BDO三優監査法人 様
CSIRT構築をきっかけに高まった
経営層のリスク意識
三優監査法人様は1986年の設立以来、「厳しくても信頼される監査」をモットーに資本市場からの社会的期待と要求水準に応えていらっしゃいます。全国主要都市の5か所に拠点を持ち、1996年からは世界の五大会計事務所の一つであるBDOと提携、監査のマニュアルやツールをグローバルで共有し、その統一基準に沿って監査を実施されています。この度、CSIRT(※)構築支援サービスのご利用に際し、副理事長パートナー 岩田 亘人様、理事パートナー 大神 匡様、人事総務部長 内田 秀希様、情報システム部長 菅原 紀和様にお話しを伺いました。
※CSIRT Computer Security Incident Response Team
―貴社の事業内容をお聞かせください。
内田:当法人は1986年創立の準大手の監査法人です。監査法人には四大監査法人というのがありますが、当法人はセカンドティアの中で上位のポジションを目指しています。特にIPO(新規株式公開)支援を得意としています。中堅監査法人として小回りの利く体制に需要があると考え、日本の主要都市にそれぞれ事務所を持ち、200人弱の職員がいます。また、世界5位の会計事務所、BDOグループの一員で最先端の監査ツールを使って高い監査品質を約束しています。
―これまでの情報セキュリティに対する取り組みについて教えてください。
大神:情報システム部がハード面から提供するセキュリティ対策とは別に、「情報セキュリティ管理委員会」を設置し、情報システム部と連携を取って情報セキュリティ対策を講じています。私はこの委員長を務めていますが、同委員会の役割は経営面からの考慮を加味した情報セキュリティのルールを策定し、実行を促すことです。各事務所に委員を任命し、運用状況を確認しています。
教育面でいえば、例えば年に1回、スタッフ向けに情報セキュリティ対策について研修を行っています。
―CSIRTの構築を決めたきっかけを教えてください。
岩田:前述のセカンドティアの中で上位ポジションを目指す、という目標ですが、これは監査品質や法人規模だけでなく、働きやすさなど全てにおいて標榜しています。私どもは監査法人として、顧客企業の重要機密も知り得る立場にありますので、業界トップレベルの情報セキュリティ対策が必要だと考え、昨今その脅威が高まっているセキュリティインシデントの課題解決を図る体制であるCSIRTの構築を検討していました。
きっかけになったのは金融庁主催の「Delta Wall Ⅳ(デルタウォール4、金融業界の横断的なサイバーセキュリティ演習)」の参加を決めたことです。この演習は金融業界向けということもあり、高い対応レベルが必要になると考えました。当組織に必要な体制を整えるための目標とするには最適と考え、実効性の高いCSIRT構築に着手することにしました。
形だけのCSIRTを構築するコンサルは必要ない
―取り組みにあたってコンサルティング会社を利用した理由を教えてください。
菅原:演習の参加を決め、CSIRTの構築を急いでいました。我々だけでは専門的な知識が乏しく時間もかかると判断し、ノウハウをお持ちのコンサルティング会社に相談しました。もし我々だけで進めていたらCSIRTの構築に1~2年はかかっていたかもしれません。
―ニュートン・コンサルティングをお選びいただいた理由は何でしたか。
菅原:ニュートンさんの活躍については以前から存じておりました。数社に声を掛けさせていただきましたが、他社のご提案は価格こそ廉価でしたが、雛形を埋めるだけ、コンサル手法も質疑応答する形式が主体といったものが多く、形だけのCSIRTが出来上がる恐れがありました。
一方、ニュートンさんはCSIRTの構築において経営陣を巻き込みワークショップで合意形成を図っていくなど、当社の現状を踏まえた構築ができそうだと感じたこと、また、演習を通じてその実効性を確かめられるという点が決め手になりました。
―プロジェクトの概要を教えてください。
大神:CSIRTを定義して具体的な機能を決め、それを反映した文書類を整備、運用できることを目指しました。
ニュートンさんの提案で、最初に理事長パートナーである古藤へのインタビューが行われました。岩田も述べておりましたが、自社のセキュリティ対応品質を同業種の上位レベルまで引き上げたいとの意向は、このインタビューでさらに明確になりました。加えてその内容はワークショップで全員に共有され、そのお陰でCSIRTの構築を進めやすくなったのは、間違いないです。
CSIRTの範囲を定義したり、具体的な機能を決めたりするのに、勉強会とワークショップは効果的ですね。具体的には、勉強会ではサイバー攻撃の被害事例やサイバー攻撃のデモンストレーションを通して、サイバー攻撃がより身近なものであることが分かり、他社のインシデント事例を知って、メンバーの危機感も相当増したのではないでしょうか。
ワークショップは計3回行いました。回を重ねるごとにCSIRTの中身が具体的になっていくようなイメージでした。CSIRTを構築するにあたり、どのような脅威を対象とするのか、なぜCSIRTを構築するのかといった存在意義の定義から、具体的なCSIRTの機能を検討して決めていきました。また、ここで決めた内容を文書類に落とし込み、CSIRT構築後に運用の中で使えるように作り上げています。
最後の総仕上げとして試みたサイバー演習。模擬セキュリティインシデントを発生させ、CSIRTメンバーがどのような動きをするのかを実践的に検証しました。演習を通してのみ発見できるような課題が見つかり、構築したCSIRTや文書類をどのように変更すればカバーできるのか、議論が熱を帯びました。
―プロジェクトで苦労されたことはありますか?
大神:実は、CSIRTを構築するにあたり、当初から悩ましかったのが、人員不足です。リスクを洗い出し、必要な役割が明確になりましたが、それ専従の職員を配置できるわけではありません。そこで、既存の体制、つまり情報セキュリティ管理委員会に情報システム部、人事総務部、経営企画室などを融合させて、CSIRTを定義して解決を図りました。リソースが少なくてもCSIRTは構築できるのだとわかりました。
こうした背景もあって、この度構築したCSIRTの在り方は、教育・研修等の平時のセキュリティは既存の情報セキュリティ委員会が担い、CSIRTは、有事に限って立ち上がるという棲み分けをしています。
そうはいっても、実際の非常時を想定すると、セキュリティ対応機能を担う菅原や社内連絡・周知機能の役割を持つ内田に負荷が集中しているとわかり、改めてポジション(機能)ごとにマンパワーが不足していると認識できたのは重要な気づきでした。実はこれを受けてこの度、菅原の在籍する情報システム部の人員を増やし体制を強化しました。
―今回のプロジェクトの成果はいかがでしたか。
大神:一般的に「インシデントは情報システム部が担当するもの」と考える方が少なからずいると思いますが、サイバー攻撃などへの対応は災害や事故と並び、経営層の判断が欠かせない局面です。今回、リーダーを理事長パートナーの古藤としたCSIRTが構築できたのが大きな成果です。そして、CSIRTの規程・手順書類を整備したことにより、重大インシデントが起きた際、情報システム部が堂々と緊急対応を取れるようになったのが一番の功績です。たとえ理事長パートナーと連絡を取れなくても、夜間・休日にサイバー攻撃の予兆があり、判断基準に合致すれば、現場の判断でサーバーやシステムを堂々と止めていい。これが上位規程で明確に定められたので、何かあった時でも今後は初動が遅れずに被害の拡大を抑えられると期待できます。
菅原:金融庁主催のサイバーセキュリティ演習「Delta Wall Ⅳ」でも、好成績を収められました。
4回目の演習となる今回は、初めて監査法人も演習対象となり参加しました。この演習は長時間にわたって訓練事務局からインシデントを想定した連絡が届き、それに対し迅速に対応していく、という非常に緊迫したものでした。状況付与がある度に新設したCSIRTメンバーで対応を考え、100通以上のメールを各所へ送信したと思います。外部報告、法務対応、社内連携、セキュリティ対応などの班体制を構築し、役割分担と内容を明確に定義できていたので落ち着いて対応することができました。CSIRTという組織がなければ、とてもこの演習は乗り切れなかったと思います。
リピートが決定した「ニュートン」品質
―ニュートンのコンサルティングはいかがでしたか。
内田:当初、我々にとっては地図がない状況でした。でも、ニュートンさんにはロードマップが整備されていて、目指す水準とゴールが明確になりました。地図と目的地が明瞭になり道筋を示していただけたのがとても良かったです。実際に有事が起きたらどうなるかはわからないですが、その疑似体験は十分できたと感じています。
また、先ほど大神がリソース不足について述べていましたが、自分たちだけで策定していたら、こうしたことについてもどのように対応すれば良いかわからなかったと思います。コンサルティング会社の知見をご提供頂けたことで、自分たちだけでは難しかったプロジェクトも無事に完了できたことに感謝しています。
今BCP(事業継続計画)策定に着手しているのですが、是非またニュートンさんに支援をお願いしたいと考えています。
新型コロナウイルスにも迅速に対応
―今後の取り組みについて教えてください。
岩田:CSIRT構築をきっかけに、組織のリスク感度が上がったと感じています。有事の際に、まずは経営判断が必要なリスクかどうかを即時に見極める視点を持つようになりました。そしてどのようなリスクであれ、同じようにアセスメントを行い、組織としてどのように対応すべきかを考える土壌ができました。CSIRTの構築で得た仕組みや捉え方が、他のリスク対応にも応用できていると感じています。
ちなみに、現在の新型コロナウイルスの感染拡大の問題(注:インタビュー2020年2月当時)も、いち早く対策本部を立ち上げて対策を講じています。具体的には在宅勤務と時差勤務の推奨や、会議・セミナー・懇親会を極力控えることを決めました。こうした対策をすぐに検討することができたこと、すぐに行動に移せたのも、CSIRT構築によって組織のリスクマネジメント体制が整っていたからだと言えます。
現在はBCP策定を進めています。セカンドティアの上位ポジションを目標に組織強化を強力に推進してまいります。
―本日は誠にありがとうございました。
利用サービス
プロジェクトメンバー
お客様 |
---|
副理事長パートナー 管理本部長 公認会計士 岩田 亘人 様 |
理事パートナー 大神 匡 様 |
人事総務部長 内田 秀希 様 |
情報システム部長 菅原 紀和 様 |
ニュートン・コンサルティング |
---|
執行役員 兼 プリンシパルコンサルタント 内海 良 |
エグゼクティブコンサルタント 星野 靖 |
担当の声
有事の際に適切に動くことができるか
●トップインタビューによる目指すべきところの明確化
●関係者を巻き込んだワークショップ形式での推進
●サイバー演習による検証と課題の抽出
この進め方にご同意いただき、まずは 理事長パートナー様のインタビューで、セキュリティ対応の品質を同業種の上位レベルまで引き上げたいという明確な意思を示していただきました。ワークショップではその上位レベルに持って行くべく関係者が一堂に会し活発に議論を重ね、最後の総仕上げとなるサイバー演習では、経営層の皆様が陣頭指揮を執るなか現場担当者がインシデント対応を行う形で進めることができました。最終的に、これらのワークショップやサイバー演習での検討結果および改善点などを規程・手順類に落とし込み、約4ヵ月で実効性のあるCSIRT構築のご支援ができたのではと思っています。
後日談として、金融庁が主導する大規模サイバー演習「Delta wall Ⅳ」にも参加され、結果としては「動ける」体制であるからこそ対応できたとのお声も頂きました。構築して間もない体制ながら、大規模演習で効果を実感することができたとのことで、我々としてこんなに嬉しいことはありません。今回のご支援が三優監査法人様のセキュリティ対応に役立つことの一助になれたのであれば幸いです。