KPMGジャパン、『重要インフラ産業向けサイバーセキュリティアドバイザリーサービス』を開始

電力・ガス・石油等のエネルギー産業や、鉄道・航空サービス等の交通インフラ産業等、重要インフラ産業における産業用制御システムを対象としたサイバー攻撃への対応を支援するアドバイザリーサービスを提供開始します。

電力・ガス・石油等のエネルギー産業や、鉄道・航空サービス等の交通インフラ産業等、重要インフラ産業における産業用制御システムを対象としたサイバー攻撃への対応を支援するアドバイザ...

KPMGコンサルティング株式会社(本社:東京都千代田区、代表取締役社長:森 俊哉、以下:KPMGコンサルティング)および株式会社KPMG FAS(本社:東京都千代田区、代表取締役:知野 雅彦/大信田 博之、以下:KPMG FAS)は、電力・ガス・石油等のエネルギー産業や、鉄道・航空サービス等の交通インフラ産業等、重要インフラ産業における産業用制御システムを対象としたサイバー攻撃への対応を支援するアドバイザリーサービスの提供を本日開始します。

お問合せ

背景と主旨

今年5月に判明した年金情報流出事故が各メディアに大々的に報じられたように、昨今、高度なハッキング技術を駆使して政府や企業のシステムに攻撃を仕掛け、機密情報を盗み出したり、システムを不正に操作する「サイバー攻撃」が世界的な問題となっています。業界ごとの関連規制やガイドライン、企業横断のインフラ整備などは行政主導で推進されつつありますが、社会的責任の一翼を担う各企業にとっても無縁の問題ではなくなってきています。昨年、米国の大手流通企業でサイバー攻撃による大量の個人情報流出事故が発生した際、対応の不手際の責を問われてCEOが解任されるという事件が有りましたが、各企業及び経営層は、社会的責任を全うするための説明能力と対応能力を高めていくことが求められる時代となりました。

かつては独自仕様やネットワーク上の隔絶性からある種の安全神話が謳われていた、重要インフラ産業における産業用制御システムの世界においても、その脅威は高まってきており、汎用品の活用やシステム間のネットワーク接続が進む中で、サイバー攻撃の対象範囲に含まれていることに加え、ネットワーク接続に依存しないサプライチェーン攻撃という新たな攻撃経路も出現しています。実際に、サイバー攻撃の結果として、重要インフラ設備の稼働停止や誤動作が発生し、大規模な社会的混乱や死傷者を出す人身事故も複数発生しています。

また、今後の将来を見据えた際には、IoT(Internet of Things=モノのインターネット)とも呼ばれる、より多くの機器のネットワーク化や産業用制御システムの高度化が、新たな社会的価値やビジネスチャンスの創造をもたらすことが期待される一方で、サイバー攻撃に対する脆弱性や脅威もまた際限なく増大していくという技術革新の負の側面が懸念され始めています。一方、日本国内では、2020年の東京オリンピック開催に向けて、国や地域を挙げて様々な重要インフラ整備が進められていますが、成功裏に収めるためにもサイバーセキュリティ態勢の抜本的強化が求められている状況です。

ご参考:日本における重要インフラを対象としたサイバー攻撃の発生件数

日本における重要インフラを対象としたサイバー攻撃の発生件数

出所:内閣サイバーセキュリティセンター(NISC)の公開情報よりKPMG分析

提供サービスの概要

このような状況に対応していくため、KPMGコンサルティングおよびKPMG FASでは、これまでにも取り組んできた一般/汎用システムを対象とした情報セキュリティ対策に加えて、産業用制御システム(ICS;Industrial Control System)を対象としたサイバーセキュリティ態勢の高度化に向けた支援サービス/ソリューションの開発を進めています。KPMGグローバルのナレッジアセットの活用はもちろんのこと、一部の専門領域では外部の専門エンジニアリング会社とも協業し、当該領域のベストプラクティスや先進的アプローチの研究を進めてきました。

海外では様々な機関が産業用制御システムにおけるサイバーセキュリティの関連規制やスタンダードを提示していますが、日本においては関連規制・スタンダードの確立・整備が遅れており、日本企業が自社のサイバーセキュリティポリシーの策定・構築を進める上で困難な状況が続いています。重要インフラ企業が短期間で信頼度の高いサイバーセキュリティポリシーを構築するためには、海外の関連諸規制、スタンダードに準ずる必要があります。

ご参考:産業用制御システムにおけるサイバーセキュリティ関連規制・スタンダード

産業用制御システムにおけるサイバーセキュリティ関連規制・スタンダード

(注)「制御システムにおけるセキュリティマネジメントシステムの構築に向けて~IEC62443-2-1の活用のアプローチ~」(IPA)の「図1-1.制御システム分野における標準の位置づけ」に加筆

KPMGが提供するアドバイザリーサービスでは、NIST、ISO/IEC、FRA、RSIA、NERC CIPなどの産業用制御システムの関連規制やスタンダード、ガイドラインに準拠したセキュリティ対策の設計・導入支援に留まらず、エシカルハッカー・クラスのプロフェッショナルやICSエキスパートによる侵入テストやセグメンテーション評価、階層モデル分析(PERA)、セキュリティ構成評価、ICSアーキテクチャの再構築などの技術的アセスメント・支援、サプライチェーン攻撃に備えたコンフィギュレーションマネジメント態勢の再構築や、ベンダーマネジメント及び調達プロセスも含めたガバナンスモデルの再構築など、サイバーセキュリティと業界のオペレーションにおける高度かつ複雑に絡み合った課題の解決をサポートします。

なお、当該サービスは、セキュリティ対策の深い専門性と高度な技術的バックグラウンドを有するサイバーセキュリティアドバイザリーグループと、各セクターの業界動向や戦略・オペレーション改革、大規模プログラムマネジメントなどの洞察、推進能力を有するマネジメントコンサルティンググループから、各分野のプロフェッショナルを集結し、最適なチーム編成の下で提供して参ります。また、サイバーセキュリティ対策で先行するグローバル企業の事例参照や最先端の知見・方法論を活用するため、KPMGの海外メンバーファームとも積極的に協業・連携していきます。

今後、クライアント企業からの要請に応じて高品質なアドバイザリーサービスの提供に努めることと並行し、主要な関連企業/関係者各位に対して、適切な状況認識やセキュリティ対策の推進に資する情報発信に取り組んで参ります。なお、当該重要インフラ産業向けサイバーセキュリティーアドバイザリーサービスにおいて今期20名のプロフェッショナル体制の構築を目標とし、3年後に40名の体制を目指します。

KPMGジャパンについて

KPMGジャパンは、KPMGインターナショナルの日本におけるメンバーファームの総称であり、監査、税務、アドバイザリーの3つの分野にわたる8つのプロフェッショナルファームによって構成されています。クライアントが抱える経営課題に対して、各分野のプロフェッショナルが専門的知識やスキルを活かして連携し、またKPMGのグローバルネットワークも活用しながら、価値あるサービスを提供しています。日本におけるメンバーファームは以下のとおりです。

有限責任 あずさ監査法人、KPMG税理士法人、KPMGコンサルティング株式会社、株式会社KPMG FAS、KPMGあずさサステナビリティ株式会社、KPMGヘルスケアジャパン株式会社、KPMG BRM 株式会社、KPMG社会保険労務士法人

KPMGコンサルティングについて

KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、BPR、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクター等のインダストリーに対し、幅広いコンサルティングサービスを提供しています。

KPMG FASについて

KPMG FASは、フィナンシャル・アドバイザリー業務を提供する会計系アドバイザリーファームのリーディングファームとして、企業が抱える様々な経営課題の解決や企業価値向上を支援しているプロフェッショナルファームです。リストラクチャリング(企業・事業再生)、コーポレートファイナンス(M&Aアドバイザリー、バリュエーション)、トランザクションサービス(デューデリジェンス)、ストラテジーグループ(経営戦略)、フォレンジック(不正調査)の5つのサービスラインを有し、企業活動のあらゆるニーズに対応すべく、ワンストップサービスを提供しています。