トーマツのシステムは米国が主導
--セキュリティではどのような対策を取っているのでしょう。
丸山氏 主にセキュリティ監査において社内のITにも関わっています。でもそれは言えません(笑)。
白濱氏 少なくとも、配布されているPCは強固なセキュリティ対策が施されています。Cドライブが書き込み禁止であったり、メールの情報も米国側でログを記録しています。というのも、ドメインやメールなどの社内サーバは米国側で管理していて、日本の担当者は触れないんです。グローバル側のガバナンスがかなり強固ですね。「デロイトアナリティクス」というシステムによって、明らかに怪しい操作はチェックしているのです。
岩井氏 意思決定に関わるようなことは、システムよりも実際に顔を合わせて決めることが多いですね。そういった部分は割と古いかも知れません。
--どういった資質をスタッフに求めますか。
丸山氏 技術だけでなく、マネジメントの能力が必要です。
白濱氏 スキルより興味が必要ですね。興味がないとついていけません。仕事だと思ってセキュリティをやっていると、どこかで破綻してしまいます。そうでなく、家でも普段からいろいろやるくらいの興味を持っていないと、常に進化する技術についていけませんし、24時間いつ何があるかわからないので対応も大変になります。一般的なシステムでもそうですが、セキュリティの場合は社長が記者会見を開いて謝るなど大きな問題に発展しやすいため、高い意識が求められます。
--最近では「対策疲れ」などの言葉も聞かれます。考え方をシンプルにするにはどうすれいいでしょう。
白濱氏 何をやりたいのかが明確でないままセキュリティ対策をしているケースが多いように感じています。また、セキュリティ事故の対応がきっかけだったりします。そうではなく、「何を守るか」というゴールを設定して、そのために何をいつまでにやっていくか、マイルストーンまでを整理して、セキュリティをプランニングしていくことが必要です。トーマツではそこも手伝っています。何かがあったからとか、お金がないからここから、といったパッチワーク的な対策では、抜けが出てきます。
岩井氏 優先順位がついていないことが多いですね。守るべきものは複数ありますから、その優先順位をつけて対策していくことが重要だと思います。
--今後はどう考えていますか。
岩井氏 グローバルに通用するサイバーセキュリティを含むアイデアを出せるようにしていきたいですね。Deloitteでもサイバーセキュリティに関する研究所は日本だけですので、強みを活かしていきたいと思います。
白濱氏 グローバルでは、「サイバーインテリジェンスセンター」というものを統一してやっています。それはSOC(セキュリティ監視センター)のようなもので、情報を収集してインテリジェンスに変えています。そのインテリジェンスを使って、いろいろなサービスに展開していく。日本はSOCがないので、研究所内で知見を貯めていき、同じように展開していきたいと思います。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。