CIC専用拠点の開所式にはサイバーセキュリティ基本法に携わった福田峰之衆議院議員や地元横浜市で最高情報統括責任者補佐官を務める福田次郎氏ほか、オーストラリア、スペイン、カナダでサイバーセキュリティに携わるデロイトの要人も列席してお祝いムードも感じられた。
DTRSのサイバーインテリジェンスサービス(CIS)は世界各地のデロイトで収集したデータを共有し、サービスを提供している。現在拠点はデロイト全体で世界20ヶ国以上にわたり、3500人以上のサイバースタッフを擁している。
CISは大きく分けて「予防」、「発見」、「回復」の3段階に「ガバナンス」を加えて全体をカバーするようにしている。「予防」は事前の予知や対策、セキュリティ診断、防御ソリューション、「発見」はセキュリティ監視や分析、「回復」はインシデント・レスポンス支援やフォレンジックなどがある。「ガバナンス」は潜在リスクの洗い出し、ポリシーやルールの明文化、トレーニングなど。
デロイトのパートナーであり、日本におけるCICの責任者を務める泊輝幸氏があらためて日本で提供するサービスについて説明した。大きく分けて3つ。スレッドインテリジェンスアナリティクス(TIA)、スレットセキュリティモニタリング(TSM)、そして今回新規提供開始となるエンドポイントスレットコントロール(ETC)。
日本のCICの責任者を務める、泊輝幸氏
TIAは「予防」と「発見」にあたり、通常では検索不可能なダークネットと呼ばれるような闇のネットワークも含めて顧客のリスクを収集し、レポートを提供する。デロイトの世界各地にあるCICとシームレスに連携するため「機動的かつタイムリーな情報の収集と分析が可能になります」と泊氏は言う。
TSMは「発見」にあたり、24時間365日休みなく脅威分析を行う。TIAで収集した情報をもとに業界または顧客企業固有のビジネスリスクとサイバーリスクを考慮した分析サービスを提供する。一般的なサイバーリスクだけではなく、顧客の業界や業務を考慮して現実的なリスクを割り出すのが特徴だ。
これまでTSMはスタンダードサービスのみ提供されていたところ、これから正式にプレミアムサービスも提供開始となる。スタンダードとプレミアムサービスの大きな違いはSIEM(Security Information and Event Management)のありかと内部不正対策を含むかどうかが挙げられる。
スタンダードではSIEMはデロイトCIC内に設置される。当然ながらSIEMが収集したログもデロイトCIC内に格納されることになる。一方プレミアムでは顧客環境内にSIEMを設置するので、ログも顧客の管理下にとどまり、社外に出ることはない。ログの分析は顧客のリスクに応じた分析ルールを適用することになる。セキュリティを重視する企業には安心要素となるだろう。またプレミアムではサイバー脅威だけではなく内部不正やコンプライアンス関連のリスクも分析し、通知する。
実際にインシデントが生じた場合には専任のインシデントコーディネーターが発生から収束までサポートし、顧客やアナリストの間を取り持つ。緊急度の高いインシデントではオンサイトで対応する。インシデントコーディネーターと顧客がインシデントの対応完了を確認すると、インシデントコーディネーターは再発防止策をアドバイスするところまで実施して「収束」となる。
新たに加わったETCはTSMのスタンダードおよびプレミアムのオプションという形で提供される。「予防」にあたるセキュリティパッチマネジメント、インシデント発生から収束までをまとめたレポート、「回復」にあたるリモートフォレンジックが含まれる。TSMだけでは「発見」段階だけになるが、ETCでサイバーリスクの全段階をカバーする。
最後に泊氏はDTRSならではの特徴や強みを挙げた。まず繰り返し述べているように、世界各地の拠点で情報を共有し、また世界各地に顧客を持つというグローバルで培ってきた強みがある。
一方で「されどローカルの柔軟性」があるという。DTRSは社名からしてデロイトという外資系企業の日本法人や子会社のイメージがあるが、それは違う。セキュリティ情報は世界のデロイトと共有しているものの、海外のデロイトとDTRSの間には資本関係はない。「我々独自の裁量で動けるので、日本に根ざした柔軟性を持っています」と泊氏。
加えて「品質へのコミットメント」にも泊氏は胸を張る。
「一部の処理を外注するケースもありますが、DTRSではアナリストも全て自前で採用しているため『丸投げ』はありません。分析から対応までワンストップでやりきります」(泊氏)
監査法人がベースにあるため、サービスは顧客のビジネスを考慮しており、また自社で一貫して提供できるところが最大の強みと言えそうだ。
