サイバーセキュリティ
Cybersecurity
大手金融機関におけるサイバーセキュリティ態勢強化支援
グローバルにビジネスを展開する大手金融機関であるクライアントでは、顧客、株主、各国の規制当局等の幅広いステークホルダーに対して説明責任を果たし、ビジネスを継続・発展させるために、グループ全体でサイバーセキュリティ態勢を整備する必要に迫られています。これは、大規模でリソースが潤沢な会社のみならず小規模でリソースに限りがある会社も含めて、グループ全体の態勢を十分な水準へと引き上げるというチャレンジが求められることを意味します。こうした背景から、本プロジェクトでは、クライアントの中核事業会社に対する直接的な支援に加え、ホールディングスが主体となって推進する施策を通じたグループ会社への支援も行っています。
本プロジェクトにおける具体的な支援対象は多岐にわたっており、セキュリティポリシー・ルールの策定、経営層へのレポーティング、グループ内コミュニケーションの促進などガバナンス面の取り組みから、SOC(Security Operation Center)の構築、脆弱(ぜいじゃく)性診断の実施、セキュア開発ガイドラインの整備などテクノロジー面の取り組みまで、幅広い領域をカバーしています。このような複数の領域における取り組みを相互に連携させた包括的な支援により、クライアントのセキュリティ態勢強化に寄与しています。
EYの体制とそれぞれの役割
数年間にわたるプロジェクト期間で支援体制は変遷していますが、現在では、EYストラテジー・アンド・コンサルティング日本オフィスのコンサルタントがテクノロジーコンサルティング部門、セクター部門など複数の所属組織から50名ほど参画しています。また、EYグローバルのサービスデリバリー専門チームであるGlobal Delivery Services(GDS)のメンバーも20名ほど参画しており、コンサルティングだけでなくサービス運用までカバーした体制を構築しています。
実際の業務は、プロジェクト全体を複数の領域に分割しサブチームを編成して進めています。これらのサブチームが縦割りになることなく相互に連携できるよう、横断的な情報共有の場を頻繁に設けています。部署や役職による隔たりがなくコミュニケーションを取りやすいカルチャーがEYの強みです。
クライアントに提供したEYならではの価値
EYが支援を開始する以前、クライアントのサイバーセキュリティチームでは、ガバナンス面からテクノロジー面に至るまで幅広い態勢強化を行う必要がありながらも、人的リソースと知見がともに不足している状態でした。このような状態から、幅広い領域においてまずは中長期的なロードマップを描き、それに沿った具体的な施策を検討し、さらに検討結果を踏まえて運用サイクルを確立していくことは、クライアントにとって非常に大きなチャレンジだったのです。
プロジェクト開始後にEYが行ったのは、支援対象となる領域を細分化した上で、複数のユニットから各領域の知見を持ったプロフェッショナルを速やかにアサインし、サブチームを垂直立ち上げすることでした。それぞれのサブチームが担当する施策を同時並行で、かつクライアントと伴走しながらハンズオンで推進することで、急ピッチでの態勢強化に貢献しました。実際、クライアントの態勢は、EYの本格的な支援開始から3年という比較的短い期間で、他の国内大手金融機関と大きく遜色がない水準まで到達しています。この期間でクライアントと信頼関係を構築したことによって、さらなる水準向上を目指す後続フェーズでも、パートナーとして支援を継続することができています。
本プロジェクトでは、各施策の検討だけでなく、クライアント業務の運用まで含めてハンズオンで支援していますが、さらに一歩踏み込んだ支援を行っている領域もあります。セキュリティアラートを監視・分析するSOCやCTI(Cyber Threat Intelligence)がその対象で、セキュリティ監視運用に関するアドバイザリーにとどまらず、GDSとの連携によって24時間365日体制のマネージドサービスを提供しています。特にSOCサービスについては、EYがグローバルで多くのクライアントに同サービスを提供する中で蓄積したナレッジを活用し、検知ロジックの開発と継続的な改善を行うことで、不要なアラートを抑制しています。さらに、検知・対応フェーズにおける処理をSOAR(Security Orchestration Automation and Response)を活用して可能な限り自動化し、クライアントによる対応負荷を低減させる取り組みも常に行っています。これはコンサルティング支援を通じてクライアントの業務内容や対応のケイパビリティを深く理解しているEYだからこそ実現できるものです。