Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

デロイトトーマツサイバーセキュリティ先端研究所が稼働 - マネジメントと技術の両面で脅威に対抗

トーマツは、「デロイトトーマツサイバーセキュリティ先端研究所(DT-ARLCS)」を設立した。サイバーセキュリティの活動をグローバルに展開するデロイトと綿密に連携し、最新のサイバーセキュリティ動向について研究を進める。

同社では、2002年に「トーマツ企業リスク研究所」を開設。これまでも経営環境におけるリスクの研究を進めてきたが、ますます企業環境のIT依存度が高くなり、脅威が高度化していることから、事業に与えるインパクトが拡大しているとして、サイバーセキュリティに特化した同研究所を設置した。

20131220_td_001.jpg
記者説明会に登壇した天野氏(画面左)と永田氏(右)

同研究所では、監査法人の同社の強みである「マネジメント」「ガバナンス」にくわえ、サイバーセキュリティに関する「技術」について研究を進める。設立当初は、トーマツグループに所属するセキュリティ専門家47人が参加。専任研究員はおらず、組織としてはプロジェクトチームに近い。3年後には150人体制を目指すという。

具体的には、セキュリティ対策機器の検証や分析を行うほか、トーマツグループにおける人材育成やキャリアパスの整備など進める。また情報発信や外部と連携した共同研究なども視野に入れている。

あらかじめ決まった特定分野の基礎研究を推進するのではなく、顧客のニーズに則した課題について、デロイトのインテリジェンスや参加メンバーが知見を活用しながら深く掘り下げ、トーマツグループにおけるサービス向上につなげるのが狙い。また組織内において「マネジメント」だけでなく「技術」双方の知見を身につけた人材を育成していくという意味もある。

同研究所の開設にあたり、同社では12月19日に記者会見を開催した。トーマツのCEO兼包括代表である天野太道氏は、「ICTのリスクが高まっている。総合プロフェッショナルファームという視点から、情報セキュリティ、サイバーリスクサービスを展開し、大きく前に前進させたい」と述べ、「研究で得た成果を社会へ還元していきたい」と語った。

また同社で包括代表代行兼アドバイザリー事業本部長を務める永田高士氏は、「サイバーセキュリティのリスクが健在化し、問題は複雑さを増しているが、リスクマネジメントのパイオニアとしてアプローチしていきたい」と抱負を述べた。

またデロイトトーマツリスクサービスの代表取締役社長で、同研究所の所長に就任した丸山満彦氏は、サイバーインシデントの原因として人的脆弱性と技術的脆弱性の問題があると説明。

20131220_td_002.jpg
丸山氏(画面左)と岩井氏(右)

総務やシステム部門など別の部門でそれぞれ独立して対応が行われており、これらのあいだに深い溝があるが、こうした独立した管理方法に限界があると指摘した。

複雑化する攻撃へ対応するには、「ガバナンス」「マネジメント」「テクノロジー」の有機的な統合が必要で、技術的対策と管理的対策が相互補完的に機能するしくみの構築する必要があると述べ、研究所の活動を通じて、経営者層の理解を得るための情報提供や、セキュリティ戦略の立案、それらを実行に移すための戦略的投資の実施を支援していく。

また同研究所で主任研究員を務める岩井博樹氏は、サイバー攻撃がマルチプラットフォームで展開されており、執拗さが増している脅威の現状についてプレゼンテーションした。同じ機能を持ちながら異なる言語で作成されているマルウェアも発見しており、セキュリティ対策をすり抜ける高度な攻撃が発生している状況について解説した。

一方で、組織ではいまだにUSBメモリ経由でウイルス感染が広がるケースが多いと指摘。技術的な対策とガバナンスによる両面からのアプローチの重要性を強調した。今後は、研究成果をレポートなどでフィードバックしていくという。

お詫びと訂正……本記事の一部キャプションにおいて、永田氏の表記に誤りがありました。関係者、読者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2013/12/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

攻撃者がメール転送設定を変更、受信した個人情報が外部に - 立命館大
開発フレームワーク「Electron」にコード実行の脆弱性
IoTセキュリティのガイドラインなどを整理したハンドブック - JNSA
暗号化メールが外部漏洩する「EFAIL」の脆弱性 - 多数メールクライアントに影響
総務省と経産省、連携チームの成果を公表 - セキュリティ税制など
「WebLogic」のRCE脆弱性狙う攻撃に注意 - パッチ公開数時間後より被害が発生
セキュリティ機能を回避する「GLitch」攻撃が明らかに - 一部スマホでPoCが動作
経産省、IoT社会を視野にいれた産業界向けセキュリティフレームワーク - パブコメ実施
NTT、DNSによるブロッキングを準備 - 「政府決定にもとづく対応」強調
体力測定参加者の個人情報含むUSBメモリを紛失 - 京都橘大