デロイト トーマツ グループの総合力を活かし、グローバルで活躍する企業や組織へのサイバーリスクに関するコンサルティングサービスをおこなっているデロイト トーマツ リスクサービス株式会社(DTRS)。今回はシニアマネジャー白濱直哉様にアクシスコンサルティングの河東孝至がインタビューしました。(2017年8月時点)
小学生の頃に観た映画の世界に憧れて、セキュリティの世界へ
河東
まずは白濱様のご経歴からお伺いします。
白濱様
大学卒業後、今ではセキュリティ大手と言われる会社に入社しました。当時はセキュリティというビジネスを始めたばかりで、新卒はセキュリティチームに入れないと言われていたのですが、どうしても入りたいとしつこく手を上げて加えてもらいました。
技術的なセキュリティを中心にさまざまなセキュリティの対策支援を担当し、6年程在籍していました。その後、監査法人でセキュリティ関連サービスをしていると聞き、有限責任監査法人トーマツ(トーマツ)のセキュリティビジネス部門に転職しました。その後セキュリティビジネスをより戦略的に強化するため、2009年に同部門がデロイト トーマツ リスクサービスとして法人化されました。
河東
当時新卒でセキュリティに興味がある方は珍しいと思いますが、セキュリティに興味を持ったきっかけは何でしたか?
白濱様
10歳くらいの時に、『ウォー・ゲーム』や『マイコン大作戦』などのコンピューターを駆使して活躍するような映画やテレビを観ていて、憧れていたのです。最先端ですし、そういうことを仕事にできればと思っていました。
河東
かなり早い段階から目標とされていたのですね。実際仕事にされていかがでしたか?
白濱様
多少違う部分はありましたが、最先端のことをやっているという実感があり、相当やりがいは感じました。
河東
トーマツに移られたきっかけは何でしたか?
白濱様
30歳頃まで技術的なことばかりでしたから、マネジメント寄りのことに挑戦してみたいと思ったためです。
技術者同士でセキュリティ対策の話が盛り上がっても投資するのは経営・マネジメント層です。そこに対して訴求をしていかないと世の中良くならないのではないかと考え始めていました。
監査法人でサイバーセキュリティのコンサルティングをしているという情報をもらい、話を聞いてみると、内部統制などでも、情報システムの脆弱性が経営リスクになっていることが多数あるとのことでした。そこで、自分のキャリアが生かせると思ったのです。
河東
入社してみて前職とのギャップは感じましたか?
白濱様
前職とはクライアントの層が大きく変わり、マネジメント層を中心とした技術的な部分に詳しくない方たちが主なカウンターパートになりました。
求められるスキルも前職での技術的なリスクから、マネジメントや管理的リスクになったという点は大きく違います。ただ、リスクをどれだけ軽減できるか、という視点には変わりがなかったので、意外と早く馴染めました。
前職で培った技術的なバックグラウンドはとても役に立っています。どこに危険があるのかを、具体的に示さないとクライアントにわかってもらえないため、具体的にリスクを指摘して、システム系の人にも同意してもらうことで経営者も説得することができるのです。
日本特有の攻撃に備え、日本独自のインテリジェンスを蓄積
河東
時代の流れとともにセキュリティのニーズは変わってきているのでしょうか?
白濱様
攻撃が進化して攻撃者も変わってきています。昔は愉快犯や自分の力を見せつけたいという攻撃者が多数でしたが、今は攻撃で得られる情報がお金になるため、攻撃者が組織化され攻撃も高度になり、会社のリスクは大きくなってきています。
最近は経営リスクにサイバーリスクを入れて対応しなければならないという認識になっていますね
河東
サイバーセキュリティの領域はこれからどうなっていくのでしょうか?
白濱様
本当は伸びないほうがよいのですが、今後はますます伸びるでしょう。個人も含めて被害に遭われる方が多くなり、ニーズも増すと思います。
河東
そのなかでのデロイトトーマツ グループとしてセキュリティ領域の強みをお聞かせください。
白濱様
グローバルファームであることは大きいですね。グローバルネットワークを通じ、日本が持っていない情報やナレッジを得ることができます。また、サイバーセキュリティのトレーニングを海外で実施したり、スキルモデルもグローバルで標準化しており、自己研鑽もしやすいです。
また、サイバーセキュリティ以外の監査・保証業務や税務・法務やコンサルティングのプロフェッショナルが国内に11,000人おり、コラボレーションすることでクライアントのあらゆるビジネスニーズに対応できることが、デロイト トーマツの魅力・強みだと考えています。
河東
デロイトはグローバルで見た場合、セキュリティ・リスク領域でのシェアは非常に高いと聞いています。
白濱様
第三者機関の調査(※)では1位と言っていただいていますね。 ※Market Share Analysis: Security Consulting Services, Worldwide, 2016(Gartner, Inc.)
日本もデロイトのグローバル水準に追いつけるようにがんばっています。最近は日本企業向けにカスタマイズされた攻撃がおこなわれるケースも増えているので、日本独自のインテリジェンスを蓄えることにも注力しています。
そのなかのひとつにサイバー インテリジェンス センター(CIC)があります。CICはグローバル20カ所以上で展開されている監視センターのようなもので、日本は昨年5月に開設しました。そこではクライアントのネットワークやダークネットを監視することで、セキュリティに関するインテリジェンスを集約しています。
また、サイバーセキュリティに関係する仕事をしているコンサルタントが兼任で所属するデロイト トーマツ サイバーセキュリティ先端研究所という研究機関もあります。ここではCICで収集したインテリジェンスや最新のセキュリティ機器の検証、情報発信をしています。
グループ内でコラボレーションも多数。キャリアパスを自分で選べる
河東
御社は部署や所属している会社にとらわれずに、グループ間で連携して仕事をするイメージがありますよね。
白濱様
例えば、業務改革のようなコンサルティングをする場合でもITを活用することが前提となるため、セキュリティは必ず考えなければならない要素になります。大きなプロジェクトでは毎回声が掛かり、セキュリティ担当ということでコラボレーションするということは昔からおこなっています。このようなグローバルとの連携プラス国内の連携もデロイトの強みですね。
また、社内派遣の制度もあり、手を上げれば柔軟にやりたいことをさせてもらえます。私もファイナンシャルアドバイザリー系のグループ会社に2年ほど出向しており、そこで不正会計調査や訴訟対応といった経験を積みました。
河東
キャリアパスの幅広さは御社の特徴と言えますね。
白濱様
幅広いだけでなく実際に選べるという感覚です。総合コンサルティングファームは多種多様な業務をしていますので、他の専門領域にキャリアチェンジできるチャンスも多いです。それが会社側にもプラスになります。グループ内にネットワークができますし、多くのスキルを身につけてもらうことができますので。
クライアントにセキュリティとは関係ない提案をする場合でも、「グループ内のセキュリティ専門のメンバーをアドバイザーとして入れます」と言えるのはクライアントにも評価されますね。
クライアント目線で何を求められているのかを第一に考えるので、適材適所で一番いい人、クライアントに自慢できる人をプロジェクトにアサインできる。それがリピートにもつながると考えています。
河東
実際に白濱様が担当されている案件の概要を教えていただけますか?
白濱様
技術的な観点で対策の実効性を評価する案件がコンスタントにあります。「いろいろなセキュリティ製品を導入したがインシデントが減っていない」というのが多くの組織であるようです。これまではファイアウォールやサンドボックス製品といった「点」でセキュリティ対策を考えることが多かったですが、どうしても攻撃がすり抜けてしまいます。
守りたいものと脅威を明確にしたうえで、「面」でセキュリティ対策を考える必要があります。また、公表されないケースが多いのですが、内部不正が一定数あることも実効性を求める背景になっていると考えています。
その他には、社内のセキュリティ人材モデルを構築する案件が増えてきています。事業会社も含め、セキュリティ人材が引っ張りだこの状況ですが、「そもそも、我が社にはどういうセキュリティ人材が必要なのか」というところが議論し尽くせていないケースが多いです。採用したけれど期待した役割がこなせない、腕がなまるからとすぐに辞めてしまうという話を聞きます。
セキュリティは領域が広く奥も深いため、組織の規模や業種に応じたセキュリティ体制、その体制で必要となるスキルを明確にする必要があります。セキュリティ対策を向上させたいという本気の現れだと考えています。
河東
サイバーセキュリティの分野は、事故が起こらないようにコンサルティングしていくことだと思いますが、どのような点にやりがいを感じますか?
白濱様
この仕事に限った話ではないでしょうが、提供したサービスに喜んでもらえたときですね。最後にクライアントから「経営に報告したら褒められました。また次年度もお願いします」と先につながるお話をいただけると、それまでの苦労も忘れます。
河東
大変だと思うのはどのようなことですか?
白濱様
プレッシャーがあることですね。時間や成果物の品質だけではなく、非常に高いスキルが求められています。最近はクライアントのレベルも高くなっており、中途半端な知識や情報だけでは返り討ちに遭ってしまいます。プロフェッショナルを自負するために、日々自己研鑽しなければ勤まらない仕事だと考えています。
やる気とパッションがあれば、セキュリティは未経験でもOK
河東
白濱様のチームはやはり、セキュリティの経験がある方が中心になるのでしょうか?
白濱様
メンバーのバックグラウンドはセキュリティ分野の人だけではなく、SIerでシステム開発や導入、運用を担当していた人などさまざまです。セキュリティ以外のIT業界からセキュリティ領域に挑戦したいと入社した人が多いですね。
他にも個人情報やマイナンバーなどの規制や認証に関する知識も必要になるので、法律や制度に詳しい人もいます。
河東
何人ぐらいいらっしゃるのでしょうか?
白濱様
デロイト トーマツ リスクサービスのサイバーチームで約70人、専任以外も含めたデロイト トーマツ サイバーセキュリティ先端研究所で130人ですね。
河東
では、白濱様のチームが求めるのはどのような方でしょうか?
白濱様
基礎的な能力としてロジカルシンキングやロジカルライティングの能力がある方。あとはコミュニケーション能力などの基本的なスキルが必要です。経験によってはポテンシャルを見させていただきます。
セキュリティの専門スキルがあれば望ましいですが、いわゆるトップガンを探しているわけではありません。ITの経験は欲しいですが、セキュリティは未経験でもやる気とパッションがあれば歓迎します。
デロイト トーマツ リスクサービスは教育体制が整っており、基礎的なロジカルシンキング、ロジカルライティング、コミュニケーション能力というベースになる研修は経験の有無を問わず受けますし、サイバーセキュリティ関係のトレーニングもあります。
また、グローバルで実施しているデロイトサイバーアカデミーもあります。マネジメントや製品、マルウェアの解析など豊富なトレーニングメニューが用意されています。
「デロイト、エリートだよね」と言われるような会社を目指したい
河東
お忙しいと思いますが、白濱様のプライベートについてもお伺いできますか?
白濱様
映画や海外ドラマを観るのが好きです。『NCIS〜ネイビー犯罪捜査班』という海軍のさまざまな事件・事故の調査をするCSIの海軍版のドラマを観たりしています。そういうのを観ているといつか科捜研で仕事をしてみたいと思ったりしますよね。
あとは10数年前からバイオリンを少々。仕事とは全然違う趣味がいいと思って始めました。クラシック音楽が好きなので楽しんでいます。
「飲みニケーション」も大事だと思っているので、以前より頻度は少なくなりましたが、メンバーとはよく飲みに行きます。チームをマネジメントするうえでもコミュニケーションは大事ですし自分のセキュリティに対する考えも知って欲しいですが、仕事時間中はそういった話をする機会がとれないので。あまり喜ばれないかもしれませんが。
河東
最後に御社で働くことのメリットについてお聞かせください。
白濱様
やはり、グローバルであることと最先端であること、グループにあらゆるプロフェッショナルが揃っていることですね。それによって自身の仕事の幅も広がりますし、クライアントの層も厚くなります。例えばメガバンクの場合、さまざまな部署がありますが、その各部署に対して総合的にコンサルティングができるので、経験できることも多いです。
IoTやインフラ、制御系システムなどがネットにつながるようになり、リスクの領域は広がっています。IoTなどは採算性を考えるとまだ手を出しにくい分野ではありますが、目先の利益ではなく将来の需要を考え研究していますし、そのような環境が整っています。
河東
白濱様は東京電機大学の外部講師もされているそうですね。
白濱様
はい。サイバー攻撃や内部不正があった際にその原因や影響範囲を調べる手法をデジタルフォレンジックと呼ぶのですが、その講義をしています。学生の7割が社会人で、学生から仕事を依頼されたこともありますし、転職してきた人もいます。
河東
コンサルタントが大学講師を兼務できるというのは魅力ですね。
白濱様
そうですね。最先端のことに関わる仕事ですから、講師や執筆といったチャンスは多いです。
また、サイバーセキュリティの仕事はマネジメント系とテクニカル系に分かれてしまいがちですが、デロイト トーマツ リスクサービスではオールマイティーに両方できるようになってもらいたいと考えています。それができる環境であることは大きなメリットではないでしょうか。両方とも経験したうえで、テクニカルを極めたいと思えば、極めることもできます。
デロイト トーマツ リスクサービスで経験を積めば、5年後、10年後には、グローバルレベルでセキュリティの最先端も知っていて、どこでも通用する人材になることができます。変な話ですが、他の会社に転職したときにも、「デロイト卒、エリートだよね」と言われるような会社を目指していきたいですね。
