[Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング)
「KPMGの強みは、全社的なセキュリティ対策を考えるとき、組織の体制づくりから、多岐にわたる課題のどこに経営資源を割り当てるのが効果的か、客観的視点で全体最適を考えることができる点にあります。」
特集
特集
PR
コンサルティングファームならではの観点から全体最適のセキュリティを提唱するKPMGコンサルティング株式会社 サイバーセキュリティアドバイザリー ディレクターの小川 真毅 氏に、KPMGの課題解決のアプローチや独自価値、そしてセッション「次世代型サイバーセキュリティオペレーションの勧め ソリューションの最適配置による経営効率化」の見どころなどについて話を聞いた。
――サイバーセキュリティは、企業にとって、どのような経営課題となっていますか。
一言でいえば、「情シスの問題」から「経営の問題」に変わりつつあります。経営者にとって業績悪化や株価下落を招く可能性のあるリスクとして認識されてきました。一方、セキュリティ対策は、まだIT部門の管轄であることが多く、今後、ますます全社的に取り組むべき問題と認識されていくでしょう。
KPMGの強みは、全社的なセキュリティ対策を考えるとき、組織の体制づくりから、多岐にわたる課題のどこに経営資源を割り当てるのが効果的か、客観的視点で全体最適を考えることができる点にあります。
――具体的なサービスのラインアップや課題解決のアプローチについて教えてください。
KPMGは、セキュリティ分野で専門的な人材を国内で60名以上抱え、経営層へのアドバイスから技術的ソリューションまで、幅広い提案が可能なコンサルタントがバランスよく配置されています。たとえば、サイバーセキュリティアドバイザリーサービスは、「FIND」「FIX」「RUN」の3つのフェーズに分かれています。
FINDは現状評価のフェーズで、KPMG独自のサイバーセキュリティ態勢評価フレームワーク(CMA: Cybersecurity Maturity Assessment)による網羅的な分析や、脆弱性検査、ペンテストといった技術的診断なども用いて、現状の課題やレベルを評価します。
FIXは、見つかった課題の中から、何に優先的に取り組むかを検討し、セキュリティガバナンスやマネジメント体制の構築、ポリシーの強化やソリューションの実装などについて、最新のセキュリティ動向や同業他社の事例なども踏まえて支援するフェーズです。
RUNは、対策を実装して、維持、向上していくフェーズです。組織の運営や人材育成、ルールやプロセスの整備、CSIRTやSOCなどインシデント対応の体制整備までサポートします。SOC構築に際しては、独自に開発したフレームワーク「STIC」(Security Threat Intelligence Center)に基づき、セキュリティ脅威情報の集積、解析に基づく知見や技術(セキュリティインテリジェンス)の活用によって、インシデントの発生を抑止し、企業ごとに最適な組織体制の構築から運用プロセスの設計などを行う「次世代型SOC構築支援サービス」も提供しています。
――KPMGならではの独自性はどこにありますか。
KPMGは様々な業界固有のビジネス環境に精通しており、とりわけ金融業界に強みをもっています。金融業界における知見や実績が豊富で、サイバーセキュリティに関する当局の要請や国内外の業界動向に関する情報をいち早くキャッチし、お客様に提案・支援することが可能です。
金融以外には、重要インフラ系の産業や製造業にも強みを持っています。「サイバーフィジカルアタック」と呼ばれるような、現実世界に影響を及ぼすタイプのサイバー攻撃がありますが、鉄道事故や航空機の墜落、発電所の停止などのリスクを抱えた事業者や、工場・生産設備を含めたセキュリティ体制改善の支援はもちろん、業界をリードする企業様のお手伝いや業界におけるガイドラインの策定を支援することなどによって、業界全体の底上げにつなげていければと考えています。
――Security Days 2016 の講演や展示の見どころは何ですか。
「全体最適」の観点から、サイバーセキュリティの「課題提起」や「解決のためのアプローチ」について、KPMGの経験と知見をお話しする予定です。
Security Daysでは、様々なベンダーから最新のソリューションについて紹介があると思いますが、それらを組み合わせるとき、全体最適の視点がないと、狙った効果が得られず、結果として非効率な投資になる場合があります。
その意味からは、ITやセキュリティの実務担当者はもちろん、上位の部門長などの責任者や経営層のレイヤーの方にもご来場いただけると、意義のある話ができると考えています。
――ありがとうございました。
《ScanNetSecurity》
関連記事
-
![[Security Days 2015 インタビュー] 未知の脅威を防ぐ予測型の脅威インテリジェンス(ウェブルート) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/13368.jpg)
[Security Days 2015 インタビュー] 未知の脅威を防ぐ予測型の脅威インテリジェンス(ウェブルート)
研修・セミナー・カンファレンス -
![[Security Days 2015 インタビュー] トレンドマイクロ、マイクロソフト、FFRIとの連携で実現する先進的防御(NTTコミュニケーションズ) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/13366.jpg)
[Security Days 2015 インタビュー] トレンドマイクロ、マイクロソフト、FFRIとの連携で実現する先進的防御(NTTコミュニケーションズ)
研修・セミナー・カンファレンス -
![[Security Days 2015 インタビュー] 自動化とマイクロセグメンテーションがAPT対策のカギになる(パロアルトネットワークス) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/13365.jpg)
[Security Days 2015 インタビュー] 自動化とマイクロセグメンテーションがAPT対策のカギになる(パロアルトネットワークス)
研修・セミナー・カンファレンス -
![[Security Days 2015 インタビュー] 第一世代サンドボックス製品が持っていた問題点をクリア(フォーティネットジャパン) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/13352.jpg)
[Security Days 2015 インタビュー] 第一世代サンドボックス製品が持っていた問題点をクリア(フォーティネットジャパン)
研修・セミナー・カンファレンス
この記事の写真
/
