ニュース
» 2013年12月19日 21時48分 UPDATE

管理と技術、経営と現場の双方を:トーマツ、「サイバーセキュリティ先端研究所」を設立へ

トーマツは、サイバーセキュリティリスクの高まりを背景に、2014年1月に「デロイト トーマツ サイバーセキュリティ先端研究所」を設立することを発表した。

[高橋睦美,@IT]

 トーマツは2013年12月19日、サイバーセキュリティリスクの高まりを背景に、「デロイト トーマツ サイバーセキュリティ先端研究所」(Deloitte Tohmatsu Advanced Research Laboratory of Cyber-Security:DT-ARLCS)を設立することを発表した。同社グループの部門をまたいでサイバーセキュリティの専門家47名を集結させ、2014年1月に設立する。所長には、デロイト トーマツ リスクサービスの代表取締役社長である丸山満彦氏が就任し、3年後には150人体制に拡張する計画だ。

mt_tohmatsu01.jpg デロイト トーマツ サイバーセキュリティ先端研究所の所長に就任する丸山満彦氏

 トーマツのCEO兼包括代表 天野太道氏は、ICTが浸透した今日において、サイバーセキュリティリスクは企業にとって無視することのできないリスクであり、「企業価値を毀損(きそん)する可能性のある最大のリスクとしてとらえる企業も多い」と指摘。そうした問題意識に答えるため、DT-ARLCSを設立すると述べた。

 本来ならばセキュリティ対策においては、「リスク管理的セキュリティ」と「技術的セキュリティ」とを統合して進めるべきだ。だが現状では、「ルールを定めるところとそれを実施するところがばらばらになっている」と丸山氏は指摘。「技術的セキュリティだけでも無理、管理的セキュリティだけでも無理。その融合をいかに図っていくかが課題だ」(同氏)とした。

 同社はこれまで、監査やコンサルティングといった業務に関連し、リスク管理やガバナンスの観点から内部不正調査やe-Discoveryなどのセキュリティサービスを提供してきた。DT-ARLCSでは、そうした管理的セキュリティを下支えする「技術」に関する研究や検証を担い、具体性あるセキュリティ対策の実現を支援。管理的セキュリティ対策を補完し、しかも全体的なアーキテクチャを考えた上で、企業が戦略的にセキュリティ投資を行えるようなサービスにつなげていく計画だ。

管理ルールを形骸化させない「技術」、攻撃者の一歩先の「技術」

 DT-ARLCSは具体的には、「セキュリティ対策機器の検証・分析」「共同研究・検証」「情報発信」「人材育成」という4分野の活動に取り組む。

 このうちユニークなのはセキュリティ対策機器の検証・分析だ。「守れない机上のルールを作るのではなく、マネジメントやガバナンスを実装するためにどんな機器を導入し、どういったルールが必要かを、ベンダーや外部のセキュリティ専門家とともに検証していく」(丸山氏)。

mt_tohmatsu02.jpg デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 岩井博樹氏

 DT-ARLCS主任研究員の岩井博樹氏は、「『リスクを管理するために、今、どんな機器を入れればいいのか』という疑問に答えるために、セキュリティ機器を実際に検証し、どう運用していけばどのリスクにどんな効果があるかを評価していく」と述べた。

 デロイトグループのグローバルな知見も活用していく方針だ。岩井氏は説明会の中で、Webやメールだけでなく、USBメモリを介して組織内部での感染を広めようとする、より“執拗”な攻撃や、1つのソースコードを元にしたと思われる、同じ機能を備えた多言語対応の不正プログラムの例を紹介。対策側の傾向を踏まえて、攻撃手法の洗練がますます進む中、「こうした脅威には、グローバルな知見を集め、さまざまな要素を統合分析してはじめて対抗できる」と述べ、攻撃者の“一歩先”を見据えた研究に取り組んでいきたいとした。

 DT-ARLCSで得られた知見は、監査やアドバイザリーサービスなど、同社のサービスに反映していく予定だ。

 「全体として、トップマネジメント層のセキュリティに対する理解は高まっている。しかし課題は、それをどのように、誰に指示して実現するかというところ。『やらなければいけない』のは分かっていても、経営者の問題意識を現場レベルに落としていくことのできる、CISO的な役割を果たせる人が経営者の周りにいない」(丸山氏)。DT-ARLCSの研究成果をサービスに生かすことで、「経営層から現場まで、一気通貫」(丸山氏)の支援体制を整えていく計画だ。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。