[Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

[Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング)

特集 特集

3月3日からの2日間は東京で、3月11日には大阪にて開催される「Security Days 2016」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

コンサルティングファームならではの観点から全体最適のセキュリティを提唱するKPMGコンサルティング株式会社 サイバーセキュリティアドバイザリー ディレクターの小川 真毅 氏に、KPMGの課題解決のアプローチや独自価値、そしてセッション「次世代型サイバーセキュリティオペレーションの勧め ソリューションの最適配置による経営効率化」の見どころなどについて話を聞いた。


――サイバーセキュリティは、企業にとって、どのような経営課題となっていますか。

一言でいえば、「情シスの問題」から「経営の問題」に変わりつつあります。経営者にとって業績悪化や株価下落を招く可能性のあるリスクとして認識されてきました。一方、セキュリティ対策は、まだIT部門の管轄であることが多く、今後、ますます全社的に取り組むべき問題と認識されていくでしょう。

KPMGの強みは、全社的なセキュリティ対策を考えるとき、組織の体制づくりから、多岐にわたる課題のどこに経営資源を割り当てるのが効果的か、客観的視点で全体最適を考えることができる点にあります。

――具体的なサービスのラインアップや課題解決のアプローチについて教えてください。

KPMGは、セキュリティ分野で専門的な人材を国内で60名以上抱え、経営層へのアドバイスから技術的ソリューションまで、幅広い提案が可能なコンサルタントがバランスよく配置されています。たとえば、サイバーセキュリティアドバイザリーサービスは、「FIND」「FIX」「RUN」の3つのフェーズに分かれています。

FINDは現状評価のフェーズで、KPMG独自のサイバーセキュリティ態勢評価フレームワーク(CMA: Cybersecurity Maturity Assessment)による網羅的な分析や、脆弱性検査、ペンテストといった技術的診断なども用いて、現状の課題やレベルを評価します。

FIXは、見つかった課題の中から、何に優先的に取り組むかを検討し、セキュリティガバナンスやマネジメント体制の構築、ポリシーの強化やソリューションの実装などについて、最新のセキュリティ動向や同業他社の事例なども踏まえて支援するフェーズです。

RUNは、対策を実装して、維持、向上していくフェーズです。組織の運営や人材育成、ルールやプロセスの整備、CSIRTやSOCなどインシデント対応の体制整備までサポートします。SOC構築に際しては、独自に開発したフレームワーク「STIC」(Security Threat Intelligence Center)に基づき、セキュリティ脅威情報の集積、解析に基づく知見や技術(セキュリティインテリジェンス)の活用によって、インシデントの発生を抑止し、企業ごとに最適な組織体制の構築から運用プロセスの設計などを行う「次世代型SOC構築支援サービス」も提供しています。


――KPMGならではの独自性はどこにありますか。

KPMGは様々な業界固有のビジネス環境に精通しており、とりわけ金融業界に強みをもっています。金融業界における知見や実績が豊富で、サイバーセキュリティに関する当局の要請や国内外の業界動向に関する情報をいち早くキャッチし、お客様に提案・支援することが可能です。

金融以外には、重要インフラ系の産業や製造業にも強みを持っています。「サイバーフィジカルアタック」と呼ばれるような、現実世界に影響を及ぼすタイプのサイバー攻撃がありますが、鉄道事故や航空機の墜落、発電所の停止などのリスクを抱えた事業者や、工場・生産設備を含めたセキュリティ体制改善の支援はもちろん、業界をリードする企業様のお手伝いや業界におけるガイドラインの策定を支援することなどによって、業界全体の底上げにつなげていければと考えています。

――Security Days 2016 の講演や展示の見どころは何ですか。

「全体最適」の観点から、サイバーセキュリティの「課題提起」や「解決のためのアプローチ」について、KPMGの経験と知見をお話しする予定です。

Security Daysでは、様々なベンダーから最新のソリューションについて紹介があると思いますが、それらを組み合わせるとき、全体最適の視点がないと、狙った効果が得られず、結果として非効率な投資になる場合があります。

その意味からは、ITやセキュリティの実務担当者はもちろん、上位の部門長などの責任者や経営層のレイヤーの方にもご来場いただけると、意義のある話ができると考えています。

――ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×