【アフターレポート】監査視点から見るセキュリティ対策のための脆弱性管理

2023年7月12日、ServiceNow Japan合同会社（以下、ServiceNow社）との共催により、ラウンドテーブルセッション「監査視点から見るセキュリティ対策のための脆弱性管理」を開催しました。ラウンドテーブルでは、脆弱性管理に関する参加企業の取組みや課題と今後の展望について活発なディスカッションが行われました。
本稿ではラウンドテーブル中に行われたプレゼンテーションと、ディスカッションの模様を紹介します。

ラウンドテーブルには、さまざまな業界から12社のCIO／CISOやIT・情報セキュリティ関連の上席担当者に参加いただきました。
プログラムの内容は、以下のとおりです。

• オープニング
• プレゼンテーション１：リスクに応じた対応すべき脆弱性の選別
  KPMGコンサルティング シニアマネジャー 　畠山 誠
• プレゼンテーション２：財務諸表監査におけるサイバーセキュリティリスク
  あずさ監査法人 パートナー　 山口 達也
• ディスカッション１：脆弱性管理に関する各参加企業様の取組み（現状）
• プレゼンテーション３：脆弱性管理整備支援サービス KPMG Powered Enterprise Cyberの紹介
  KPMGコンサルティング シニアマネジャー 　荒木 良之
• プレゼンテーション４：セキュリティ運用の自動化が必要な理由とその効果
  ServiceNow社 ソリューションセールス統括本部 セキュリティ事業部 事業部長 　内田 太樹 氏
• ディスカッション２：脆弱性管理に関する各参加企業様のお悩みと今後の展望
• クロージング：まとめ
  

はじめに、今回のセミナーコンセプトについて、KPMGコンサルティング パートナー  澤⽥ 智輝が説明を行いました。

「KPMGがCISOを対象に行ったグローバルサーベイ「KPMGサイバートラストインサイト2022」では、日本のCISOの課題として、サイバーセキュリティに関する情報共有を行うコミュニティが不足していることが判明しました。今回のディスカッションが、互いに支えあうコミュニティづくりの礎になれば幸いです。」

＜プレゼンテーション１＞
プレゼンテーター：KPMGコンサルティング  シニアマネジャー 　畠山 誠

サイバー攻撃は日々高度化しており、放置された脆弱性や設定ミスは格好の攻撃の的となります。たとえば、脆弱性管理が不十分であった廃棄予定の古いシステムに対して攻撃を受けるケースが報告されており、脆弱性管理の放置はインシデントの原因となり得ると言えます。

監査現場における状況
実際の監査現場における対応は、監査法人によって若干の差異はあるが、概ね以下の通りとなっています。

• IT環境の理解の一環として、サイバーセキュリティ対応状況についても、ヒアリング等を実施しクライアントの対応状況（概要レベル）を把握する。
• 状況理解に留まっているのが現状であり、サイバーセキュリティ対応に対する具体的な監査手続を実施するには至っていないと思われる。
• インシデント等が実際に発生している場合は、より詳細な調査を実施するケースもある。最終的に財務諸表の虚偽記載リスクに影響を及ぼすと判断すれば、IT内部統制評価の一部としてサイバーセキュリティ対応に対する確認手続をとる場合も想定されている。
• 環境理解においては、この分野で先行している米国の監査調書フォーマット等を利用・応用している事例がある。
• 全体としては、IT環境の理解ではあるものの、サイバーセキュリティ対応部分のみ別調書として取りまとめている事例もある。
• クライアントが特にITサービスプロバイダーの場合、インシデントが発生していても、教えてもらえない場合があるというケースがある。
  

＜ディスカッション１＞
山口のプレゼンテーションを受けて、内部監査や会計監査の指摘において脆弱性管理に関して指摘を受けたことがあるかを確認したところ、参加企業12社中3社が受けたことがあるとの回答でした。

「内部監査において指摘を受けたことがあり、外部から説明を求められた際に説明責任が果たせるよう心掛けている。また、システムをリスクレベルに応じてレーティングし、リスクレベルが高いシステムの脆弱性については、期限を定め迅速に対応している。」（大手電気通信事業会社）

「監査において、管理台帳がない、ルールがない、ログが残っていないなどの指摘を受けたことがある。しかし、何をもって脆弱性管理を実施していると言えるのか、明確な指針がないため、対応に苦労している。」（大手保険会社）

このような現状に対して、監査人の立場から山口は、「監査の際は、実際に問題となる内部統制の不備があるか、内部統制が有効に機能していることを対外的に説明できる証跡があるのか、の2段階で評価することが多く、内部監査を実施しているものの、第三者に対して内部統制の実施を示す文書やログなどがない場合があり、監査においてはそれらを指摘しています」と述べました。

さらに、各企業の脆弱性管理の取組みについて議論したところ、各社とも脆弱性管理の必要性を感じているものの、部分的な導入にとどまっている会社がほとんどでした。

「CVE（Common Vulnerabilities and Exposures）が公表され、ある一定の数値を超えた場合は数日以内にCISOに対して対応計画を提出するよう社内ルールで定めており、その後も継続的にフォローする仕組みとなっている。」（大手保険会社）

脆弱性対策の現状について情報共有するなかで、議題は脆弱性管理の海外グループ会社への展開に移りました。グローバル企業においては、海外グループ会社（特に米国の子会社）のほうが脆弱性管理を強化しており、海外で実施した施策を日本に持ち込んで展開することを計画している企業が少なくないことが判明しました。

「欧米に追随する形で、今期中に脆弱性管理に関するソリューションを日本においても導入・適用する予定である。」（大手電機メーカー）

「グローバル拠点では、資産管理をしっかりとした上で脆弱性管理を行っている。日本では、外部に公開しているシステムに対してはある程度の管理ができているが、工場まわりのシステムへの対応は課題である。」（大手医療機器メーカー）

内部監査や会計監査の指摘において脆弱性管理に関して指摘を受けたことのある企業では、それらに対する対策を講じているものの、脆弱性管理に関する具体的な監査基準があるわけではないため、どの程度会社として対応するかの判断に苦労していることが見受けられました。
脆弱性管理のカギとなる、資産管理とパッチ適用の優先順位付けは各社各様に対応している様子がうかがえました。

＜プレゼンテーション３＞
プレゼンテーター：KPMGコンサルティング  シニアマネジャー 　荒木 良之

これまでの議論のとおり、日本企業においては脆弱性管理の展開に苦労しています。そこで、脆弱性管理のために必要となるプロセスを解説し、KPMGコンサルティングが提供している「KPMG Powered Enterprise Cyber」を紹介しました。

KPMG Powered Enterprise Cyber
「KPMG Powered Enterprise Cyber」は、KPMG Powered Enterpriseの一部であり、以下のサービスを提供し、デジタルリスク対策の推進を支援します。

• IAMとセキュリティインシデントレスポンス、脆弱性管理に関するデジタルトランスフォーメーションの垂直立ち上げ
•  先進的なIAMとセキュリティインシデントレスポンス、脆弱性管理の実現
•  検証済みのテクノロジーソリューションの活用
• 導入リスクの低減とROIの向上
•  チェンジマネジメントの推進

本サービスは、サイバーセキュリティ対策の導入を効率的かつ効果的に支援する業務改革ソリューションです。

• サービスの詳細はこちら：KPMG Powered Enterprise Cyber

近年、ServiceNow社が複数のお客様にアンケートをとった結果、脆弱性管理を行うセキュリティ人材が足りていないのではなく、仕事量が増加していることが判明しました。これらの手助けとなるのが当社のサービス「ServiceNow SecOps」です。ServiceNow SecOpsは、セキュリティ状況を「可視化→対処の優先順位付け→ワークフロー化→レポーティング」するツールです。

「ServiceNow社では、脆弱性対応の成熟度を以下4段階に分けて考えています。脆弱性対応は、必ずしも最高レベルを目指す必要はありません。各社の状況・要件に応じて目指すレベルを設定していただきたいですが、最低でもレベル2以上を目指してほしいと思います。」

ラウンドテーブルの最後に、ServiceNow社の北原 祐司氏が参加者に謝辞を述べ、「ディスカッションを通じて各社の動向など情報共有いただけたが、本日を機に今後も会社間での情報連携をいただき、セキュリティを高めあえれば」の言葉でセミナーを締めくくりました。