組織が保管する財務データは、多くの場合、重要かつ機密性が高いため、サイバー犯罪者の標的となることがよくあります。こうしたデータの盗難や漏洩は、特に上場企業にとって、商取引やその他の取引に容易に悪影響を及ぼす可能性があります。調査機関であるデロイト・コントローラーシップ・センターが水曜日に発表した報告書は、こうしたタイプのサイバーセキュリティ攻撃が増加するとの見通しを明らかにしています。
このレポートのために、デロイトは2022年10月26日のウェブキャストで、経営幹部レベルおよびその他の経営幹部1,100名以上を対象に調査を実施しました。参加者には、組織の財務および会計データを標的とした攻撃について質問されました。
ジャンプ先:
- 特に標的となる財務およびアカウントデータ
- サイバーセキュリティグループと財務グループの連携
- 金融データを攻撃から守る方法
特に標的となる財務およびアカウントデータ
調査対象者の34%が、過去1年間にサイバー犯罪者から会計情報や財務情報が特に標的にされたと回答しました。そのうち22%は1回の攻撃を受け、12%は複数回の攻撃を受けたと回答しました。
今後の見通しについて、調査対象となった経営幹部のほぼ半数(49%)は、この種のデータを標的としたサイバー攻撃の量と規模が今後1年間で増加すると予想しています。約22%は変化なしと回答し、攻撃が減少すると予想する回答はわずか3%でした。
サイバーセキュリティグループと財務グループの連携
財務・会計データはサイバー犯罪者にとって非常に魅力的で利益率の高い標的であるため、組織のサイバーセキュリティ部門と財務部門の緊密な連携は当然のことと思われます。しかしながら、回答者のわずか20%が、自社の両部門が緊密かつ継続的に連携していると回答しました。42%は、組織内の両部門はある程度連携しており、必要に応じて連携しているものの、一貫性に欠けると回答しました。一方、11%は、両部門が全く連携していないと回答しました。
サイバーセキュリティと金融のより緊密な関係の重要性を認識し、調査対象者の39%は、今後12ヶ月間で両者の連携が強化されると予想しています。変化はないと回答した回答者は29%、両者の関係が弱まると回答した回答者はわずか3%でした。
「会計・財務データは組織運営の生命線であり、上場企業においては、厳しく規制された公開情報以外では機密扱いされることがしばしばあります」と、デロイトの財務変革担当リスク・財務アドバイザリープリンシパル、テマノ・シャーランド氏はプレスリリースで述べています。「かつては、会計、財務、サイバーの各チームが緊密に連携する必要はあまりなかったかもしれませんが、近年の状況はもはやそうではないことを示しています。私たちは、これらのチームが『互いの言語を学び合い』、サイロを超えた連携を強化することを強く推奨します。」
財務・会計データの盗難や漏洩は、組織に大きな影響を及ぼす可能性があります。この種のデータに対する潜在的なサイバー攻撃による財務的影響を特定するプロセスがあるかどうかを尋ねたところ、回答者の25%が「ある」と回答し、17%は「現在はないが今後12ヶ月以内に導入する予定」と回答し、20%は「そのようなプロセスを導入する予定はない」と回答しました。
金融データを攻撃から守る方法
財務データやアカウントデータを扱う組織が、この情報を侵害からより適切に保護できるよう、デロイトのサイバーおよび戦略リスク部門のリスクおよび財務アドバイザリープリンシパルである Daniel Soo 氏は、次のようなアドバイスを提供しています。
1. データを理解する
組織はまず、価値の高い財務または会計データについて深く理解することから始める必要があります。
2. セキュリティチームはビジネス部門と連携する必要がある
高価値の財務データが十分に理解または定義されていない場合、セキュリティ担当者は適切なビジネスグループと連携してこのプロセスを支援する必要があります。重要なのは、データがビジネスオペレーションにどのように貢献しているかを理解し、データの許容される使用方法と許容されない使用方法を判断することです。
3. システムにセキュリティを組み込む
データを保管する金融システムには、セキュリティを設計に組み込む必要があります。そのためには、適切なセキュリティを統合し、適切な制御を適用するには、セキュリティグループと他のビジネスチームとの緊密な連携が必要です。
「これにより、サイバーリスク管理のニーズとビジネスニーズのバランスを取り、日常業務の中断を最小限に抑えながら実行できるようになります」とスー氏は説明します。「実際、先進的な組織では、データセキュリティの取り組みに関するエンドユーザーの意見を募り、組織の変更管理を支援するとともに、セキュリティ技術とプロセスを活用して、データの自動化、拡張、セキュリティ確保を可能な限り効率的かつ効果的に実現しています。」
次に読む: 組織向けのセキュリティ意識向上とトレーニングのポリシーとデータ ガバナンスのチェックリスト (TechRepublic Premium)
