多様化するサイバー攻撃の脅威に対応する
サービスをワンストップで提供
KPMGジャパン
と言っても、企業にとっては何から始めるべきか、どこから手を付けるべきか悩むところだろう。田口氏は「セキュリティについて、企業も2000年代からなんらかの対応を行ってきています。ただし、これまではセキュリティ認証など、さまざまなガイドラインに準拠するといった対応が一般的でした。今後は、各社固有のリスクに対応する固有のリスクシナリオが必要になります」と話す。企業によって狙われる理由が異なるため、一様な対応では不備があるのだ。
伊藤氏はさらに「制御系のシステムやグループ会社のシステムなどが『現場任せ』になっている企業も多く、注意が必要です。対策の前提として、自社が狙われるとすれば、誰が、どこを、どのように狙うのか、自社が置かれている状況を分析することが重要です」と話す。
サイバーインテリジェンス化を
KPMGがグローバルでサポート
伊藤氏は「サイバー攻撃の技術は年々進化しています。これらのすべてを技術で防御するのは不可能です。大切なのは、インテリジェンス主導型の対策です。海外の事例などを含む脅威情報を日々収集するとともに、これらを自社のシステムやインシデント対応などに落とし込むというプロセスをPDCAで回していきます。暗号化などの技術だけでなく、人のミスなどにつけ込むソーシャルエンジニアリングを防ぐ社員の教育なども必要になります」と指摘する。
これらに対応できる組織体制や専門スタッフを一企業が確保することは容易ではないが、KPMGの力を借りることで、それが実現する。KPMGは世界で1000人以上のサイバーセキュリティの専門家を有しており、各国のスペシャリストと連携することで、ニーズにきめ細かく対応する。専門家の中には、高度なスキルを持つ「エシカル・ハッカー(倫理観と道徳心、高い技術を持つハッカー)」出身者も存在するという。
これらの専門家を中心に、KPMGでは現在、最先端のセキュリティ情報の収集、分析を行う研究機関(CoE:センター・オブ・エクセレンス)を英国、ドイツ、米国に設置している。CoEは今後、マレーシアと日本にも設置される予定だという。これらが連携することによって最新動向がつねにサービスの現場にフィードバックされるわけだ。このほか、最新のサイバーセキュリティについて学ぶことができる『サイバーアカデミー』やサイバーセキュリティに関する先進的な企業を集めたセキュリティフォーラム(I-4)なども定期的に行っており、参加企業から好評だ。
「欧米にはCISO(Chief Information Security Officer)などの専門家を置く企業が増えていますが、日本企業はまだ例が多くありません。日本企業のサイバーインテリジェンス機能向上をお手伝いしたい」と伊藤氏は話す。
田口氏は「どこから始めればいいかわからないという企業も、ぜひご相談ください」と結んだ。
