幅広いコンサルティングサービスを提供しています。 情報提供元: @Press