転職情報
サービス概要
その他
閉じる
EYストラテジー・アンド・コンサルティング株式会社
現代において規制対応を含めたサイバーセキュリティは、社会活動を持続的におこなうために欠かせないものです。サイバーセキュリティに関する課題は絶えず変化しており、迅速かつ効果的におこなう必要があります。日本のサイバーセキュリティが抱える課題は何か?目指すべき未来像はどのようなものなのか? 明らかにすべきテーマは多岐にわたります。
JAC Digitalは去る2022年10月19日にサイバーセキュリティをテーマにしたオンラインイベントを開催しました。
当日は幼少期より世界各国の著名なホワイトハッカーと共にサイバーセキュリティに向き合ってきた、EYストラテジー・アンド・コンサルティング株式会社(EYSC)の最年少パートナーである西尾素己氏と、同社でグローバル規模でのコンサルティング提供や、サイバーセキュリティエンジニアリング担当パートナーを務める雨宮崇氏にご登壇いただきました。元日本マイクロソフト業務執行役員でJAC
Digitalアドバイザーである澤円氏がモデレーターとなり、サイバーセキュリティの動向やセキュリティコンサルタントとしてのキャリアの魅力、グローバルプロジェクトやコラボレーション事例から見えてくるキャリアパスなど、同社で働くおもしろさについてうかがいました。
本記事は当日のレポートの前編として、「ビジネス化」するサイバー犯罪の現状と、企業のセキュリティ部門が取り組むべき課題とプロセスを中心にまとめました。
※ 本記事は2022年10月19日にJAC Digitalが開催したオンラインイベントを一部抜粋・再構成したものです。
澤氏:企業の経営や国家の運営において、サイバーセキュリティの概念は不可欠なものになってきている一方で、とにかく人材は足りません。裾野を広げ、活躍の場を知ってもらうためにこの場をセッティングしました。まずはお二人から、簡単な自己紹介をお願いします。
雨宮氏:私自身のバックグラウンドは、ずっとサイバーセキュリティ領域だけに関わっていたわけではありません。eコマースやネットワーク、ソフトウェアの企業を経て、いろいろなカルチャー・技術を体験しながらEYSCに入社しました。今はサイバーセキュリティ領域で、オフェンシブとディフェンシブ、両方のエンジニアリングチームをマネジメントしています。
西尾氏:私は雨宮とは対照的に、常にサイバーセキュリティに取り組んできました。プログラマーとしてベンチャーに入社したことからキャリアをはじめ、セキュリティベンダーでアンチウイルスエンジンの基礎研究や、スマートフォンのカーネルのゼロデイ脆弱性の発掘などに取り組みました。専門性のベクトルを別方向に移したいと思い、6年ほど前からコンサルティング業界にいます。今は経済安全保障という大きな枠組みの中で、経営とサイバーセキュリティをどう結びつけるかという考え方を世の中に提供しています。
澤氏:経営とサイバーセキュリティの結びつきという話が出てきました。経営者の方にサイバーセキュリティの重要性を伝える際には、どのようにお話しているのでしょうか。
雨宮氏:サイバーセキュリティをないがしろにしたままで何かトラブルが起きてしまうと、マーケットで損失を被るだけでなく、ブランドイメージの低下にもつながることをお伝えしています。お客さんが数年単位で離れてしまうような「見えないコスト」も含め、サイバーセキュリティへの投資の何倍ものダメージがあります。
西尾氏:世の中で報道されているようなサイバー攻撃は、すべて失敗例であるということをお伝えしています。いかに気付かれずに情報を盗み、その情報を活用して競合として成長するかがサイバー攻撃においては重要ですから、情報が漏洩したことが明るみになってニュースに出ている時点ですべて失敗といえます。
一方で、最近のゲームチェンジャーであるランサムウェアは、侵入してファイルをロックしたことを伝え、身代金を要求する手法です。請求が明示的なので、製造業であれば1カ月工場が停止したらどのくらい損失が出るかなど、被害を具体的な数字に換算できます(※1)。米国ではランサムウェアの警告に屈して身代金を払った場合、違法行為になるというステートメントが出されました。米国に法人がある場合、ランサムウェアに対応しなければ違法行為になる可能性がある(※2)、といった切り口からもお話をします。ときには「うちは一度もサイバー攻撃を受けたことがない」とおっしゃる方もいますが、それは検知ができていないだけだと考えた方がよいでしょう。
※1 解決までに1カ月間、生産ラインが止まった場合、その損失と、提示されている身代金を支払ってすぐに復旧できることを天秤にかける、といった試算のこと。
※2 米国に法人を持つ日本企業が、ランサムウェアに対して身代金を支払った場合には、米国法において違法行為となる可能性があります。
澤氏:今のサイバー犯罪は、過去にあった愉快犯のような手口から、完全にビジネス化してきていますよね。アイデアの柔軟性には、悪い意味で感心してしまいますし、だからこそ多様な手口が生まれてきているのだと思います。
澤氏:いま業界で注目されている技法やソリューションはありますか?
西尾氏:リモートワークの影響で、ゼロトラスト(※3)が注目されています。
※3 社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。「ゼロトラストモデル」とも呼ばれています。
澤氏:社外でも繋がっているインターネットを、企業インフラとして使うITのあり方ですね。在宅勤務におけるセキュリティは、しっかりと考える必要がありそうです。
雨宮氏:リモートワークの普及にともなって、社内からファイルを持ち出したり、ゼロトラスト環境ですでに内部に入られていたりといった犯罪も流行しました。今のSOC(Security Operation
Center、サイバー攻撃の検知や分析を行い対策する組織)では検知できない不審な動きや、普通の社員が行うはずのない動作(内部犯行)のような潜伏している脅威を、ログデータを分析して兆候を見つけていくソリューションや、それらの動きをルール化し自動化して検知度を上げて対策していくソリューションなどは、今後も需要が増していくと思います。
澤氏:昔ながらのウイルスが残っていたり、古い脆弱性が攻撃されたりすることもあるのでしょうか。
雨宮氏:そうですね。古い機器の脆弱性が見つかると、ダークウェブではそこを攻撃するためのノウハウ(手順書)などが販売されることもあります。投稿フォームに回数制限を設けなかったために、DDoS攻撃を受けてしまうような事件も、いまだに発生しています。
澤氏:すべての攻撃を防ぐことは現実的ではありませんが、少なくとも世の中にある防衛手段を取り入れるのは当然のことですよね。
澤氏:企業がサイバーセキュリティに取り組むには、何からはじめればよいのでしょうか。
西尾氏:企業の体制や意識から変える必要があると考えます。たとえばCISO(最高情報セキュリティ責任者)が独立しておらず、CTOと兼務している場合は、それぞれの観点から牽制しあえないので、企業ガバナンスとして疑問が残ります。考えがあってCTOと兼務にしている場合、CISOが独立しなければいけない理由を丁寧に説明したうえで、企業のガバナンスモデルに応じたフィッティングを行います。クライアントの役員陣や運用体制が整っていなければ、私たちが一時的に関わったとしても、プロジェクトから抜けた後に元どおりになってしまうこともあり得ますので欠かすことはできません。
雨宮氏:ヘルスケアやエネルギー、金融や製造業など、それぞれの業界ごとに守りたいものがあるはずです。業界ごとに特化したランサムウェアなども現れており、SOCの監視をすり抜けてしまうものもあります。どれほど最新のツールを入れたとしても、確実に被害を受けないことはないと意識したうえで、自分たちが大切なものをどう守っていくかを考えなければいけません。
澤氏:会場から質問が来ています。「社内で情報システム全般を担当しています。企業の経営層がセキュリティに対して理解がなく、予算が捻出できない場合や、社員教育の体制が取れない場合、どのような方法で理解を得ればよいでしょうか?」とのことですが、いかがでしょう。
西尾氏:セキュリティの知識がない人からすれば、コストを割いてまで取り組むことに疑問を持つのは当然ですから、理論武装する必要があります。ランサムウェアで生じる具体的な被害額や、過去に風評被害を受けた企業の事例などを紹介してみてはいかがでしょう。飛び道具としては、有事の際に株主から経営陣に対して下る評価などを引き合いに出すのも、投資判断を迫るためのひとつの方法になると思います。
また、社内の意識を変えることも重要です。国内外の「NIST
SP800-171」などの基準は、善管注意義務としてサイバーセキュリティに取り組まなくてはいけないことの旗印になります。ビジネス上必要な対策であることを伝えれば、各部署の意識が変わり、セキュリティ対策に納得して取り組んでもらえると思います。
雨宮氏:記者会見の場で担当者が自分の言葉で語れないと、バッシングを受けることがありますよね。逆に、きちんと説明できると賞賛されることもあります。セキュリティへの関心の有無によって、世の中からの目線がどう変わるか、どういったインパクトを生むかは共感しやすいポイントだと思うので、そうした危機感に対する気付きを提供するのも有効です。
西尾氏:セキュリティに関わる役員にとっては、サイバーセキュリティへの投資は自分たちの身を守ることにもつながります。もし私がCISOになったら、取れるだけの予算をとって、何も起こらないようにすると思います。こうした動きが起こらないのは、CISOが独立して存在しないからでしょう。
澤氏:セキュリティへの投資を怠ったがゆえに、社外から質問攻めやバッシングに合うリスクがあるわけですね。お金で買える安全なのであれば、早めの対策をしたがいいですよね。
澤氏:もうひとつ質問がきています。「転職先企業のセキュリティレベルを見極める方法はありますか?」とのことですが、いかがでしょうか。
雨宮:セキュリティ企業への転職に対しては、過去に対応したインシデントへのレスポンスを掘り下げて聞いてみてください。攻撃を受けた後の対策としてポリシーの再設定や再発防止対策だけで終わるのか、攻撃を仕掛けてきたグループの正体や次の可能性、その他の脆弱性まで掘り下げてクライアントにアドバイスを提供しているのか、などです。いかにクライアントのことを考えて、どのようなアドバイスをして、どのような調査結果を出したかを聞くだけでも、セキュリティ企業のレベルがわかると思います。
一般企業にセキュリティ担当として関わるのであれば、その会社の現在のセキュリティ運用や、守るべき資産がどこにあるかを聞いたうえで、今の悩みがセキュリティのオペレーションにあるのか、それとも誤検知が多いのかといった、技術的なレベル感をヒアリングしてください。そのような質問によって、企業の現在の成熟度や今後の目指すべき方向性、そしてそれに対して自分がどのように貢献できるのか、キャリアを伸ばしていけるかという感覚が掴めてくると思います。
トレンドとして注目されているサイバーセキュリティ。企業の経営の中でも重要性が増していますが、共通課題としての認識はまだまだ完璧とは言えません。コンサルタントがサイバーセキュリティ領域で担う役割について、後編ではさらに掘り下げていきます。
この記事の筆者
株式会社JAC Recruitment
編集部
当サイトを運営する、JACの編集部です。 日々、採用企業とコミュニケーションを取っているJACのコンサルタントや、最新の転職市場を分析しているJACのアナリストなどにインタビューし、皆様がキャリアを描く際に、また転職の際に役立つ情報をお届けしています。
ハイクラス転職で求められることは、入社後すぐにビジネスを牽引する存在になること。
そのために「コンサルタントの提案」を聞いてみませんか?
ご経験・ご経歴・ご希望などから、転職後のご活躍イメージを具体的にお伝えします。
転職支援サービスお申込み
