トーマツは、企業や組織において急速に高まっているサイバーセキュリティリスクに対応するため、2014年1月に情報セキュリティラボ「デロイト トーマツサイバーセキュリティ先端研究所(Deloitte Tohmatsu Advanced Research Laboratory of Cyber Security:DT-ARLCS)」を設立する。今回、同研究所の設立の経緯、今後の展開などについて、所長である丸山満彦氏、主任研究員である岩井博樹氏、白濱直哉氏に話を聞いた。
技術と人の両方の脆弱性に対応
--設立の背景を教えてください。
丸山氏 現在の企業などの多くは、ルールを整備するリスク管理部門と、実際にアプライアンスの導入などを実施する情報システム部門が独立してしまっており、充分に連携している状態とは言えません。管理側ではなんとなく網羅的にルールを策定していますが、実装までは至らず「絵に描いた餅」になっています。一方、現場のシステム部門では、ベンダーに提案された製品を「たまたま」導入していくような状況が続いています。
所長 丸山満彦氏
つまり、技術的な脆弱性への対策と、人的脆弱性への対策が独立してしまっているため、双方を狙うセキュリティインシデントへの網羅的な対策や対応が十分にできていないのです。そこをつないでいかなければなりません。
私たちはもともと監査法人ですので、ルールの整備は得意分野です。そこで現場側、つまり技術的な部分をさらに強化することを目的にDT-ARLCSを設立しました。これにより企業などのガバナンスとマネジメントの有機的な統合、結合をお手伝いします。設立までに3カ月をかけて準備や調整、人材育成を含めた仕組み作りなどを実施しました。
--強みはどんなところにあるのでしょう。
丸山氏 会計監査では、アクセスコントロールといったセキュリティが重要になります。また、インターネットバンキングなどはもちろん、企業の活動がインターネットベースになってきています。インターネットが入口になるので、そこのセキュリティは欠かせません。そういった監査やコンサルティングで培ったノウハウは強みだと思います。
主任研究員 白濱直哉氏
白濱氏 技術に強い研究所はたくさんあります。技術はもちろん大きな柱ですが、それをどうマネジメントに落としていくか、実際に会社が自分たちの体制の中に技術的な知見をどう取り入れていくかまで対応している研究所はほとんどありません。技術だけをわかっていてもダメです。会社の業務を理解してどうインプリメントしていくかが非常に大事なのです。技術と管理、現場と管理側をシームレスにつなげていく。そのための陣容をそろえています。それがDT-ARLCSの大きな目的であり、強みだと思います。
また、監査法人系でグローバルに展開していることも強みです。私たちは「AsOne」と呼んでいますが、世界の情報を集約してDeloitteとして一丸となって取り組んでいます。そのために情報のやり取りや人材の交流も活発です。例えば、年に1度、アジア太平洋のセキュリティの人たちが集まる会などに出席して、直接情報交換しています。人と人とがつながる機会が非常に多いことも、大きな強みです。