Cybersecurity Ventures は、サイバー犯罪は、世界で 2021 年までに年間 6 兆ドルを超えると予想しています。これは 2015 年から 3 兆ドルの増加となります。 さらに、重大なセキュリティ侵害がニュースとして報道されることが多くなっているため、内部監査はかつてないほどサイバーセキュリティを注視しています。 このようなリスクへの集中の増加は 2019 年監査能力調査に反映されていますが、これはサイバーセキュリティ リスクは最高監査管理職の第 2 番目の優先事項であることが分かっています。

内部監査は、既存のリスクを個別に評価し、監査委員会と役員会がリスクを把握して対処できるようにすることで、サイバー脅威を管理しています。 Deloitte によると、多数の組織が第 3 のサイバー ディフェンス ライン（内部監査部門によって実施されるセキュリティ対策とパフォーマンスの独立したレビュー ）の必要性を認識しています。

サイバーセキュリティは、セキュリティ部門や IT 部門だけが責任を負うべきものではなく、すべての業務領域に影響し、かかわるものです。 従来の縦割りのアプローチでは、各部門が別々にリスクを扱います。 サイバーリスクを全社で共同して調査するための共通の用語や枠組みがありませんでした。 リスクにフォーカスすることで、こうした分断が解消されるとともに、ビジネス プロセスの所有者が調査結果に優先順位を付けて、調査結果に対してアクションを実行できるようになります。

このように注目が高まっていますが、監査能力調査において内部監査リーダーの半数のみが、自身のグループでサイバーリスク評価を実施していることを示しています。 実施したグループのうち 4 分の 3 が、実施した評価に基づいてサイバー監査計画を作成しています。

包括的なサイバーリスク評価を実施することで、内部監査部門は、客観的な評価と調査結果を監査委員会と役員会に提供できると共に、その調査結果を使って、サイバーリスクを含む広範な内部監査計画を作成できるようになります。

また、サイバーリスク評価を構造化して、 サイバーリスクのギャップのリストを生成したり、短期および長期の改善活動のロードマップを組織に提供したりすることができます。

サイバーリスク評価の手順

監査人がサイバーリスク評価を実施する上で講じる 8 つの手順は次のとおりです。

1. システムの特性を説明する（プロセス、機能、用途）

この手順では次の質問に回答します。 どういったシステムが関連しているか? どのようなデータが使用されていますか。 どのようなベンダーがシステムに関連し、データを使用しているか? 情報はどこに向かい、データ フローはどのようなものか?

2. 脅威を特定する

脅威は組織によって異なりますが、一般的な脅威は次のとおりです。

• 不正アクセス (例: 従業員が機密データに、害を及ぼそうとして、または閲覧権限がないのにもかかわらずアクセスする)
• 特権のあるユーザーによる情報の誤用 (例: 極秘/機密、または競争力の高い情報/データにアクセスするといった、従業員による悪意のある情報の使用)
• サービスの停止(例: 事業活動の中断、サービスの機能不全、ISP の停止、サーバーの停止)
• データ損失 (例: バックアップ プロセスの失敗、またはファイルの意図的削除).

3. 固有のリスクと影響度を判定する

検出した各脅威に「低」、「中」、「高」の標準的なリスク/影響度の評価を適用します （お使いの統制環境を考慮しないでください。また、リスクが発生した際の “what-if” シナリオを特定しないでください）。 効率的なサイバーセキュリティ メトリクスの選択の詳細をご覧ください。

4. 統制環境を分析する

脅威の防止、軽減、検出の統制（例：ユーザーのプロビジョニング、管理、データ センター セキュリティ、事業継続性の統制）と、統制と特定された脅威との関係を識別します。

5. 発生可能性の評価を決定する

脅威を特定し、リスク/影響度を決定しました。次は各脅威が発生する可能性はどの程度かを決定します。 統制環境において、組織内で実際に発生した特定の悪用またはリスクの発生可能性を評価します（「低」、「中」、「高」の評価を使用すること）。

6. リスク評価を計算する

リスク評価の式は、「（悪用された場合の）影響度* （統制環境における悪用の）発生可能性」と、非常にシンプルです。 「低」、「高」、「重大」のスコアリング システムを使用することで、各リスク評価スコアのレベルを決定できます。これは次のステップです​。

7. リスクに優先順位を付ける

任意のリスク評価/スコアリング システムを使って、重要度順でリスクに優先順位を付けることができます。

8. 結果をリスク評価レポートに文書化する

予算、ポリシー、手続きに関する意思決定で管理をサポートするリスク評価レポートを生成します。

サイバーセキュリティに対する準備は継続的なプロセスです。 上述の 8 つの手順を完了したら、リスクを継続的に改善し、再評価するのが次の手順です。 サイバーリスク評価を受けて、手続きを変更したり、新しいプロセスを導入したりする場合は、その有効性を評価し、引き続きその有効性に対してプログラム全体を評価します。