巧妙かつ複雑化するサイバー脅威
−−DX時代に向けたセキュリティ対策とコンサルティング企業の役割

多くの企業がDX推進を意識する一方で、サイバー攻撃を受けるリスクへの対処も忘れてはならない。情報処理推進機構が毎年公開している「情報セキュリティ10大脅威」2020年度版では、機密情報の窃取や内部不正による漏えい、ランサムウェアによる被害といったセキュリティ脅威が企業を脅かす一方で、予期せぬIT基盤の障害により、一時的な業務停止を余儀なくされるケースの急増など、被害のバリエーションにも変化が起きているという指摘もある。
AIやクラウドなどのインターネットを介したデジタル技術を活用する上で、企業はサイバーセキュリティに対してどのような意識を持つべきなのか。
PwCコンサルティング合同会社のパートナーであり、PwC Japanグループのサイバーセキュリティビジネスを統括する外村慶氏と、技術面専門のサイバーセキュリティエンジニアリングチームをリードする雨宮崇氏に、チーム設立の背景やサイバーセキュリティの最新動向、コンサルティングファームが提供するサイバーセキュリティ対策の特徴を聞いた。

【写真左】PwCコンサルティング合同会社　外村 慶氏
大手外資系コンピューター企業にてソフトウェアの開発、販売、役員補佐を歴任。その後、大手外資系セキュリティソフトウェア会社の日本法人COOとして、日本市場におけるセキュリティビジネスの戦略と実行を担当。2017年にPwCコンサルティング合同会社に入社後は、同社ならびにPwCあらた有限責任監査法人を含むPwC Japanグループのサイバーセキュリティビジネスを統括する責を持つ。

【写真右】PwCコンサルティング合同会社　雨宮 崇氏
外資最大手IT企業複数社において日本部門代表、アジアパシフィック代表を務め、ビジネス・オペレーション・技術部門構築運用等の責任者としての経験を有する。大手外資系ソフトウェア企業におけるデータセンター事業部代表、ネットワーク最大手企業でのアドバンスドサービス部門のマネージャー、外資系テクノロジー企業における技術支援部門日本代表を歴任後、米国サイバーセキュリティ大手企業においてセキュリティコンサルティング部門、SOC部門のアジア代表を務める。PwCコンサルティング合同会社に入社後は、Digital Trustチームのサイバーセキュリティエンジニアリングチームをリード。

急速に高まりつつあるサイバーセキュリティのニーズ

PwCコンサルティング

外村 慶 氏

PwCコンサルティングには、産業分野別のコンサルタント組織とは別に、業種の垣根をまたいで横断的に対応する、サイバーセキュリティ専門のコンサルタントのチームが存在する。さらにその中には、技術面に特化したセキュリティエンジニアリングチームを備えている。この組織の立ち上げの背景を、外村氏は次のように説明した。

外村氏　当社の中で、サイバーセキュリティに対応する組織が現在の構成になったのは5年ほど前になります。背景には、その頃からクライアントのサイバーセキュリティ関連のニーズが急速に高まってきたことがあります。もちろん、それまでもサイバーセキュリティが必要なかったわけではありませんが、ITという領域のアジェンダの1つに過ぎなかったように思います。しかし、サイバー攻撃の脅威がビジネスに与えるインパクトが次第に大きくなり、事業継続の成否を左右するほどの大きなアジェンダになってきた。そこで私たちも、機運を捉えて専門のチームを編成したわけです。

サイバー攻撃の巧妙化とクラウド・IoTの拡大が背景

PwCコンサルティング

雨宮 崇 氏

チームメンバーの人数は3年前と比較して倍増し、現在も増え続けているという。世の中のサイバーセキュリティに対する意識の高まりを物語っている。この背景には、どのような社会や市場の変化があるのだろうか。

雨宮氏　1つは、サイバー攻撃の『巧妙化』があります。以前は修正プログラムの適用漏れや、バックドアから侵入されるというような、今思えばシンプルな問題でした。しかし最近は、一般的なセキュリティ対策のプロダクトでは検出されないような攻撃手法や、ランサムウェアのようにユーザーのシステムを暗号化により使えなくして“身代金”を要求するような、さらに踏み込んだ攻撃も出てきています。

一時は、“攻撃されてもいい”仮想環境を用意し、そこで疑わしいファイルなどを動作させ、ウイルスなどの確認をするサンドボックスという手法が出てきたが、それさえも通り抜けてしまう攻撃手法が見つかるなど、「まさに“イタチごっこ”の状況」だと雨宮氏は説明する。
そして、サイバーセキュリティのニーズが急騰するもう1つの要因は、『企業のシステム環境が複雑化』したことだ。
十数年前なら、社内のデータセンターにホストコンピューターがあっただけで、構成は非常にシンプル。守るべきものも明確で、ベンダーのマニュアルに沿って運用すればよかった。それが、オープン化によってどんどん複雑になっていった。だがそれですら『データセンターの中』に収まる話である。
しかしそこへ、クラウドが出てきた。クラウドで提供されるサービスが広く使われるようになり、かつオンプレミスとのハイブリッド構造になった。エンドユーザーが持つ端末もPCのほかにスマートフォンやタブレットなど多様化し、IoTの進展によりエッジのエンドポイントも多様化した。

外村氏　さらに、一つ一つのクラウドサービスはセキュリティ対策がなされていますが、各ベンダーとの契約はそれぞれ異なります。システム全体を構成する要素が多様化・複雑化する中で、それらを安全な形で“つなぎ合わせる”役割としてサイバーセキュリティのコンサルタントの必要性が非常に増していると考えています。

あらゆるサイバーセキュリティ対策を提供する

今では、どの産業であっても何らかの形でIT化は進んでおり、サイバーセキュリティは避けて通れない課題だ。そのためPwCコンサルティングのサイバーセキュリティチームは、業種ごとの特性を踏まえつつも全産業を横断的にカバーする形になっている。また、対応するシステムもITシステムだけでなく、モノに関わる領域、例えばコネクテッドカーやスマートファクトリーといったOT（Operational Technology）系システム、IoTの領域も対象だ。

雨宮氏　その中で、エンジニアリングチームは、オフェンシブ、ディフェンシブの両方のサービスを提供しており、さらにSOC（ソック：Security Operation Center）やCSIRT（シーサート：Computer Security Incident Response Team）を技術的に支援させていただくテクニカルアドバイザリー業務も担っています。

オフェンシブでは、既存のシステム／ソフトウェアの脆弱性診断から、疑似ハッキングを行うレッドチーム演習や金融業界に向けたTLPT(Threat Lead Penetration Test)など。ディフェンシブでは、インシデントレスポンス、コンピューターフォレンジック、スレット（脅威）ハンティングやマルウェア解析などを行う。また、顧客企業内のCSIRTやSOCといったサイバーセキュリティ関連組織に対する技術面の支援、脅威情報の提供などを主に行っている。
雨宮氏　日本に対するサイバー攻撃の多くは海外によるものです。米国、オーストラリア、オランダ、ロシア、中国などの多国籍のエンジニアリングメンバーが、PwCグローバルネットワークを活用して脅威情報を集め、最新セキュリティ動向を把握しています。

サイバーセキュリティチームの仕事は、基本的にはプロジェクト単位で進む。企業で何らかのインシデントが発生した際に対応するケースもあるが、事後対応だけではない。企業が何らかの“新しいこと”にチャレンジするタイミングで相談が持ち掛けられ、そこからプロジェクトが始まるケースも少なくないと外村氏は話す。

外村氏　例えば、新しいビジネスの立ち上げ時や、既存ビジネスの中で新しいシステムを導入する時。ほかにも、会社や事業を新たに買収する際の買収先のサイバーデューデリジェンスを行う時、または海外に工場を新設する際の対応など、さまざまな “新しいこと”が発生するタイミングがあり、そこでサイバーセキュリティ観点のアジェンダが持ち上がるケースがあります

社会の仕組みが変わる時にサイバーセキュリティの必要性が生じる

日本国内でもペイメント系のサービスにさまざまな事業者が参入している。それ自体は、キャッシュレス社会への大きな進展といえるが、その結果いくつかのサービスでセキュリティに関する問題が起こったこともまだ記憶に新しい。
外村氏　 社会の仕組みの変化が大きく急速であるほど、どこかにセキュリティの“歪み”が生まれる確率は高いです。
何かがきっかけで、いろいろな物事が動き、社会が変化しやすくなることがあります。その意味では、COVID-19による影響は、リモート環境の普及・促進を加速させました。『DXを推進しよう』という時代の潮流も、物事を大きく動かすような側面があり、これは、ビジネスのやり方をデジタル化することによって社会の仕組みを良い方向へ変えられる歓迎すべきムーブメントだと思います。

コンサルティングファームでサイバーセキュリティのキャリアを積む意味

サイバー攻撃が巧妙化し、企業のシステム環境が複雑になる中、サイバーセキュリティコンサルタント、エンジニアにはどのような素養が求められるのか。
雨宮氏　 エンジニアに関しては、何か1つの領域だけでなく、サイバーセキュリティという専門性の中での幅を広げたい人にはコンサルティングファームの仕事が向いていると思います。

セキュリティベンダーには製品に沿ったサービスラインアップがあり、特定の機器やエンドポイント以外には対応できないことが多い。それに対して、コンサルタントの対応範囲には広範に及ぶ。

雨宮氏　 ソリューションが世の中に存在し、それを見つけられるのであれば何でもやる、たとえ知らなくても学んでやる、そういうスタンスが求められます。
ほかにも、コンサルティングファームにおけるサイバーセキュリティエンジニアには、報告書の作成や、顧客との折衝、プレゼンテーション能力も求められる。また多国籍のメンバーがそろうPwCコンサルティングでは、コミュニケーションのための英語力も必要だ。

雨宮氏　 クライアントとのコミュニケーションにおいても、技術習得に関しても、プロアクティブな姿勢で臨める人が適していますし、将来的に伸びていくと思います。

一方、コンサルタントはどうか。
外村氏　 コンサルタントがすることは、基本的にはクライアントのセキュリティ担当者の方とほぼ同じ立ち位置です。

事業会社でサイバーセキュリティを担当した人材が、コンサルタントとして活躍している事例もあるという。

外村氏　 ただ、圧倒的に違うのは、1つのシナリオだけに対応すればよいわけではないということです。シナリオが1つなら、次に同じことがあった場合には経験したことをそのまま再現すれば済みますが、コンサルタントはクライアントの状況によって、さまざまなケースに対処しなければなりません。そのため、ある経験をしたらその経験の抽象度を上げて概念化し、他のケースにも応用できる力がコンサルタントには求められます。

DXという潮流の広がりにより、これまで“後付け”で考えられることが多かったサイバーセキュリティの問題が、何か“新しいこと”を始める段階から織り込んで考えなければならないという認識が企業の中で高まってきているという。

外村氏　 そうした気運の中、新規事業開発などクライアントの新しいチャレンジに対し、ビジネス面からサイバーセキュリティまでを総合的にコンサルティング提供できることが重要です。