一気通貫でセキュリティの最適化を図っていく

──まずは研究所を立ち上げた狙いをお聞かせください。

丸山氏：セキュリティが重要な経営課題になってきたことが理由の1つとしてあります。実際、トーマツグループの既存のお客さまからの要請でもありました。

　もう1つは、一気通貫でセキュリティの最適化を図っていく必要があると考えたためです。特に多くの日本企業では、情報システム部門とリスク管理部門が別々の人員で構成されていることが少なくありません。そのため両者の間に大きな隔たりがあり、これを埋める役割を担いたいと考えています。

岩井氏：攻撃者は日々進化しています。ブラックマーケットでもM&Aが進んでおり、組織だった動きが目立っています。標的型攻撃は執拗度を増しており、一度侵入されたあとの攻撃は非常にやっかいになってきています。不正プログラムの同一機能多言語化なども進んでおり、セキュリティ対策ツールの動向を踏まえたつくりになってきていると感じています。そのため、セキュリティの全体最適化を図る必要性を強く感じています。

──具体的な事業活動を教えてください。

丸山氏：1つめは、セキュリティ対策機器の検証・分析が挙げられます。これは中立的な立場に立って、どういった製品がどのような形で活用されれば、セキュリティの全体最適化を図れるのかといったことを提案するためのものです。既にセキュリティ各社の製品は検証用に導入している状況です。

　2つめは、人材育成です。業界全体を通じて、セキュリティ人材が不足していると痛感しています。それぞれの専門性を持たせながら育成していきたいですね。正直、セキュリティ業界は非常に限られた人たちで固定された業界になってしまっているので、それこそ新卒から育て上げて、新しい人材を輩出できるような体制づくりを目指したいと考えています。

　3つめは、共同研究や検証です。社内での連携はもちろん、大学や公的機関などと連携しながら、持っている知見を出し合っていきたいと考えています。

　4つめは情報発信です。こうした取り組みの中で得られたさまざまな知見を広く社会に発信していきたいと考えています。

元DoD（アメリカ国防総省）やFBIのメンバーがごろごろ

──DT-ARLCSはどのような人員で進めていくことになるのでしょうか？売上目標などはあるのでしょうか？

丸山氏：昨日数えたところ、50名弱が在席することになりそうです。当座は必ずしも専任というわけではありませんが、これを今後3年間で150名ぐらいにしていきたいと考えています。

　また、あくまでも「研究所」という位置づけなので、数値目標を持つ性格の組織ではありません。しかし、30社程度の新しい売り上げには貢献していきたいと考えています。

──主に大企業が対象となるわけですよね。

丸山氏：一部の自治体や中堅中小企業のお客さまもあるかと思いますが、やはり現状は主に大手のお客さまを対象にしていく予定です。実は既にトーマツグループ内からも数多くの引き合いがあるのですが、なかなか手が回っていない状況にあります。

──サイバーリスクの範囲が広がっている中で、既存の人員でどこまでカバーできるとお考えでしょうか。

白濱氏：トーマツ全体で8000人いますが、そのうち300人がシステム監査に携わるメンバーです。ITの知見は持つメンバーなので、こうした人員にセキュリティ教育を行って底上げを図っていくことで、多くのクライアントのセキュリティ向上に貢献していきたいと考えています。

丸山氏：会計コンサルの分野でERPなどをみているメンバーもいますが、その中には基幹系システムのセキュリティという視点でみている者もいますので、そういったメンバーも取り込んでいきたいと考えています。

岩井氏：さらに言えば、デロイトのグローバルネットワークの知見を活用できるというのもあります。この点、デロイトはグローバルコンサルティングファームとして規模も大きく、たとえば元DoD（アメリカ国防総省）やFBIに所属していたようなメンバーがごろごろしています。話し合いの中で不明なことがあれば、FBIの元同僚に電話をかけてすぐに話を聞くといったことも実際にやっています。この点は、他社にはない特にユニークなポイントだと思います。

【次ページ】CSIRT（シーサート）に注目