サイバーセキュリティ アドバイザリーサービス KPMGジャパン はじめに サイバー攻撃による被害については、連日のよう にメディアで取り上げられています。攻撃手法は高 度化の一途をたどり、多くの企業では攻撃を受け てから初めて対策が取られているのが現状です。 事後対応よりも予防措置の方がより費用対効果が 高く、顧客志向の対策であるにもかかわらず、サイ バー攻撃の予兆の検出やその防衛に必要な能力 を備えている企業はほとんどありません。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 情報セキュリティを取り巻く環境は常に 進化しています。自らは標的にならない と考えている企業は、その考えを改めな ければなりません。標的となり、攻撃さ れる可能性は十分にあることを認識する 必要があるのです。加えて、防御頼みの 対策はもはや有効な手立てではありませ ん。粘り強く攻撃されれば、いかなる防 御の壁もいずれは打ち破られてしまうか らです。このため企業は、攻撃を受けた 時点の特定、または攻撃の対象となり得 る時期の予測ができるよう、周囲の状況 を常に把握しておく必要があります。情 報とそれに基づく知見こそが、今後の情 報セキュリティの根幹を成すのです。 情 報収 集・分析能力を備えれば、潜在 的な脅威や自らの脆弱性を特定すること で、攻撃の余地を最小化し、ネットワー クへの侵入からその検知までの時間を 短縮することが可能となります。こうし たアプローチを採 用する企 業は、サイ バーセキュリティに関する脅威情報こそ がサイバーセキュリティ投資やエンター プライズリスク管理の中核を成すもので あると理解しています。 サイバーセキュリティに関する脅威情報 の提 供事業 者数は増え続けており、脅 威情報という概念も今や広く知られるよ うになりました。サイバーセキュリティに 関する脅威がより広く認識されるように なったのは望ましい現象です。 しかしKPMGの経験からは多くの企業で は、脅威情報から真の価値を導き出すに はまず情報管理の基盤整備から始めな ければならないということも、明らかで す。情報管理の基盤整備は、取締役会の 信頼を醸成するための必須条件であり、 進化し続けるサイバー攻撃に向けた態勢 整備を可能にするものでもあります。 政府機関や諜報機関からは、多くの教訓 を学ぶことができます。これらの機関に おいては長きにわたり、情報主導型の意 思決定こそが組織文化・運営の中核に あると認識されているからです。 KPMGのメンバーファームは、政府機関 と幅広い分野で協力を重ねるなか、情報 管理に関するベストプラクティスや陥り やすい落とし穴につき、理解を深め、経 験を蓄積してきました。 企業がサイバー攻撃を未然に防ぎ、顧客、 株主、従業員に対するリスクを最小化す るためには、以下の3原則が重要となり ます。 原則1:情報主導型の思考を植え付ける 原則2:情報運用モデルを確立する 原則3:情報主導型の意思決定プロセス を構築する © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 02 原則1 : 情報主導型の思考を植え付ける サイバーセキュリティへの対処はIT担当に任されているのが一 般的ですが、企業全体のリスクを軽減するには全社を動かす必 情報主導型の思考は、サイバーセキュリティに関する 要があり、多くのIT担当はこうした権限を有していません。 脅威、脆弱性、リスク、行動および 予防アプローチを採用するためには、まず取締役レベルから文 結果の間に直接的な因果関係を見いだすものです。 化を変えていく必要があります。前述の問いに取締役会で取 り組み、これを全社リスク戦略に組み入れていくことが極めて 経営者は、以下に挙げた単純かつ根本的な問いを絶えず投げ 重要です。これによって初めて、経営者は、自社のサイバーセ 掛けることが必要となります。 キュリティ戦略に何が欠けているのかを素早く特定し、脅威に ● いかなる脅威に直面しているのか 対する全社的な取り組みを推進することができるのです。 ● その脅威は、重要な情報資産にどのようなリスクをもたらし ているのか 原則2:情報運用モデルを確立する ● どのような対策を講じるべきか ● 過去に講じた対策はどの程度効果的だったか 情報主導型の意思決定プロセスを企業内で根付かせるには、 脅威が高まっているにもかかわらず、これらの問いを投げ掛け、 その基礎となる情報運用モデルを導入する必要があります。 十分な答えを得ることを怠っている取締役会は少なくありませ 政府機関は、情報を集め、分析し、それに基づいて行動するた ん。多くの場合、第一の問いが最も難しい質問となっているこ めのシステムとプロセスを確立しています。こうした機関の採 とがその原因です。脅威が発現する可能性やそれらが事業に 用するモデルはさまざまですが、その構成要素は共通であり、 与える影響は、定量化することが困難です。入手できる情報 情報収集・分析能力の向上を目指すいかなる企業にもそのま の大部分は状況説明にすぎず、攻撃者に関する情報というよ ま適用可能です。 りは、攻撃の兆候や影響に関する説明である場合が少なくあり 以下に示す基本的な情報運用モデルは、政府機関における情 ません。 報管理システムや情報管理プロセスの改善に取り組んできた その結果、多くの取締役会は脅威の性質を十分に理解せず、 KPMGの経験に基づくものです。以降では、要素2のサイバー サイバーセキュリティは技術的な問題であるという誤った認識 インテリジェンスプロセスを中心に取り上げます。 を持ってしまいます。 必要な脅威情報を特定する 関連情報を収集する 脅威に対処するために必要な 改善点を見極め、情報収集の 優先順位を定める。 サイバーセキュリティに関する 脅威や脆弱性の情報を収集し、 組織内の共通認識とする。 1 2 3 サイバー インテリジェンス の戦略と予算 サイバー インテリジェンス プロセス サイバー インテリジェンス の管理体制 戦略と組織・予算を 手当てする。 情報に基づいて行動する サイバー攻撃の予防や 対処のために、戦略的に 情報主導型の 意思決定を行う。 データを分析し 有益な情報を生み出す 管理体制と役割、 必要なスキルを定める。 収集した情報を結びつけて 分析し、サイバー攻撃への 対処に活用できるようにする。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 03 必要な脅威情報を特定する すべての脅威に対処できるだけの経営資源を注ぎ込める企業 はありません。政府機関では、さまざまな脅威の優先順位を 定め、その順位に応じて資源が配分されています。 サイバーセキュリティも同様です。先見性のある企業は、サイ バーセキュリティの脅威を分類するためのフレームを採用し始 めています。このアプローチにより、自社の脆弱性を見極め、 データ喪失が起きた場合の影響を特定することも可能になり ます。情報の収集は、重要度の高い資産、潜在的脅威、脆弱 性を十分に理解したうえで行う必要があります。 Targeted threat reduction process Threat actor Actor capability Priority threats Attack immediacy People Process Priority vulnerabilities Technology 政府機関は国民を守るために脅威情報を活用しています。企 業も、情報資産、顧客データ、ひいては株主価値を守るために 脅威情報を活用すべきなのです。 Intelligence requirement Information assets Impact Systems Applications Regulations Business drivers © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 04 協力・連携することによって初めて、 情報が結集され、問題のさまざまな 側面を明らかにできるのです 関連情報の収集は、 対策立案可能な情報を生み出すための第一歩ですが、 多大なコストを必要とする活動でもあります。 多様な情報源から情報を集めるには、相応の労力と費用が必 要となるためです。 サイバーセキュリティの脅威は複雑であるがゆえに、その全体 像を把握するのは至難の業です。協力・連携することによっ て初めて、情報が結集され、問題のさまざまな側面を明らかに できるのです。 ただし、効果的な協力・連携関係を構築するのは極めて難し い課題です。多くの企業は、自社ブランドにとってダメージと 攻撃者に関する情報を入手するのは簡単なことではありません。 なりかねない情報を他者と共有することに慎重です。 まず、攻撃者の所在は世界中に広がっています。さらに、多く の企業は自社システムに有益な情報、例えば攻撃者の取る手 また、政府機関が自社の機密情報を取り扱うことに尻込みす 段、技術、手順を明らかにできるようなデータを蓄積していな る企業もあります。高度化を続ける脅威に対応するためには、 がら、これを活用できていないという実情があります。 この難題の克服が必須です。 関連情報を収集する © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 05 データを分析し 有益な情報を生み出す サイバー脅威に関する情報を蓄積し、 後で調べるというのは簡単に思える かもしれませんが、多くの企業では この作業が適切に行われていません 犯罪者:攻撃元となる人物・組織について何が分かっている のか。その手口はどのようなものなのか。 被害者:事業活動にサイバー攻撃の標的となるような要素は あるのか。特定の事業部門が攻撃されている、また は他の部門に比べて攻撃の標的になりやすいという ことはあるのか。 財 産: どのような情報資産を保護しようとしているのか。それ ぞれの情報資産に対してどのようなセキュリティリス クが想定されるのか。 情報を収集したら、次はその情報を体系的に分析しなければな りません。その際には、以下の3点が重要となります。 1. 複数のシステムに分散したデータを検索・突合する能力 脅威に関する情報を蓄積し、後で調べるというのは簡単に思え るかもしれませんが、多くの企業ではこの作業が適切に行われ ていません。情報蓄積のために多額なコストがかかることと、 そもそもどのような情報を蓄積し、分析すべきか理解されてい ないことが理由です。 分析ツールの中には、潜在的な脅威を特定すべく、複数のシス テムを横断的に監視し、サイバー攻撃のパターンや傾向、不審 な活動を検知するものがあります。先進的な企業の間では、こ うしたツールの利用を検討する動きが広がっています。 2. 脅威プロファイルの構築 多くの政府機関や諜報機関は、犯罪者、被害者、財産、場所、 時間の観点から情報を分析しています。これらの観点は、その ままサイバー攻撃にも適用することが可能です。 場 所: 保護対象の情報資産はどこに置かれているのか。いか なる保護手段が取られているのか。現時点で攻撃を 受けているサーバーはあるのか。 時 間: サイバー攻撃の日時に何らかのパターンはあるのか。 特定の時間帯に攻撃されやすいということがあるのか。 3. ニーズに応じたサイバー攻撃対策ソリューション クライアントのニーズに応じた脅威情報を提供するためには、 継続的な話し合いを通じて顧客の特性を理解し、提供した情 報の質と量を定期的に見直す必要があります。 多くの政府機関や諜報機関がそうであるように、柔軟で機動 的な情報収集・分析プロセスを構築して、進化を続ける顧客 要望を取り込み、対応していくことが極めて重要です。 同時に、情報収集・分析機能は自動処理を可能にするもので なければなりません。このことは、複数のクライアントにリア ルタイムで情報提供を行う際に特に重要となります。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 06 サイバー攻撃対策ソリューションの価値を見極めるのに最適の 2012年ロンドンオリンピックの際の英国オリンピックコーディ 方法は、サイバー攻撃の脅威にどう対処すべきかという判断に ネーションセンター(National Olympic Coordination Centre どれくらい役立つか否かを確認することです。政府機関であれ [NOCC])は、情報収集・分析活動を国家の治安維持に関す 企業であれ、以下に関する判断がカギとなります。 る統治・意思決定構造に組み込むという、先進的な情報管理 ● いつ行動すべきか のあり方を示す好例です。 ● どの戦術を採用すべきか ● 採用した戦術は効果的だったか NOCCでは、情報収集・分析に関するミーティングを毎日2回 開き、その日の活動方針を決定していました。この周期でミー これらの問いは、攻撃者に対して能動的な対策を取ろうとして ティングを開くことによって、幹部は最新の脅威情報の全体像 いる企業には極めて重要なものとなります。攻撃を受けた際 を常に把握し、新たな脅威を軽減すべく資源を配分することが には、その攻撃を監視して攻撃者に関する情報を蓄積すべき できたのです。この事例から得られる重要な教訓は、脅威情 か、またはただちに攻撃を無効化する対策を行って、損失の最 報の提供を正式な意思決定の速度に合わせて行えば、主要事 小化を図るべきかについて、意見の対立が生じます。これは 業に情報主導型の意思決定プロセスを組み込めるということ 明らかに判断の問題です。先進的な企業では、おとりを使って です。 攻撃者をおびき寄せ、さらなる情報を入手するという策が多く 取られています。 目に見えるかたちで幹部が関与することも重要です。NOCC のミーティングでは、大規模な資源配分の決定権限を持った 原則3:情報主導型の意思決定プロセスを構築する 政府機関幹部が議長を務めていました。 政府機関や諜報機関では、業務上の主要な意思決定はすべて 情報に基づいて行われています。しかし、企業の取締役会が 常にこうしたアプローチを取っているわけではないことは明ら かです。 脅威情報は事業上の重要な意思決定に大きな影響を及ぼす可 能性があるにもかかわらず、取締役会がこうした脅威情報を明 確に認識していないということもあり得ます。 これほどまでの秩序は必要ないかもしれませんが、取締役が 新たなサイバー攻撃の脅威を認識し、その対処法に関する意 思決定に直接関与することは極めて重要です。サイバーセキュ リティという不確実性の高い分野において、脅威情報は、企業 が事前に重点的な対策を取り、脅威を未然に防ぐ手助けとな るのです。 情報に基づいて行動する © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. サイバーマネジメントサービス サイバー攻撃の防 御態勢に関する現状の 問 題 点を明らか にし、サイバー攻 撃 防 御 態勢の改善ロードマップ立案をトータルに 支援します。 サイバー攻 撃 防 御 態 勢 の 核となる体 制、 システム、ルール、PDCAの要素について、 強 化・改 善するための 活動をトータルに 支援します。 【サービス項目の一例】 【サービス項目の一例】 ● サイバー攻撃防御態勢クイック診断 ● サイバーセキュリティ組織の立上げ支援 ● サイバー侵入テスト ● サイバーセキュリティポリシー立案支援 ● モバイルセキュリティ診断 ● モバイル・無線LANセキュリティ強化支援 ● 無線LANセキュリティ診断 ● SNSセキュリティ強化支援 ● SNS利用のセキュリティ診断 ● サイバー攻撃防御態勢の高度化支援 ● 顧客情報・営業秘密のセキュリティ診断 ● セキュリティ担当役員の補佐 ● 海外拠点のセキュリティ診断 Protect Prepare サイバーアセスメントサービス Prepare Protect THREAT INTELLIGENCE Integrate CYB IO ER TRANSFORMAT 【サービス項目の一例】 N 【サービス項目の一例】 Detect& Respond Integrate Detect & Respond ● サイバー攻撃情報インテリジェンス支援 ● 緊急対策本部の立上げ・運営支援 ● GRC活動との統合支援 ● 緊急時のクライシスマネジメント対応支援 ● 事業継続計画(BCP) との統合支援 ● サイバー・フォレンジック ● サイバー攻撃に関する教育・啓発支援 ● 被害者への対応、賠償策の支援 ● グローバルな防御態勢への変革支援 ● 再発防止策の策定・展開支援 ● 制御システムの防御態勢への変革支援 ● サイバー攻撃防御態勢の変革支援 時 々 刻々と進 化していくサイバー攻 撃に 対して、防御態勢を有効に機能させ続ける ために、既存の企業活動との統合、定着を トータルに支援します。 サイバーインテグレーションサービス サイバー攻撃が発生した際の広報・メディア 対応、事実究明、再発防止策の立案・展開 につ い て、適 切か つ 迅 速なアドバ イスで トータルに支援します。 サイバーレスポンスサービス © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 08 Prepare サイバーアセスメントサービス サイバー攻撃の防御態勢に関する 現状の問題点を明らかにし、サイバー攻撃防御態勢の 改善ロードマップ立案をトータルに支援します。 サイバー攻撃防御態勢クイック診断 SNS利用のセキュリティ診断 サイバー攻撃の防御態勢を整え適切に対応していくためには、 さまざまな局面で、組織横断的な取組みが求められます。本 サービスは、組織に求められるサイバーセキュリティ管理態勢 について、KPMG独自のチェックリストを用いて診断し、その 結果を報告します。 Facebook、Twitterなどのソーシャルネットワーキングサービ ス(SNS)は、ビジネス目的での活用も積極的に進められてい ますが、そこには企業のレピュテーションリスクにまつわる問 題も内包しています。 本サービスでは、インターネットに公開されている企業ブログ、 Facebook、掲示板、SNS等のセキュリティ対策状況をチェッ クします。 サイバー侵入テスト サイバー攻撃への防御態勢を整える上で、防御態勢が意図した とおりに構築されているかどうかを、常に確認しておくことが 重要です。 本サービスは、システムの不適切な設定などに起因する脆弱性 について、インターネット経由での診断、内部ネットワーク経 由での診断等、複数の検査手法を組み合わせてシステム面で のセキュリティ対策状況をチェックします。 モバイルセキュリティ診断 モバイルデバイスのビジネス活用は、ビジネススピードの効率 化のために、今や必須の取組みです。 本サービスは、ビジネスで利用されているノートPCやモバイル デバイス、BYODのセキュリティ対策状況をチェックします。 無線LANセキュリティ診断 ワイヤレスネットワークは、サイバー攻撃において、攻撃の糸口 として利用されやすい脆弱点の1つといえます。 本サービスは、ビジネスで利用されている無線LANのセキュリ ティ対策状況をチェックします。 顧客情報・営業秘密のセキュリティ診断 顧客情報や営業秘密は外部の第三者にとっても、その価値が わかりやすく、ターゲットになることが多い機密情報です。 本サービスは、顧客情報、営業機密のセキュリティ対策状況を チェックします。 海外拠点のセキュリティ診断 海外進出した現地拠点や買収した在外子会社において、サイ バー攻撃への防御態勢を国内同様のレベルに維持することは、 言語や文化の違いなどもあり、企業にとって新たな課題となっ ています。 本サービスは、グローバルファームであるKPMGのネットワーク を最大限活用し、言語や文化の違いを超えたセキュリティ管理 態勢の診断を行います。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 09 Protect サイバーマネジメントサービス サイバー攻撃防御態勢の核となる体制、 システム、ルール、PDCAの要素について、 強化・改善するための活動をトータルに支援します。 サイバーセキュリティ組織の立上げ支援 SNSセキュリティ強化支援 サイバー攻撃への確実な備えはIT部門のみでは実現が難しく、 機能分化された組織の横断的な取組みが必要となります。 本サービスは、サイバー攻撃への防御態勢を整備するために 必須となる対応組織の立上げを企画から組成までトータルに 支援します。 FacebookやTwitterなどのソーシャルネットワーキングサー ビス(SNS)は、公人と私人の境界があいまいなため、企業とし て対策をとりづらい領域でもあります。 本サービスは、SNSの特性を踏まえた利用ルールや監視方針 を整備し、情報漏えいの被害を未然に防ぐための取組みをトー タルに支援します。 ● ● ● ● ● 組織ミッションの定義 組織ミッションと整合させたサイバーセキュリティ戦略の立案 平常時・緊急時の担当業務の設計 必要スキルの定義 他の管理部門との役割分担の設計 サイバーセキュリティポリシー立案支援 セキュリティポリシーを策定済みの企業は多くありますが、そ の後見直しが行われていない例が散見されます。 本サービスは、サイバーセキュリティポリシーの立案や見直し をトータルに支援します。 ● ● ● ● サイバー攻撃によるビジネスインパクトの概況評価 ビジネスにおいて許容可能な水準の検討 サイバーセキュリティへの取組みに関する基本方針の明文化 サイバーセキュリティの個別方針の明文化 モバイル・無線LANセキュリティ強化支援 スマートフォンやタブレット端末等のモバイル機器、公衆無線 LANスポットの急速な普及に伴い、社内ネットワークへのアク セス経路が爆発的に増加し、重要なデータが想定外に拡散し てしまうリスクが増大しています。 本サービスは、モバイル機器・無線LANへのセキュリティ対 策の強化をトータルに支援します。 ● ● ● ● ● サイバー攻撃防御態勢の高度化支援 これまでの対策の延長線上では防ぎきれない高度なサイバー 攻撃手法が出現しています。 本サービスは、企業のセキュリティ対策の高度化を、サイバー セキュリティの観点からトータルに支援します。 ● ● ● ● サイバー攻撃防御態勢の強化方針の立案 サイバーセキュリティ組織の見直し サイバーセキュリティポリシーの見直し 個別のセキュリティ対策の見直し セキュリティ担当役員の補佐 セキュリティ担当役員には、自社にとって重要な課題や対応を 見極め、適時適切に意思決定していくことが求められます。 本サービスは、セキュリティ担当役員の意思決定をトータルに 支援します。 ● ● ● サイバーセキュリティに関するトピックのわかりやすい情報提供 サイバーセキュリティに関する種々の課題のディスカッション 各種特命事項の実行 各事業機能における利用実態の調査・把握 ITインフラの整備戦略と整合した、モバイル・無線LANの整備 戦略の検討 モバイル・無線LANの利用方法に応じたセキュリティ対策の検討 セキュリティ対策の実現手段(システム、ソフトウェア等)の調査 システム・ソフトウェアの選定 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 10 Detect & Respond サイバーレスポンスサービス サイバー攻撃が発生した際の広報・メディア対応、 事実究明、再発防止策の立案・展開について、 適切かつ迅速なアドバイスでトータルに支援します。 緊急対策本部の立上げ・運営支援 被害者への対応、賠償策の支援 サイバー攻撃を受けた場合、その対応策と攻撃の収束までを 直ちにコントロールする指令室が必要となります。 本サービスは、緊急対策室の立上げと運営を支援します。 サイバー攻撃を受け、情報漏えいが発覚した場合など、顧客に 被害が及んだ場合、その対応が必要になります。 本サービスは、効果的な損害賠償の方策の策定を支援します。 ● ● ● 組織の組成(役割と責任) 対応方針と計画の策定 インシデント終了までのモニタリング 緊急時のクライシスマネジメント支援 サイバー攻撃を受けた場合、マスメディアへの情報提供方法の 巧緻が企業のレピュテーションに大きく影響します。 本サービスは、国内外のマスメディアやステークホルダーへの 効果的なコミュニケーションを支援します。 ● ● ● 被害状況の通知 対処状況の通知 今後の対策の通知 ● ● 被害額の算定 補償額の算定 再発防止策の策定・展開支援 攻撃を受けた後には再度、被害に合わないような防御策とその 実行が求められます。 本サービスは、再発防止策の策定とその展開の支援をします。 ● ● ● テクニカル面とメソドロジー面の弱点の分析 サイバーフォレンジックの結果からの教訓 事前防止策の検討、計画、実装 サイバー・フォレンジック サイバー攻撃を受けた場合、侵入経路を特定し、攻撃者の手 法やプロファイルを分析することで、同じルートの侵入を防止 し、犯人の意図も知ることができます。 本サービスは、迅速かつ確実に証拠を保全し、被害範囲や経 路の調査の支援をします。 ● ● 初動対応(スナップショットの取得、被害範囲と内容の調査、攻 撃痕跡の調査、タイムライン解析) ファイル解析 (ドキュメントファイルの解析、実行ファイルの解析、 メモリダンプの解析、ネットワークトラフィックファイルの解析) © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 11 Integrate サイバーインテグレーションサービス 時々刻々と進化していくサイバー攻撃に対して、 防御態勢を有効に機能させ続けるために、 既存の企業活動との統合、定着をトータルに支援します。 サイバー攻撃情報インテリジェンス支援 サイバー攻撃の防御のためには、正確な情報をいかにして速や かに入手するかが重要な鍵となります。 本サービスは、企業のサイバー攻撃への知識の蓄積や活用を トータルに支援します。 ● ● ● 国内外のサイバー攻撃の傾向 標的型サイバー攻撃の試行状況 著名なOS・ソフトウェアの脆弱性 GRC活動との統合支援 企業における各種のリスク管理、コンプライアンス管理を統合 するGRC (Governance Risk Compliance) 活動は、経営管 理活動を組織へ効果的に根付かせるために有効な手法と言わ れています。 本サービスは、GRC活動へのサイバーセキュリティに関する諸 活動の統合をトータルに支援します。 ● ● ● 既存のGRC活動への統合要件の定義 GRC活動におけるサイバーセキュリティの位置付けの整理 GRC活動への統合のための各種設計 事業継続計画(BCP)との統合支援 大規模なサイバー攻撃は、企業の基幹システムの停止を引き起 こし、事業の継続性を損なう要因となり得ます。 本サービスは、大規模なサイバー攻撃が発生した場合の緊急 時の対応を企業の事業継続計画に統合することをトータルに 支援します。 ● ● ● 事業継続計画における緊急対策室の役割の見直し サイバー攻撃発生時の事業継続計画の作成 事業継続計画の試験・訓練におけるサイバー攻撃のシナリオ企画 サイバー攻撃に関する教育・啓発支援 サイバー攻撃では、知識が少ない役職員がターゲットになる ケースも多く、重要なデータやシステムにアクセスできる役職 員であれば誰でも狙われる可能性があります。 本サービスは、サイバー攻撃に関する教育・啓発をトータルに 支援します。 ● ● ● 対象者に応じた教育カリキュラムの企画 教育コンテンツの作成 専門家による講演 グローバルな防御態勢への変革支援 国境のないインターネットを媒介としたサイバー攻撃のグロー バル化が急速に進んでいます。 本サービスは、サイバーセキュリティにグローバルで取組み、均 質な防御態勢への変革を目指す企業を以下のような事項を通 じて支援します。 ● ● ● ● 地域・国ごとの防御態勢の現状把握 地域・国ごとの防御態勢の整備方針の立案 現地における防御態勢の向上施策の推進 現地における防御態勢のモニタリング 制御システムの防御態勢への変革支援 社会インフラやプラントの制御システムもサイバー攻撃の標的 になっています。 本サービスは、以下のような事項を通じて、企業のサイバー攻 撃防御態勢を制御システムの防御態勢へと変革することを支 援します。 ● ● ● ● 制御システムの防御態勢の現状評価 制御システムへの対策基準の立案 制御システムへの対策の展開方法の立案 制御システムにおける防御態勢のモニタリング サイバー攻撃防御態勢の変革支援 サイバー攻撃防御態勢は、企業によって必要となる領域・強度 が異なります。 本サービスは、KPMGが提供するサービスのうち、企業に必要 となる対策をオーダーメイドで提供するサービスです。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 12 KPMGとサイバーセキュリティ KPMGのメンバーファームは、政府機関 や諜報機関の情報収集・分析活動の設 計、実 行を支援してきました。また、世 界トップクラスの企業におけるサイバー セキュリティプログラムの策定にも複数 参画しています。 こうして得られた知見に基づき、KPMG では、効果的なサイバーセキュリティに関 する脅威情報の収集・分析機能の構成 要素を独自の視点から整理しています。 KPMGは脅威情 報の収 集・分析を、効 果的なサイバーセキュリティ対策の中核 を成す構成要素としてとらえています。 KPMGのメンバーファームは、顧客が適 切な情報収集・分析モデルを設計し、自 社組織に組み込むための支援をしてお り、こうした活動を通じて顧客の持続可 能なサイバーセキュリティ管理態勢構築 に貢献することを目指しています。 KPMGのサイバーセキュリティサービス は、情報セキュリティ、事業継続、リスク マネジメント、プライバシー管理、フォレ ンジックの専門家を結集して提 供する サービスです。これらのスキルを統合し 活用することで、それぞれのクライアン トが直面するサイバー攻撃の脅威に適合 した戦略を策定できます。 Prepare Protect KPMGのメンバーファームには以下の強 みがあります。 ● グローバル:KPMGは世界155ヵ国の メンバーファームに、計16万2000人を 超える専門家を擁しています。世界中に、 より深い専門知識を提供いたします。 受 賞 歴:英 国のKPMGは、2011年と 2012 年 の2 年連 続 で、SC Magazine Awards Europeの「最 優 秀 情 報セキュ リティコンサルタント会社(Information Security Consultancy of the Year )」 賞を受賞しています。また、「最優秀情 報セキュリティプロジェクト(Information Security Project of the Year)」部 門 で も、国 際 情 報 イ ン テ グ リティ 機 構 (International Information Integrity Institute[I-4])に関し、高い評価を得ま した。I-4は、世界各国の大企業で構成 され る世 界 屈 指 の 情 報 セ キュリティ フォーラムです。 ● サイバーセキュリティの課 題を特定: KPMGのサイバーセキュリティサービス 部門はI-4を通じて、世界の主要企業が 現在あるいは将来的に直面するサイバー セキュリティ上の課題を共同で解決する 支援を行っています。 ● 顧客に対する献身:KPMGのメンバー ファームとクライアントとの関係は、効 果的、効率的な解決 策の提 供のために 長きにわたる努力と相互信頼の上に築か れたものです。KPMGの専門家は他で は実現できないサービスを提供すべく、 常に全力を尽くしています。 ● THREAT INTELLIGENCE Integrate Detect & Respond CYB IO ER TRANSFORMAT N © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 13 サイバーセキュリティ アドバイザリーグループ メンバー LEADER SUB LEADER 田口 篤 岩下 廣美 伊藤 益光 パートナー パートナー パートナー Hiromi Iwashita Atsushi Taguchi [email protected] [email protected] Masumitsu Ito [email protected] MEMBER 上原 豊史 堀田 知行 井上 健一 遠藤 正樹 ディレクター ディレクター ディレクター シニアマネジャー Kenichi Inoue Masaki Endo Toyofumi Uehara Tomoyuki Hotta [email protected] [email protected] [email protected] [email protected] 内山 公雄 万仲 隆之 小野 孝倫 菊池 温紀 シニアマネジャー シニアマネジャー マネジャー マネジャー Takayuki Manchu Kimio Uchiyama [email protected] [email protected] Takanori Ono [email protected] Atsunori Kikuchi [email protected] KPMG UK 武田 計良 田中 秀和 マネジャー マネジャー Kazuyoshi Takeda [email protected] Hidekazu Tanaka [email protected] Malcolm Marshall Global Head Information Protection & Business Resilience KPMG in the UK [email protected] Richard Krishnan Justice & Security Global Center of Excellence KPMG in the UK [email protected] © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. KPMGサイバーセキュリティアドバイザリーグループ [email protected] www.kpmg.com/jp/cyber-security 文中の社名、商品名等は各社の商標または登録商標である場合があります。 本文中では、Copyright、TM、Rマーク等は省略しています。 ここに記載されている情報はあくまで一般的なものであり、特定の個人や組織が置かれている状況に対応するものではありません。私たち は、的確な情報をタイムリーに提供するよう努めておりますが、情報を受け取られた時点及びそれ以降においての正確さは保証の限りで はありません。何らかの行動を取られる場合は、ここにある情報のみを根拠とせず、プロフェッショナルが特定の状況を綿密に調査した 上で提案する適切なアドバイスをもとにご判断ください。 © 2015 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. Printed in Japan. 15-9001 The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International.
© Copyright 2024 ExpyDoc
