--具体策は。
岩井氏 トーマツは監査法人ですから、もともと経営層に関わっています。しかし、現場と経営層では意識の違いなどがあり、トップダウンではうまく機能しません。そこで、社内インシデント対応チーム(CSIRT)やセキュリティ担当者とDT-ARLCSの技術者、コンサルタントがやり取りして、上からの意識と下からの意識をうまくつなげる、意思疎通のお手伝いをします。
主任研究員 岩井博樹氏
ルール作りはもちろん、組織内CSIRTの構築支援もします。CSIRTは、トップに経営者を据えるケースが多いので、普段会うことのない経営者と現場のセキュリティ担当が一緒になりチームとして動きます。そのため意思疎通ができて溝が埋まります。CSIRTを軸にすることで、一気通貫の体制を作るアプローチができるわけです。もちろん、現場から飛び込みでインシデント対応の依頼が来る場合もあります。それが監査の顧客企業であることも多かったりします。
監査法人が手掛ける意味
--監査法人がなぜセキュリティの研究機関を設立するのかという疑問もあると思います。
白濱氏 以前、会計監査は紙で実施していました。それが今はICT、会計システムに置き換わっています。そこで、システムがちゃんと正しく機能しているか、内部統制がきっちりできているか、アクセスコントロールが適切かといったシステム監査も実施されるようになりました。
しかし最近では、社内システムであっても不正アクセスを受ける可能性が高くなりました。特にウェブアプリに移行しつつあることは大きな変化です。ウェブアプリは、攻撃方法がネットでいくらでも探せるので、好奇心のある人は実際に入力してみて、高い権限を奪ってデータベースの上書きまでできてしまうこともあるのです。そういったシステムの乗っ取りを不安視する会社が増えました。社内システムを守らないといけないという危機感を持っています。
その延長線上に会計システムがあります。ウイルス対策をしていても、社内の従業員が不正な操作をする可能性もあるので、会計システムにおけるセキュリティも意識しなければなりません。監査法人は業務全体に対してリスク、会計、いろいろなものをお手伝いする立ち位置にあるのです。