[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(2)監査法人がサイバーリスクに取り組む理由

「4大会計事務所」のひとつとして、監査法人としてその名を知られるデロイト トーマツ グループは、国毎にサイバーセキュリティチームを擁し、SOC 運営やマルウェア解析、C&C サーバ調査まで行い、かつ国際間で情報共有と連携を積極的に行っている。Forbes誌のリストに載るグローバル企業の多くを顧客に持ち、世界150か国にメンバーファームを持つことを考えると、大手セキュリティベンダを超える情報収集力を持つことは疑いない。

8月に米ラスベガスで開催された Black Hat USA 2014 に集結した、デロイト トーマツ グループの、海外及び日本のサイバーセキュリティチームに取材し、共通点や、国別に異なる個性を明らかにする本稿後編では、東京のサイバーセキュリティチームに属する、デロイト トーマツ サイバーセキュリティ先端研究所の白濱直哉氏と岩井博樹氏に話を聞いた。



――改めて、トーマツがサイバーリスクに取り組む理由と役割を教えて下さい。

白濱氏
好奇心や愉快犯による犯行から、機密情報や金銭を目的としたサイバー犯罪が増えたことで経営者の意識が明確に変わりました。経営陣がサイバー攻撃を経営リスクのひとつとして認識するようになったのです。企業の経営層と関係の深い弊社では、15年ほど前から、サイバーリスクを事業継続に関わる問題として、グローバル全体で各国に専門部署を立ち上げて取り組むようになりました。

アメリカの大手企業ではサイバーリスクに関する情報開示が非常に進んでいます。投資家がセキュリティ投資や、社内のセキュリティ体制の状況を投資判断の材料とするためで、日本でもいずれそうなると考えています。


―― KPMG や PwC などの大手監査法人がここ数年の間に同様のサイバーリスク対応部署や事業を立ち上げていますが、デロイト トーマツの特長はどこにありますか。

白濱氏
研究所のテーマのひとつでもありますが、マネジメントとテクニカルの両方に高いスキルを持ち、両者を融合させたコンサルティングを提供できることです。昨今のサイバー攻撃に対応するには、この両者のバランスがとれていないと実効性のある対応は行えないと考えています。日本のサイバーリスクサービスのメンバーは現在60名弱体制ですが、管理やコンプライアンスのチームと、技術チームがちょうど半分ずつの人数に分かれています。大手のITセキュリティ企業と比べると多い人数ではありませんが、監査法人の部隊としては一定の規模だと思います。

――逆にたとえ大規模でもドメスティックなIT企業にはないメリットして、世界各国のデロイトとの連携や情報共有がありますね。

岩井氏
日本のサイバーセキュリティチームにはまだ SOC はありませんが、グローバルのデロイトの SOC は、たとえば犯罪組織が運営する C&C サーバに侵入して情報を集めるような調査能力を持っています。不正アクセスの定義は各国の法律によって異なっており、日本では不正アクセスになることでも他国ではそうではなく、グローバルで活動している我々は日本では得られない知見を収集し調査研究ができます。昨晩は、Black Hat に集まった世界のデロイト トーマツ のサイバーチームが集まってパーティを開きましたし、そうした密な意見交換といった協力関係が強さにもつながっています。

ただし、最近の傾向として、海外とインテリジェンス共有できない事案も増えてきています。たとえばソフトウェアのアップデート機能を悪用した攻撃は、一部の国だけでしか観測されておらず、標的型攻撃が増えることで、この傾向は加速するかもしれません。グローバルにつながる必要はありますが、各地域の知見蓄積はいままで以上に重要になっていくでしょう。

――デロイト アルゼンチン サイバーセキュリティチーム ディレクター Luciano Martins 氏は、組織作りの秘訣として情熱という言葉を何度も挙げていました。日本のチームが大事にしていることはありますか。

白濱氏
セキュリティ技術者とコンサルタントとしてのバランス感覚と、新しいことや知らないことに対する興味です。ITやセキュリティの世界は変化が非常に早く、興味をもって取り組まないとどんどん遅れていきます。パッションという言葉はいいなと思っています。トップを走りたいなら、こういう国際会議にも積極的に参加してネットワーキングしていくことも大事ですね。

岩井氏
興味を持つためには、何が面白いのかがわかる、知識と経験も不可欠です。私が話をしたアルゼンチンチームのメンバーは、コンピュータゲームデザインを専門としていたと聞きました。土台となる基礎があってはじめて、面白いと思えるのだと思います。

――日本のサイバーセキュリティチームの抱負を聞かせて下さい。

白濱氏
グローバルで見ると、企業のサイバーセキュリティを監査法人が牽引しているケースを多く見かけます。トーマツは日本では会計監査のイメージが強いですが、グローバルでは総合コンサルファームとして認識されています。我々も、情報システム部門の危機感を経営者に伝える橋渡しをしたり、経営の観点から脅威を評価しそれを防ぐためのセキュリティ投資の可否判断を支援したりといった、サイバーセキュリティ対策を牽引していける組織となれるよう取り組んでいきたいと考えています。トーマツグループは幅広い専門性をさまざまな社会課題解決にいかすことで、事業を通じて我が国の持続的な発展に寄与したいと考えており、我々のチームもその信念に基づいて活動しています。私達が支援できることがあればお気軽にご相談いただければと思います。

――ありがとうございました。

2014年 9月11日
参照ScanNetSecurity

デロイトトーマツコンサルティング

Deloitte Touche Tohmatsu(世界150カ国に20万人以上のプロフェッショナルを抱える)のメンバーファームで、監査法人トーマツ(最大級の会計事務所)、DTC-FAS(財務アドバイザリー)とも連携し、あらゆるサービスラインで、かつ、クロスボーダー案件にも対応可能。中京(名古屋)・関西(大阪)・西日本(福岡)にも拠点有り。

デロイトトーマツコンサルティングについて

IT業界、コンサルティング業界の最新ニュースをお伝えします。最先端の業界で何がどう動いているのかをWatchすることで、広くビジネス界全体の今後の動きを展望することができるはずです。

ニュース検索はこちらから 


無料転職相談・登録はこちらから

初めての方へ

INTERVIEWインタビュー



SEMINARセミナー情報

他セミナー情報一覧

FIRMファーム・企業特集

アクセンチュアの中でも特に積極採用を行っている各領域ポジション

DTC積極採用中!未経験からコンサルへ!

世界最大級ファーム「PwCコンサルティング」各ポジションの求人案件掲載中!

KPMGコンサルティングで積極採用中!各ポジションの求人案件掲載中!

過去最高益を記録した、東証一部大手ITコンサルティングファーム

おすすめ求人

業務プロセスコンサルタント:大手総合外資系コンサルティングファーム

もっとも知名度の高い大手総合外資系コンサルティングファームの一つ

SCM領域に対して、戦略の策定から業務改革やプロセスの再構築、組織変革、ITの導入・定着といったコンサルティングサービスを提供します。

詳細はこちらから

ITコンサルタント:最大のSI会社を母体とするシンクタンクにてIT戦略策定

日本最大のSI会社を母体とするシンクタンク。戦略立案、新規事業戦略、IT戦略等のコンサルを中心に展開しています。

一般企業、金融機関、行政機関全般における、IT戦略、CIO支援に関連するコンサルティング業務

詳細はこちらから

転職サービスはすべて無料となっております。ムービンではお一人お一人に
合わせた転職支援、そしてご自身では気づかれないキャリアの可能性や、
転職のアドバイス、最新の情報をご提供致します。
キャリアチェンジをお考えの方はぜひ一度我々にご相談ください。

無料転職相談・登録はこちらから

無料転職相談・登録はこちらから

転職サービスはすべて無料となっております。
ムービンではお一人お一人に合わせた転職支援、
そしてご自身では気づかれないキャリアの可能性、
転職のアドバイス、最新の情報をご提供致します。
ぜひ一度我々にご相談ください。

無料転職相談・登録はこちらから

ITコンサルタントになるには

ITコンサルタントとして求められる基礎能力・資質 - 求められる人材像とは

皆様からよく頂くご質問

弊社にご登録いただき、ご面談した方からよく頂くご質問をまとめてみました。

初めての方へ

ムービンのことや、弊社サイト活用法などをご紹介致します。

未経験からITコンサルタントへの転職 その対策方法とは?

未経験からITコンサル転職を目指している方へ、その転職方法と積極採用中の求人をご紹介いたします。

ページトップへ

お問い合わせ、ご相談はこちらから。すべて無料となっております。

Copyright (c) movin CO .,Ltd. All rights reserved.



未経験からコンサル転職

初めての方へ

無料転職相談・登録