Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サステナビリティ開示とサイバーセキュリティ~いまから考えるべきこと~

HARA, Kan
May 22, 2023

 サステナビリティ開示とサイバーセキュリティ~いまから考えるべきこと~

ESG投資が世界的に拡大するなか、我が国でも公開企業におけるサステナビリティ関連の開示が2023年から本格的に進む。具体的には、財務情報に加えてガバナンス・リスク管理・人的資本・多様性など、より広い情報開示が求められる。このような動きのなか、特にリスク管理領域においては日々高まるサイバーセキュリティリスクへの対応が企業にとって喫緊の課題であり、企業が持続可能なITインフラを維持提供する能力を有するかどうかが、市場参加者の評価基準にもなりつつある。
企業全体として、またオペレーションの現場ではどのような点に留意してサイバーセキュリティリスクに取り組むべきか?本講演では「サステナビリティ関連開示の最新動向」や「我が国上場企業各社のサイバーセキュリティリスクへの取組み」について解説するとともに、経営視点・現場視点での今後の方向性について概観する。

HARA, Kan

May 22, 2023
Tweet

More Decks by HARA, Kan

Other Decks in Business

Transcript

  1. 登壇者紹介 原 幹 (HARA , Kan) 1992年 井上斉藤英和監査法人 1998年 フューチャーシステムコンサルティング

    2001年 ウルシステムズ 2004年 エヌ・ティ・ティ・データ システムデザイン 2007年 独立開業 原幹公認会計士事務所 代表 2007.04- 現任 株式会社クレタ・アソシエイツ 代表取締役 2007.05- 現任 フリー株式会社 社外監査役 2013.10-2021.09 アガサ株式会社 社外監査役 2019.12- 現任 株式会社あしたのチーム 社外監査役 2020.03- 現任 • 常に実践的な課題解決を展開し、多くのプロジェクトにて高い顧客満足度を得る • 会計およびIT領域での豊富な経験を有し、主要な技術要素やコンサルティングメソッドにも精通 • 「経営に貢献するITとは?」という一貫した視点をベースにキャリアを形成、翻訳書およびメディアでの連載実績多数 • 専門領域 コーポレートガバナンス・内部統制・ITマネジメント・クラウドセキュリティ • 公認会計士/公認情報システム監査人(CISA)/公認不正検査士(CFE)/Certificate of Cloud Security Knowledge (CCSK) 2
  2. サステナビリティ関連開示の仕組み  非財務情報の存在感  企業が保有する財産のうち、無形資産(ソフトウェア/特許/ 顧客データ/ブランドなど)の占める割合が高まる  従来の財務情報の開示のみでは企業価値を十分に説明できない との問題意識から、非財務情報の開示が必要という議論が進む 

    サステナビリティへの関心の高まり  ESG(環境・社会・ガバナンス)投資の急拡大  CSRの注目からESG重視の風潮が広まる  ESG格付け・ESG投資の定着  サステナビリティ開示のはじまり  2000年以降、多くの情報開示フレームワークが提案される  2020年 複数団体による共同レポート 「企業価値の報告-気候関連財務報告基準プロトタイプ」を公表 5
  3. サステナビリティ関連開示の最新動向  欧州  非財務情報開示指令(NFRD)を採択し、EU加盟各国内での 法制化を完了  2021年4月 企業サステナビリティ報告指令(CSRD)を提案 

    2028年の会計年度より情報開示を義務化する  米国  2020年11月より年次報告書(Form 10-K)への開示が始まる  気候関連リスクの開示規則を2023年に導入予定 6
  4. サステナビリティ関連開示の最新動向  日本  2021年6月 コーポレート・ガバナンス・コード改訂  TCFD提言をもとに気候関連情報の開示ルールを導入  2022年6月

    金融審議会ディスクロージャーWG  サステナビリティに関する有価証券報告書等における開示のあり方を提言  2023年1月 企業内容等の開示関する内閣府令の改正  サステナビリティに関する企業の取組の開示をとりまとめ  2023年3月31日以後に終了する事業年度に開示する有価証券報告書上で 「サステナビリティに関する考え方及び取組」欄の記載が義務化される 7
  5. 投資家・アナリストの期待  投資家・アナリストが期待する主な開示ポイント  顧客と競合に関する具体的な開示  非財務情報について、過去からの変化を理由とともに比較して開示  キャッシュの原資と使途について、優先順位を示しながら開示 

    長期ビジョンからのドリルダウンによる記載  非財務情報について、財務情報との関連性を示す  株主還元の立場から、TSR(*)について継続的に開示する  注目される主な開示ポイント(事業等のリスク)  リスクの見直しを継続的に行うこと  見直しの体制やプロセス、変更されたリスクがわかるような記載 及び変更となった理由が示されること  リスク及びその対応策を明確に開示すること  影響度の大きさに優先順位をつけて開示すること 13 (*)TSR: Total Shareholders’ Return(株主総利回り) =投資収益(配当+キャピタルゲイン)/投資額(株価)
  6. なぜサイバーセキュリティリスクに注目するのか  過去20年にわたり、業務システムのクラウドへの実装が促進した  クラウドでの事業基盤の特性  リスクの継続的見直しが必須である  リスク及びその対応策を明確に開示すること 

    影響度の大きさに優先順位をつけて開示すること  クラウド環境での安定的なシステム運用への要求水準が高まる  「事業基盤の安定した維持管理」が事業価値の向上に直結する  機関投資家・格付け機関もサステナビリティの評価項目として サイバーセキュリティを重視している  MSCI  S&P Global Corporate Sustainability Assessment(CSA)  Sustainalytics 14
  7. なぜサイバーセキュリティリスクに注目するのか 16 評価スコープ 評価項目 IT Security/Cybersecurity Governance • Board Responsibility

    • Executive Management Responsibility IT Security/ Cybersecurity Measures • An information security/cybersecurity policy is internally avail able to all employees • Information security/cybersecurity awareness training • A clear escalation process which employees can follow in the event an employee notices something suspicious is in place • Information security/cybersecurity is part of the employee pe rformance evaluation IT Security/ Cybersecurity Process & Infrastructure • Incident response • Certification • External verification and Vulnerability Analysis • Breaches  S&P Corporate Sustainability Assessment の評価項目 出典: S&P CSA Handbook https://portal.csa.spglobal.com/survey/documents/CSA_Handbook.pdf
  8. なぜサイバーセキュリティリスクに注目するのか  リスクマネジメントのフレームワーク  ENISA(European Union Agency For Cybersecurity) 18

    出典: The Risk Management Process https://www.enisa.europa.eu/topics/risk-management/current-risk/risk-management-inventory/rm-process/rm-process
  9. なぜサイバーセキュリティリスクに注目するのか  クラウドセキュリティの信頼度を「見える化」する  CSA(Cloud Security Alliance)  STAR(Security, Trust

    & Assurance Registry) Certification 19 出典: CSAの認証制度:STAR認証について https://cloudsecurityalliance.jp/newblog/2021/10/07/csaの認証制度について/
  10. エネルギー効率  サイバーセキュリティの設計と運用はエネルギー効率に大き な影響を与える  セキュリティシステムの設計において、パワフルなコンピュー タやネットワーク機器の使用を最小限に抑え、省エネルギー機 能を備えた機器の使用を促進する  現場視点における対応テーマ(省エネルギー機器の採用)

     Energy Star認証  省エネルギーに優れた製品に対して与えられる認証  スリープモードや電源管理機能を備え、消費電力を抑えることができるコンピュータは 認証を受けられる  LED照明  従来の白熱電球に比べ、LED照明は消費電力が少なく寿命が長いため、省エネルギーに 優れる  ソーラーパネル  太陽光を電力に変換する装置の利用による環境への配慮を実現する 25
  11. 環境への影響  サイバーセキュリティにおけるデータ保護やプライバシーの 考慮は環境に影響を与える  クラウドコンピューティングによるデータストレージは 物理的なデータセンターの必要性によって、大量のエネルギー を消費する  現場視点における対応テーマ

     大量エネルギーの使用効率を把握、比較する  PUE(Power Usage Effectiveness) =設備全体の電力消費量 / ICT機器の電力消費量  DCiE(Data Center Infrastructure Efficiency) =有効作業量 / エネルギー総消費量 ※PUEの逆数  CSCとして適切にCSPを評価する  エネルギー消費動向比較 26
  12. 社会への影響  適切なアクセス制御  情報にアクセスできる人を制限し、必要最小限の権限を持つユーザーにのみアク セスを許可することで、情報漏洩を防ぐ  ロールベースのアクセス制御、多要素認証(MFA)など  機密情報の暗号化

     情報漏洩が発生しても漏洩された情報を読み取ることを困難にする  データベースやファイルの暗号化など  セキュリティパッチの適用  システムやソフトウェアの脆弱性を修正するセキュリティパッチを定期的に適用 することで、悪意のある攻撃者による情報漏洩を防ぐ  ネットワークセグメンテーション  ネットワークを複数のセグメントに分割し、セグメント間の通信を制限すること で、情報漏洩の範囲を限定する  社内教育と訓練  社内の従業員に対してサイバーセキュリティに関する教育や訓練を行い、情報漏 洩のリスクや対策についての意識を高める  フィッシング対策のトレーニングやセキュリティポリシーの啓蒙活動など 29
  13. 社会への影響  主な情報漏洩事案(2022年) 30 法人・団体名 件数・人数 漏洩原因 漏洩内容 株式会社ワコム 14万7,545名

    不正アクセス 運営する「ワコムストア」に不正 アクセスが発生、最大14万7,545 名の個人情報が流出した可能性 株式会社ニトリホールディングス 約13万2,000 アカウント 不正アクセス 2022年9月20日、同社が顧客向 けに展開しているスマートフォン アプリ「ニトリアプリ」の認証プ ログラムに対する不正アクセスが 発生したと明らかにした 株式会社ディスコ 最大29万8,826件 サイバー攻撃 2022年8月1日、同社が2022年5 月20日付で公表した資格検定申込 サイト「キャリタス資格検定」に 対するサイバー攻撃について、 サービス利用者のメールアドレス 最大29万8,826件に流出懸念があ ると明らかにした 兵庫県尼崎市 個人情報46万517人分 USB紛失 住民税非課税世帯に対する臨時給 付金支給事業の受託事業者関係者 が、市から持ち出した全市民約46 万人等が記録されたUSBメモリを 外部に持ち出し、立ち寄った飲食 店で酒に酔って紛失したと明らか にした 出典: 個人情報漏洩事件・被害事例一覧 https://cybersecurity-jp.com/leakage-of-personal-information#2022%E5%B9%B4
  14. サプライチェーンへの影響  サプライヤーの評価と監視  サプライヤーの情報セキュリティポリシーやセキュリティ管理体制を評価する  サプライヤーが変更を行った場合や問題が発生した場合は、定期的に監視する  セキュリティ要件の明確化 

    サプライヤーとの契約においてセキュリティ要件を明確にする  情報セキュリティの基準や、サプライヤーが提供する製品やサービスにおけるセ キュリティに関する要件を定める  バックアッププランの策定  サプライヤーがシステムのダウンタイムやデータ損失を引き起こした場合に備え 、自社のバックアッププランを策定する  セキュリティイベントの通知  サプライヤーがセキュリティインシデントを経験した場合、自社に迅速かつ正確 に通知する  トレーニングと啓発  サプライヤーとのコミュニケーションに重点を置くことで、情報セキュリティの リスクに対する意識を高める  サプライヤー従業員が情報セキュリティに関するトレーニングを受けることを奨 励する 33
  15. セキュリティ対策まとめ 34 日々の業務で意識すること 現場視点における対応テーマ エネルギー効率 • Energy Star認証 • LED照明

    • ソーラーパネル 環境への影響 • 大量エネルギーの使用効率を把握、比較する • CSCとして適切にCSPを評価する • エネルギー消費動向比較 社会への影響 • 適切なアクセス制御 • 機密情報の暗号化 • セキュリティパッチの適用 • ネットワークセグメンテーション • 社内教育と訓練 サプライチェーンへの影響 • サプライヤーの評価と監視 • セキュリティ要件の明確化 • バックアッププランの策定 • セキュリティイベントの通知 • トレーニングと啓発
  16. サイバーセキュリティの今後 36 リスク項目 内容 悪用されたAI • AIを利用した攻撃者の出現 • 攻撃の高度化や迅速化が可能になる •

    AIを搭載したマルウェアやフィッシング攻撃の増加 偽造や改竄 • ディープフェイク技術を利用した顔や音声の偽造 • 個人の信頼性低下やプライバシー侵害の発生 • 詐欺やデマの拡散 予測不可能性 • AIの結果や挙動が予測不可能になる可能性 • セキュリティ上の脆弱性やバグの発見が困難になる • 意図しないバイアスや差別的な結果を生み出す可能性 プライバシー侵害 • データの収集・解析段階での個人情報の漏洩や悪用 • 顔認識や行動解析などの個人特定に関わる技術とAIが 組み合わされることでプライバシーリスクが高まる  AIの進化による新たなリスク
  17. サイバーセキュリティの今後  「ITが人間の仕事を増やす」から「AIを正しく働かせる」へ 38 Process Process Process Process Process Process

    Data Document Data Data Data これまでのIT: ITが人間に余計な仕事をさせてきた? これからのIT: 人間がIT(AI)を正しく働く環境を整える Process Process Process Process Process Process Data Document Data Data Data
  18.  Web  https://harakancpa.com/  ブログ  https://harakancpa.com/blog/  Twitter

     https://twitter.com/harakancpa  LinkedIn  https://www.linkedin.com/in/harakan/  Speaker Deck  https://speakerdeck.com/kan65535  本資料における会社名・製品名・サービス名・ロゴ等は、それぞれ各社の商標または登録商標です。  本資料に掲載されている全ての画像・文章・情報等は著作権により保護されています。  本資料の一部または全部を無断で転載、または複製など、他の目的に使用することを固くお断りいたします。  第三者への提供、インターネットでのアップロード、SNSなどでの共有等もご遠慮ください。 Contact us 41