セキュリティコンサルティングとは?
IoT、5G、キャッシュレス、SNSなどの普及により、あらゆる電化製品、個人情報がインターネットに繋がる時代です。データの流通量は今後さらに増大し、データ利活用とプライバシー・個人情報保護は、今後よりグローバルな規模で取り組む課題になっていくと予想されます。
セキュリティコンサルは、組織的に高度化されたサイバー攻撃や、データ利活用に伴う情報漏洩、透明性を大切にした消費者とのコミュニケーションなどの領域に置いて、適切なセキュリティ体制の構築を支援します。
特にDX(デジタルトランスフォーメーション)が日本企業にとって重要な課題となっている今、新たなデータ利活用の事例が登場しつつあります。
一方で、2020年の個人情報保護法改正をはじめ、マイナンバー法、GDPR、CCPA等を踏まえたデータ保護や個人情報の取扱いにおいては、消費者への理解促進や企業の透明性向上・説明責任が求められるなど、法規制に対応しながら消費者の信頼を得ることのハードルは高まるばかりです。
また、新型コロナウイルス感染症対策としてテクノロジーが活用され、接触履歴や感染の有無等、個人に関わるデータの取扱いに関して、プライバシーの在り方が問われています。
こうした様々な難題は増えはすれど減ることはなく、セキュリティ領域のコンサルタントのニーズは高まるばかりとなっています。
セキュリティコンサルの具体的なプロジェクト事例
【独立系】ベイカレントコンサルティング
金融機関/サイバーセキュリティ管理態勢の構築
【プロジェクトの背景】
2015年4月 システムリスク管理態勢の強化を含む金融庁監督指針の改正、同年6月にFISC安全対策基準に「サイバー攻撃対応態勢」が追加されたことを契機に、国内金融機関に求められるセキュリティ管理基準の順守とグローバル企業としての最先端な取組みの融合を目的に、クライアント企業では実効性あるサイバーセキュリティ管理態勢の整備が求められていました。こうした状況を受け、ベイカレント・コンサルティングでは、短期間での現状把握から優先施策の実施、中長期整備計画の策定を実施しました。
【活動内容】
FISC安全対策基準を参考にサイバー攻撃対応態勢に係る現状を分析・評価し、優先施策の実行、及び中長期整備計画を策定しました。また、クライアント企業におけるグローバルポリシーとの整合を担保し、最先端な取組みを積極的に活用しました。以下に優先施策の一例を挙げます。
- CSIRT整備計画の策定、組織化
- サイバーセキュリティインシデント対応フローの整備
- サイバーセキュリティに係る顧客窓口、広報体制の整備
- 情報共有機関やセキュリティ専門機関との提携
短期間での優先施策を実施した結果、国内金融機関としてのサイバーセキュリティ管理態勢の一定水準をクリアし、更なる実効性の担保と高度化を目指し、中長期整備計画を策しました。そして、中長期整備計画を実行するために必要となる費用も合わせ算出。その後、全社取組みとして中長期整備計画を推進することに至りました。
【プロジェクトの成果】
クライアント企業におけるサイバーセキュリティ管理態勢を組織・IT・業務の観点から可視化することで、経営層から現場レベルまで多角的に実態を捉えることができ、分析・評価と並行し優先施策の選定から実行まで短期間で実行することができました。そして、一定水準を達成したなかで中長期計画を策定することで適切な期間と費用にてサイバーセキュリティ管理態勢の高度化を実現しています。
【BIG4】デロイト トーマツ リスクサービス
大手金融機関/CSA(コントロールセルフアセスメント)導入支援
【背景・概要】
金融業界では、サイバーセキュリティ確保が非常に重要なテーマです。金融庁が公表した「金融分野におけるサイバーセキュリティ強化に向けた取組方針」には、定期的なセキュリティ対策状況の把握が重要項目に位置づけられています。本プロジェクトのクライアントは、以前から定期的な第三者評価によるリスク評価と計画的なリスク対応を実施していましたが、組織規模が大きい金融機関のため、次のような課題を抱えていました。
- 第三者に全てのリスク評価を依頼すると、期間やコストが膨大になり、現実的ではない
- 一定以上のクオリティで自己評価を行う仕組みと経験がない
これらの課題を解決するため、我々は従来の第三者による評価に加えたサイバーセキュリティ強化策として、CSA(コントロールセルフアセスメント)の導入の提案を行いました。サイバーセキュリティ対策の評価は、専門性が必要なものから組織横断的に行うものまで多岐にわたります。専門性が必要な領域は、これまで通り第三者による評価を行い、第三者では対応しきれない広範囲なものに関してはクライアント自身で評価し課題を出せる体制の構築を目指しました。
【課題解決へのアプローチ】
本プロジェクトの目的は、クライアント自身で「評価」→「課題把握」→「改善」のサイクルを運用できる体制の構築です。その実現のために、ビジネス環境に適合した評価項目と評価プロセスを検討し策定しました。具体的には次の3つのSTEPを通じて、クライアントと緊密に連携して新しいスキーム構築を進めました。
STEP1[自己評価ツールの作成]
- 内外環境の情報整理
- 評価レベルの定義設定
- 自己評価に必要なチェックリストの作成
STEP2[自己評価フレームワークの構築]
- 現行の評価に関する資料の閲覧、関連部署へのヒアリング
- あるべき評価方針・対策基準・プロセスの検討
- 自己評価プロセスを機能させるためのガイドブック作成
STEP3[自己評価の実施・改善]
- 構築した自己評価スキームの有効性・適合性の検証
- さらなる改善策の立案
- ツールやガイドブックへの改善案の反映
【成果】
本プロジェクトによって自己評価と第三者の両面からサイバーセキュリティリスクを評価できる体制を実現し、クライアントのサイバーセキュリティ対策強化に貢献することができました。
【BIG4】デロイト トーマツ リスクサービス
サービス事業会社/デジタル・フォレンジック技術を活用したインシデント対応支援
【背景・概要】
標的型攻撃や内部者による情報漏洩は、防御が困難なインシデントです。そのため、インシデントを発見するための、重要イベントの可視化や継続的なモニタリングが不可欠ですが、発見したインシデントに対応するための体制整備も求められています。インシデントが発覚した際は、正しいプロセスで電子的(デジタル)な証拠を保全し、調査・解析(フォレンジック)を迅速に行うことが重要となります。デジタル・フォレンジック技術を活用したインシデント対応は、次のような効力を発揮します。
- 不正手法・侵入経路の検出
- 被害原因の特定
- 影響範囲の特定
- 速やかな対策の実施
- 恒久的対策の立案・実施
我々は、デジタル・フォレンジック技術の知見を活かして、不正アクセスによる情報漏洩の調査を行うことで、クライアントのインシデント対応を支援しました。
【課題解決へのアプローチ】
インシデント対応は、「初動対応」→「簡易解析」→「詳細解析」という3つのプロセスで進めます。「初動対応」では証拠保全を徹底し、再帰的な解析が可能な状態を確保します。「簡易解析」では、保全したHDD(ハードディスクドライブ)等の記憶媒体から被害状況を調べ上げ、インシデントの概要を特定しました。そして「詳細解析」では、不正プログラムや悪性コード、漏洩データ等の発見困難な被害痕跡を調査しました。各プロセスで実施した詳細な内容は次の通りです。
STEP1[初動対応]
- 被害状況のヒアリング/ネットワーク及びシステム構成の確認
- HDD(ハードディスクドライブ)等の記憶媒体の物理的な複製による証拠保全
- 解析環境へのデータ複製、イメージファイルの変換処理
- 解析に必要なデータファイルの抽出
STEP2[簡易解析]
- 現存ファイル及び削除ファイルの調査
- レジストリ解析、ログ解析
- 端末利用者/攻撃者が行った操作の調査
- レジストリ・イベントログから不正プロセスの起動の調査
- ブラウザ閲覧履歴解析や接続サイトの調査
STEP3[詳細解析]
- ファイルのタイムスタンプ解析や各種証跡を結合したタイムライン解析
- レジストリを構成する各ファイルから攻撃の痕跡の調査
- 物理メモリ情報及び仮想メモリの解析
- 不正プログラムを実際に動作させることによる動的解析
【成果】
本プロジェクトによってインシデント発覚後、迅速なインシデント対応が必要とされる中、迅速且つ的確なインシデント対応を実現しました。また、詳細調査後に提出する報告書では恒久的対策に関する提言も行い、クライアントのサイバーセキュリティ体制の強化に寄与しました。
セキュリティコンサルの代表的な企業
●は外資系企業、○は日系企業 【 】はグループ企業の属性
総合系ファーム/セキュリティコンサル部門
○【BIG4】デロイト トーマツ リスクサービス
●【BIG4】PwCコンサルティング/CSP(サイバーセキュリティ)
●【BIG4】EYストラテジー・アンド・コンサルティング/サイバーセキュリティ
●【BIG4】KPMGコンサルティング/Cyber Security
●【独立】アクセンチュア/Accenture Security
監査法人
○監査法人トーマツ(デロイトグループ)
○あらた監査法人(PwCグループ)
○新日本監査法人(EYグループ)
○あずさ監査法人(KPMGグループ)
○KPMG税理士法人(KPMGグループ)
セキュリティコンサルの求人情報
セキュリティコンサルの転職はフォルトナにご相談ください
フォルトナは、コンサル転職・ポストコンサル転職に特化したキャリアエージェンシーです。
セキュリティコンサルに関する求人は非公開求人も多く、その時々によって採用ニーズが変動します。
ぜひ、フォルトナのコンサルタントまでお気軽にお問い合わせください。
「相談」=「転職」ではありません
転職相談を行ったからといって、求人に応募しなければならないわけでは一切ありません。
ご要望・ご志向をしっかりとヒアリングさせて頂いたうえで、ベストな転職活動のタイミングをご提案します。
まずはお気軽に、以下のフォームからご相談ください。
ハイクラス転職・コンサル転職ならフォルトナ
- ハイクラス転職・コンサル転職特化。業界トップクラスのプロが貴方の転職をサポート
- コンサルファーム・著名企業のCXO・エグゼクティブへのトップアプローチで実現する特別ルートと非公開求人
- キャリアだけではなく、人生の自己実現を共に叶えるライフタイムパートナー