クライアントの課題・背景
物流大手の子会社のシステム開発E社では、大手監査法人によって情報セキュリティ対策状況の評価と改善ロードマップの提案が実施された。
しかし、グループ全体にわたる統制や最新のサイバー脅威への対応、法的リスクや説明責任の体制整備に対して、より深い分析と具体的な対策が求められていた。
グループは国内外に多くの拠点を持ち、特にテレワークや海外委託先を含む多様な業務形態に対して、統一的かつ実効的なセキュリティ対策の再構築が急務となっていた。
当社の関わり方・提供したサービス
当社はセカンドオピニオンの立場で、大手監査法人が実施した調査と評価結果に対し、以下のステップで関与した
- 大手監査法人による評価プロセス・評価項目の妥当性検証(ISO/IEC 27001、NIST CSF等に基づく)
- 最新の脅威に照らした再評価(ランサムウェア、テレワーク環境の脆弱性、ECサイト改ざんなど)
- 法的リスク対応体制(システム開発責任、オフショア開発におけるカントリーリスク)の評価
- 平時・有事を通じた説明責任の体制強化案の提示
- 上記に基づく改善項目の優先度設定と実施ロードマップの提案
インシデント対応における説明責任
成果・導入効果
- 大手監査法人案と比較し、より実効的なリスク低減を実現する追加対策を策定
- Active Directory統合・特権ID管理強化、脆弱性管理の徹底、グループ全体の監視体制整備
- 法務部門と連携した有事対応体制や、委託先リスク管理の強化
- インシデント発生時における経営陣の統制と利害関係者への説明責任対応力の向上
クライアントのコメント
「単に“評価を受けただけ”で終わらせず、自社に合った実効性ある対策に落とし込むことができた。特に経営陣としての説明責任のあり方について、明確な指針が得られたことが大きかった。」
担当者視点のこだわり・工夫
大手監査法人の網羅的なフレームワークに対し、当社では“実際に起こり得る攻撃シナリオ”を起点としたリアルな再評価を実施した。特に、業務委託の法的リスクや海外拠点におけるカントリーリスクなど、定性的で見落とされがちなリスク要素にまで踏み込んでアセスメントを行った。
業界や企業規模の特徴への適応
物流業を主軸とする多拠点・多事業のグループ企業という特性に合わせ、拠点ごとの管理強化だけでなく、全体最適としてのセキュリティガバナンス体制構築を重視。また、海外拠点のセキュリティレベルを底上げするためのステップ設計も盛り込んだ。
未来視点・読者へのメッセージ
セキュリティ対策は「導入して終わり」ではなく、常に変化する脅威にあわせて“再評価し、進化させる”姿勢が求められます。説明責任を果たすための備えは、平時から始まっています。
RELATION
その他の事例
CONTACT
万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します
ご不明な点はお気軽に
お問い合わせください
