お知らせ お知らせ
週刊東洋経済 最新号を読む(5/2・9日号)
東洋経済オンラインとは

多様化するサイバー攻撃の脅威に対応する
サービスをワンストップで提供 KPMGジャパン

  • 制作:東洋経済企画広告制作チーム
サイバー攻撃・犯罪などに関するニュースを目にすることが増えている。外部からの脅威が増している一方で、何から取り組めばいいのかと悩む企業も多いだろう。相談相手として頼もしいのがKPMGジャパンだ。Big4の中ではいち早くサイバーセキュリティアドバイザリーサービスに力を入れており、現状評価から改善、インシデント対応までワンストップで提供できる体制を構築している。さらに、クロスボーダーでサービスを提供し、グローバル企業のニーズにも応えることができる。

「サイバーセキュリティアドバイザリーチーム」が支援

サイバーセキュリティアドバイザリーグループ パートナー 田口 篤

KPMGジャパンが「サイバーセキュリティアドバイザリーチーム」を立ち上げたのは2013年10月のことである。その狙いについて、KPMGコンサルティング サイバーセキュリティアドバイザリーグループの田口篤氏は次のように説明する。

「KPMGジャパンでは1998年からグループ各社が、それぞれの強みに応じたセキュリティサービスを提供してきましたが、サイバーセキュリティに対するニーズが高まる中で、これらにワンストップで対応するために、横断的なチームを立ち上げました」

ここ数年、ハッキング技術などを駆使して、企業や政府のシステムに攻撃を仕掛けたり、機密情報を盗んだりするサイバー攻撃が大きな問題になりつつあるが、KPMGジャパンは早期からその動向に対応するサービスを提供してきたわけだ。KPMG FAS サイバーセキュリティアドバイザリーグループの伊藤益光氏は長年、サイバー・フォレンジック(不正や犯罪の証拠保全・収集)の分野の第一人者としてこの分野に携わってきた。

「情報セキュリティの脅威も時代により変化しています。早期のハッキングなどのいたずらや腕試し的なものから、最近では、テロ組織や国ぐるみの犯罪、また、ハクティビスト(社会的・政治的な主張を目的にハッキング活動を行う者)なども増えています。さらに、いずれも技術が高度化しているのが大きな特徴です」

企業にも、これらの進化するサイバー攻撃への対応が求められていると言える。

各社固有のリスクシナリオの作成と対策が重要に

サイバー攻撃や犯罪への対策は、どの企業にとっても他人事とは言えない時代になっている。田口氏は「さらに2015年は国内外で、個人情報保護に関して、企業がその対応を求められる機会が増えると考えられます」と話す。たとえば、国内では、マイナンバー制度や個人情報保護法の改正が予定されている。海外を見れば、欧州連合(EU)ではEUデータ保護規則が審議されている。EU域外へのデータ持ち出しが従来よりも強く規制されるほか、規則を破った場合の罰金などが定められている。伊藤氏は「罰金の額は、その企業のグローバルでの売り上げの5%とされるなど、巨額になっています。経営に大きなインパクトを与えるだけに、事前の対策が必須になります」と語る。 

 

サイバーセキュリティアドバイザリーグループ 執行役員 パートナー 伊藤 益光

と言っても、企業にとっては何から始めるべきか、どこから手を付けるべきか悩むところだろう。田口氏は「セキュリティについて、企業も2000年代からなんらかの対応を行ってきています。ただし、これまではセキュリティ認証など、さまざまなガイドラインに準拠するといった対応が一般的でした。今後は、各社固有のリスクに対応する固有のリスクシナリオが必要になります」と話す。企業によって狙われる理由が異なるため、一様な対応では不備があるのだ。

伊藤氏はさらに「制御系のシステムやグループ会社のシステムなどが『現場任せ』になっている企業も多く、注意が必要です。対策の前提として、自社が狙われるとすれば、誰が、どこを、どのように狙うのか、自社が置かれている状況を分析することが重要です」と話す。

サイバーインテリジェンス化を
KPMGがグローバルでサポート

伊藤氏は「サイバー攻撃の技術は年々進化しています。これらのすべてを技術で防御するのは不可能です。大切なのは、インテリジェンス主導型の対策です。海外の事例などを含む脅威情報を日々収集するとともに、これらを自社のシステムやインシデント対応などに落とし込むというプロセスをPDCAで回していきます。暗号化などの技術だけでなく、人のミスなどにつけ込むソーシャルエンジニアリングを防ぐ社員の教育なども必要になります」と指摘する。

これらに対応できる組織体制や専門スタッフを一企業が確保することは容易ではないが、KPMGの力を借りることで、それが実現する。KPMGは世界で1000人以上のサイバーセキュリティの専門家を有しており、各国のスペシャリストと連携することで、ニーズにきめ細かく対応する。専門家の中には、高度なスキルを持つ「エシカル・ハッカー(倫理観と道徳心、高い技術を持つハッカー)」出身者も存在するという。

これらの専門家を中心に、KPMGでは現在、最先端のセキュリティ情報の収集、分析を行う研究機関(CoE:センター・オブ・エクセレンス)を英国、ドイツ、米国に設置している。CoEは今後、マレーシアと日本にも設置される予定だという。これらが連携することによって最新動向がつねにサービスの現場にフィードバックされるわけだ。このほか、最新のサイバーセキュリティについて学ぶことができる『サイバーアカデミー』やサイバーセキュリティに関する先進的な企業を集めたセキュリティフォーラム(I-4)なども定期的に行っており、参加企業から好評だ。

「欧米にはCISO(Chief Information Security Officer)などの専門家を置く企業が増えていますが、日本企業はまだ例が多くありません。日本企業のサイバーインテリジェンス機能向上をお手伝いしたい」と伊藤氏は話す。

田口氏は「どこから始めればいいかわからないという企業も、ぜひご相談ください」と結んだ。