ゼロトラスト統合運営・運用態勢整備

経営管理目線でのサイバーセキュリティ体制強化の必要性

外部環境の変化として、近年、サイバー犯罪は手口の巧妙化が進み、サイバーセキュリティ対策への要求事項は年を追うごとに増加し、複雑化しています。また国家レベルでのサイバー犯罪が衆目を集める中で、一企業においてもサイバー犯罪を被るリスクが高まっています。特に、十分な対策を実施せずインシデントが発生した場合、事業に障害が発生するだけでなく信用問題に発展するなど、企業の継続的な成長を阻む可能性があり、サイバーセキュリティ対策に関して不断の取り組みが求められます。

定期的に自社のセキュリティ状況を調査・可視化し、客観的な診断を受けることがサイバーセキュリティ対策の第一歩です。デロイト トーマツではクラウドサービスに関するセキュリティ対策およびガバナンスに関する専門性を活かし、クライアントの経営及び組織体制を踏まえたサイバーセキュリティ対策強化をサポートします。

アプローチ概要

デロイト トーマツでは広く知られた2つのガイドラインをもとに、デロイトが策定したフレームワークを用いています。まず、1つ目のガイドラインである「セキュリティ対応組織の教科書（Ver2.1）」^※1に基づき、セキュリティ対応組織に求められる機能と役割の実施状況を俯瞰的に把握し課題を見極めます。次に、「サイバーセキュリティ経営ガイドライン（Ver2.0）」^※2に基づき、セキュリティ対策に責任を持つ役員および下部組織の協力体制の実施状況と課題を可視化し、サイバーセキュリティ対策の計画、実施体制、予算、人材確保など経営面での判断をサポートします。

フレームワークについては、既存のものをそのまま使用するのではなく、デロイトが作成したフレームワークを使用しています。例えば、経営層向けの評価では、経営層が認識すべき方針や体制、リスク管理を中心にヒアリングできるように内容を見直しています。また評価結果だけでなく、導入計画書の提供や役割分担等をフレームワークに追加することで、評価結果後の具体的な対策が明確になり、抽出された各課題に対し、スムーズな対応ができるようなアウトプットを提供します。

※1　日本セキュリティオペレーション事業者協議会（ISOG-J）,（2018年9月公開）

※2　経済産業省,　独立行政法人　情報処理推進機構,（平成29年11月16日公開）
https://www.meti.go.jp/policy/netsecurity/mng_guide.html