今回はデジタルアーツコンサルティング株式会社(以下DAC)の中でも「セキュリティ」に特化したコンサルティングサービスを提供するCISOチームの統括部長 吉田卓史 様、シニアコンサルタントの堀野大紀 様、コンサルタントの神戸文香 様へのインタビューです。
Big4系セキュリティファームを経て、外資セキュリティベンダーのコンサル組織立ち上げを複数任されたセキュリティ領域一筋の吉田様が、なぜ他の大企業のコンサルポジションを辞退してDACに入社したのか。転職動機や、吉田様率いるCISOチームの特徴、ソリューションやキャリア面での大手ファームとDACの違いなどについてお聞きしました。
セキュリティ歴17年、McAfeeなど外資ベンダーでのコンサルチーム立ち上げを経てDACへ
長谷部
まず最初に、吉田様が立ち上げられたCISOチームはどのような組織なのかお話しいただけますか。
吉田様
CISO=Chief Information Security Officerという、組織の中のセキュリティ責任を持つ役員などの立場の人たちをサポートするための組織です。
吉田卓史 様
長谷部
ありがとうございます。CISOチームを立ち上げるまでの吉田様のご経歴についてお伺いしても宜しいでしょうか。
吉田様
私は2003年に新卒でNTTデータに入社いたしました。それ以来セキュリティのコンサルティングを生業としております。2010年には、より専門的にセキュリティコンサルティングを経験するため監査法人トーマツに転職しました。この2社では、ガバナンスや監査、マネジメントコンサルを中心に経験していました。
その後、セキュリティコンサルティングチームを作るというミッションをうけて、外資セキュリティベンダーであるMcAfeeに転職しました。McAfeeではセキュリティ機器のログを集約してセキュリティ侵害の兆候を検知したり、実際に侵害が起こった際にそれを調査分析したりするSIEM(Security Incident & Event Monitoring)を取扱い、企業全体への攻撃を監視するセキュリティセンターの設立もリードしました。McAfeeでは前職と異なり、テクノロジー系のコンサルティング経験が積めました。
次に、ファイヤーウォール系のソリューションを提供している、Palo Alto Networksに転職しました。そこではMcAfee在籍時と同様に、セキュリティのコンサルティングチーム構築に4年半携わりました。たった一人で0から始め、4年目には最終的に5億ほどの売上をあげる組織になっていました。
長谷部
ありがとうございます。前職から転職された理由をお伺いしてもよろしいでしょうか。
吉田様
転職したきっかけですが、前職のPalo Alto Networksは本社がUSにあるということもあり、ソリューションの提案やマネジメントの運営方針への関与など、できることに制限がありました。その中で4年以上勤め、自分のやるべきことは全てやり尽くしたと思ったからです。
長谷部
そのような背景の中で、どうしてDACを選ばれたのでしょうか。
吉田様
実は、DACに転職する前に、誰もが知っている米国のクラウドサービス事業者(以後、CSP)に入社が決まっており、すでにオファーレターにサインまでしていました。CSP にはコンサルで採用される予定だったため、「セキュリティ×クラウド×コンサル」のケイパビリティを伸ばせる魅力的なポジションであったことは確かです。ただ、同社はグループ35万人を超える超大企業で、前職以上に大きな組織です。そのため、前職の延長線上で仕事をするイメージがあり、3年程度で再度転職してしまうのでは?という危惧もありました。
そのようなことを考えていた折に、DACの社長から「0からセキュリティのコンサル部隊を企画して欲しい」という、非常にありがたい、裁量のあるポジションへのオファーをいただきました。この話をいただいた時、ちょうど人生におけるキャリアの後半を迎えようとしていた時でした。「DACに入社するからには、『3年いればいいだろう』ではなく、ここを最後の会社にしよう」というくらいのポジティブな思いで、マネジメントとしての新しいチャレンジができるのではないかと考え、最終的に入社を決意しました。
私のことをよく知っている人たちには「某CSPに行きます」とメールを送っていたので、いざ挨拶に行ったら「名刺が違うじゃないか」と言われることが続きましたね(笑)
親会社の「信頼」や「資金力」があるからこそ採用も前倒しで進められ大手企業とも取引ができている
長谷部
実際に御社に入社し、どのような点に働く面白味を感じていますか。
吉田様
入社した時は私一人しかおりませんでした。今では部下を含めCISOチームとして10名を超えるまでに拡大しています。
採用面談やリファーラルのリクルーティング活動もすべて自分一人で行い、組織を大きくしてきました。さらに、今年度末にかけてチームメンバーは15名にまで増える予定です。自分で思い描いた組織戦略を実現するための活動に制限がないため、自由に施策を打ち出せる点が非常に面白いと考えています。
また、豊富な資金力がある点も魅力的ですね。立ち上げから3年、10名程度の規模の会社が、1年間で一気に15名以上もの人材を採用するというのはとんでもないことです。
立ち上げたばかりの一般的なベンチャーファームで、これほど一気に人件費を増やすのは非常に困難です。そこは親会社のご協力もあり、チームのトップとして好きにやらせていただけています。
長谷部
ありがとうございます。組織運営という面に関して、堀野様、神戸様はDACだからこその面白味を感じる機会はございますか。
堀野様
たとえば、新サービスの開発や、中途人材育成のプラン、研修コンテンツ作成などについて、立場に関係なく自分発信で提案し、関わることができます。また、その取り組みの成果もすぐに現れます。大企業よりはるかに速いスピードで進む組織運営は、成長途中の組織であるDACだからこそ味わえる面白味だと感じています。
堀野大紀 様
神戸様
毎月の経営会議は全員参加です。前職では、社長は雲の上の存在で、経営方針や施策に関する意向を直接聞く機会はほぼありませんでした。DACでは経営状況や各チームの進捗についてトップに直接聞くことができるので、組織運営への責任感や連帯感が生まれ、「会社を作る」という視点にぐっと現実味が増したと感じています。
神戸文香 様
長谷部
なるほど、セリングや実際のコンサルティングのフェーズではいかがでしょうか。
吉田様
親会社のブランドイメージは非常に高いものがあります。i-Filterは、フィルタリングというカテゴリーにおいて日本で最も知名度のあるソリューションです。そのため、親会社の紹介でなくとも、我々がお客様や知り合いに対して「デジタルアーツコンサルティングです」と挨拶をしに行くと「ああ、 i-Filterの!」と言っていただける。そこはお客様に対する最初の印象・信頼感という面では非常に良い効果があると感じます。
たとえば、大手企業に「ベンチャーを立ち上げたので直接取引をしてください」とお願いしても、契約まで至るのはなかなか難しいと思います。しかし、デジタルアーツという冠がついていることにより、通常なら弊社のようなサイズの企業と直契約しないような巨大企業と直契約を結べています。そのような点は親会社に感謝しているところです。
長谷部
御社も親会社が大手セキュリティメーカーですが、転職時に懸念されていた”しがらみ”という点ではいかがでしょうか。
吉田様
もちろん、親会社のソリューションも広められるのが一番ですが、それよりもむしろ、親会社のソリューションがカバーできていない範囲に対して、様々な先進的ソリューションを組み合わせることにより、総合的にお客様を支援することが我々には求められています。そのため、DACは様々なパートナー企業とアライアンスを結んでいます。お客様が最も必要とする部分に対してアプローチできるツールを選べる自由度にも魅力を感じています。
長谷部
ありがとうございます。実際に、堀野様から見てもソリューションの自由度を感じるケースはございますか。
堀野様
吉田の話にもありましたが、DACは様々なパートナー企業と提携を結んでいます。これにより、お客様の課題を解決するために最適なソリューションを見極め、導入を支援することが可能となります。何らかのソリューションありきではなく、お客様の課題ベースで議論できる場面や、最新のソリューションを選択肢として考えることができる場面では、この自由度を感じます。
大手ファームのセキュリティ経験者や40代エンジニアが中核、一方で現在は若手のセキュリティ未経験層も増えている
長谷部
定量的に見た際にはどのようなご経歴の方がいらっしゃいますか。
吉田様
コンサルティングとエンジニアリングのケイパビリティがある方で構成されています。コンサルティングに関していうと、バッググラウンドは多種多様です。以前は大手ファーム出身のメンバーが多くを占めていましたが、今はそうではありません。
また最近は、セキュリティ領域について未経験であっても、意欲の高い方を採用しているので、年齢層もバラけています。マネージャーも私以外に1名採用しました。年齢は30代と20代が半々くらいでしょうか。
エンジニアは若干年齢層を高めにしています。これは、チームの立ち上げのタイミングでは、セキュリティ領域を一人でリードできるメンバーを採用しなければならなかったためです。年齢層としては、40代半ばが中心になっています。そのメンバーが中心となり、現在は若手エンジニアを採用し、育てている段階です。
長谷部
本当に年齢層であったり前職の企業規模であったり、ご経験もみなさん多種多様なバックグラウンドが。
神戸様
社会人2、3年目ぐらいの方も積極的に採用しています。社会人2、3年目ではプロフェッショナルといえる領域は少ないと思うのですが、「一緒にセキュリティ分野を盛り上げていきたい」という当チームのパッションに賛同いただいたり、「”セキュリティ”という得意分野を手に入れたい」と思っていただいたりしている方なら大歓迎とのことで、積極的に採用されています。本当にいろいろなバックグラウンドの方と仕事ができ、学ぶことが多くあります。
長谷部
なるほど、堀野様、神戸様はどのようなご経歴を経てDACに入社されたのでしょうか。
堀野様
私は、大学卒業後にNTTデータ経営研究所に入社し、そこで情報セキュリティの分野に携わり始めました。当時はセキュリティの分野以外にも金融業界の調査研究や人材領域などのコンサルティングにも幅広く携わっておりました。その後、セキュリティ分野の専門性を高めたいと思い、監査法人トーマツのリスクアドバイザリーに転職しました。ここでは、サイバーセキュリティをはじめ、BCP策定や個人情報保護対応、国際規格対応なども含めた、リスクマネジメント分野でのアドバイザリー業務を行っておりました。 その後、海外のセキュリティソリューションに関する先進的な取り組みを通じて、セキュリティコンサルタントとしてのスキルをより一層高めるべく、吉田に引き抜かれる形でDACに転職いたしました。
長谷部
ありがとうございます。神戸様はいかがでしょうか。
神戸様
私は新卒でNTTコミュニケーションズに入社し8年半在籍しました。入社後6年間は子会社のNTTPCコミュニケーションズに出向し、プリセールスSE兼プロダクトSEとして、法人向けネットワーク商材の提案、設計、検証、構築を行い、その過程で得た顧客の声を開発サイドにフィードバックするなどの開発支援を行っていました。プロジェクトによっては保守設計までさせていただき、提案から保守まですべてのフェーズに携わることができました。この6年間で、いち社会人として、また、いちエンジニアとして大きく成長させてもらえました。
その後、この現場で得た知識や経験をサービス開発という立場で活かしたいと思い、親会社に戻りました。しかし、2年ほど携わる中で「社内でサービスを作る作業より、お客様のそばで、お客様の様々な課題を解決する立場でありたい」と気づきました。そして、お客様にどのフェーズでも関わり続けることができて、お客様の課題をきちんと解決できるような、そんな仕事を求めてDACに転職いたしました。
コンサルティング事業を謳っている会社で、コンサルから構築、運用まで携わることができる会社は少ないのですが、触れ込み通り、どのフェーズにも携われている現状に、転職して良かったと感じています。
長谷部
全体的にはどのような理由で転職される方が多いのでしょうか。
吉田様
我々はPalo Alto NetworksやSplunkなど、業界の最先端をいくソリューションを取扱っています。やはり、堀野のように新しいソリューションを通してスキルアップをしたいという理由で弊社を希望する人が多くいる印象です。その他にも、今、セキュリティ領域が市場の中でもホットであるという印象を実際に肌で感じている方もかなりいらっしゃると感じています。コンサルやSEとしてやってきた方の中でも、「よりセキュリティの色をつけたい」、「マーケットでセキュリティ領域の価値を上げたい」というモチベーションの人が多いと感じますね。
長谷部
実際に、思い描いたキャリアを描けているのでしょうか。
神戸様
自分の意志でキャリアを描きやすいと思います。もちろんプロジェクト次第ではありますが、吉田や他のマネージャーも、メンバーの希望に沿うようにアサインを配慮してくれています。入社してから私が携わっていたのは、セキュリティの中でもガバナンスの領域でしたが、「現在のお客様と作り上げたガバナンスをシステム上で実現する構築フェーズにも携わりたい」、「その際にはプロジェクトマネージャーという立場で貢献していきたい」という思いを汲んでいただき、現在のプロジェクトでは構築のPMを任せていただいています。初めてのことも多く、毎日四苦八苦していますが、それ以上のやりがいと自身の成長、そしてお客様の課題を1つ1つ解決していっている実感をひしひしと感じています。
長谷部
吉田様としても、アサインの方針は今までのご経験を活かして決定しているのでしょうか。
吉田様
我々はチームメンバー採用時に、「セキュリティコンサルに特化したCISOチームのメンバー」と明確にして採用しています。
もちろん、これには一長一短あります。
大手ファームにおいては、若手のメンバーに対してプール制を敷くケースが多く見られます。これには、「汎用的なスキル・ナレッジが身に付く」、「専門性の選択の自由がある」というメリットはあるものの、「どのようなプロジェクトにアサインされるか選べないことが多いため、思い描いたキャリアを築きにくい」というデメリットもあります。
私がNTTデータを辞めたきっかけも、NTTデータ経営研究所への出向が終わるタイミングで、「NTTデータのセキュリティ組織に戻りたい」と相談したのですが、会社の都合上戻せないと言われたのが実際のところです。NTTデータ時代の同期を見ても、17年間続けてセキュリティの仕事に関わっている人は2名ぐらいしかいないので、仮に私がNTTデータに残ったとしても、セキュリティの道を歩めた可能性は確率的に480分の2です。
もし「若手のうちから将来のキャリアに専門性をつけたい。それがセキュリティだ。」という明確な指針を持っている方であれば、CISOチームは最適な環境を提供できると思います。私自身、社会人経験17年でセキュリティしかやってこなかった、なかなか変なキャラクターなので、若い頃からスペシャリティを身に付けたいという気持ちもよく分かります。そのため、個々のキャリアの希望に沿ったプロジェクトにアサインするようにしています。
外資ベンダーとのコネクションゆえに、最新のセキュリティソリューションの取扱いや情報提供も可能
長谷部
一言に「セキュリティコンサル」と言えども、ソリューション、そして抱えるプロジェクトも様々です。まずCISOチームが目指す方向性について教えていただけますか。
吉田様
我々はどちらかというとセキュリティ業界では後発ですので、次世代の技術を使ったテクノロジーのコンサルティングを推し進めていきたいと考えています。そのため、セキュリティの分野においても非常にホットなキーワードである「自動化」や「AI」、そのようなソューションをお客様に対して提供していくことを主軸に推し進めていきたいと思っています。
ただ、テクノロジーだけでコンサルティングがうまくいくかというと、そうではありません。より上位の概念であるガバナンスやマネジメントの観点で、しっかりお客様と合意し、お客様が何を目指しているのか、どのようなセキュリティの体制で、どういうものを守っていきたいのか、という戦略部分をきちんと考えたうえで、戦術レベルに落とす。サイバーセキュリティのコンサルティングはその戦略部分が重要なので、「戦略」と「戦術」をうまく繋ぐことができるメンバーを集めて、お客様に貢献したいと考えています。
長谷部
クライアントの規模感についてはいかがでしょうか。
吉田様
今までセキュリティ業界で築き上げた関係性や実績、また親会社が有名企業であることから、幸いにも大手ファームと比較しても遜色ない、売上高数兆円規模のビッククライアントも多くいます。仕事をしていくうえで、誰もが知っているような大企業をお客様としてコンサルティングできることは、ひとつの魅力です。
長谷部
なるほど、セキュリティコンサルと一言で言っても、大手クライアントに対して戦略を立てるところからテクノロジーに繋ぐ業務、組織をどう変えていくのかまで一貫してサポートされているイメージですね。
お話の中にもありました新しいテクノロジーの活用事例があれば、お伺いできますか。
吉田様
今取り組みが始まったばかりではありますが、セキュリティのイベントを監視するセキュリティオペレーションセンターに自動化技術を導入しようとしています。
今までの監視は人の目に頼る場面がかなり多くありました。たとえば、大きなセキュリティオペレーションセンターでは一次切り分け・二次切り分けという言い方で業務が分かれています。一次切り分けをする人だけでも10名いるような規模です。自動化を取り入れることで、一次切り分けをする人員を全て削減できるような、ドラスティックなソリューションを導入しようと考えております。
長谷部
そもそも、今のセキュリティというマーケットにおいて御社が求められる理由や、御社だから提供できるサービスをお聞かせいただけますか。
吉田様
外資セキュリティベンダーとのパイプがあるため、セキュリティ領域で日本の一歩先を行く最新の技術を取扱っている点が強みだと思います。
Palo Alto NetworksやMcAfeeで築き上げた信頼関係があるため、最新の技術情報も積極的に提供してもらうことができたり、一緒に組んで仕事をしようと声を掛けていただいたりすることもあります。
また、堀野もそうですが、セキュリティに関する経験値が非常に豊富なメンバーを揃えていますので、大手外資コンサルティングファームと遜色ない質のサービスを提供できると自負しています。まだ30人規模ですが、その分余計なコストを省き、非常にリーズナブルな価格で、お客様に付加価値の高いものを提供できていると自信を持って言えます。
また、コンサルティングサービスを提供するのみで、「ソリューションは自分たちで調達してください」というスタンスの会社も多い中で、我々はソリューションもお客様の希望に応じて商社的に仕入れてお納めすることもできます。トータルでサービスを提供できるところが我々の強みだと思います。
セキュリティ業務を”こなす”ではなく、未経験でもセキュリティの最先端で前例のないサービスを作りたい方を求めている
長谷部
CISOチームでは現在どういったマインドセットやスキルの方を求めているのでしょうか。
吉田様
今は、指示待ちになるような人員ではなく、自ら動ける、自らやりたいことに飛び込んでくれるような方を中心に採用しています。
先ほど申し上げたように、我々は業界のかなり最先端をいくソリューションを扱っています。自分のスキルアップをしたい方や、今までシステムエンジニアとしてやられてきた方でも、よりセキュリティの色をつけたい方を求めています。
反対に、残念ながらご縁がなかった方々の特徴としては、ある程度できあがったサービスラインに乗ってセキュリティの業務をこなす志向の方です。
今、我々がやらなければいけないことは、サービスを作ることや、新しい技術を使って前例のないものにチャレンジしていくことです。定型的な業務や、決まったソリューションを回したセキュリティならできます、というような人はあまり適していません。
組織を拡大するステップに応じて、たとえば2〜3年後はそのような方も必要になってくるのではないかと思います。ただ、今の立ち上げ期では、やはり意欲を持って自分から飛び込んでいけるような方を集めたいと考えています。
長谷部
ただ単にオペレーションを回していた方よりも、能動的に課題や効率化を進められてこられた方や、そういったマインドセットをお持ちの方のほうがフィット感があるのですね。
吉田様
そうですね。能動的なマインドであれば、セキュリティ未経験でも私は良いと思っています。
弊社のバリューで「Think Big」と言っている部分に通じますが、今までやってきたことを継続したいと考えるのであれば、弊社でなくてもいいと思います。やはり、既存の枠に囚われないことに挑戦したい方が弊社にフィットするのではないでしょうか。
長谷部
ありがとうございます。最後にインタビューをご覧になられている方へメッセージをいただけますか。
吉田様
一言でいうと「業界の雄になろう」と私たちは考えています。
大手ファームではあくまでも業務改善やPMがメインストリームである一方、我々はセキュリティ“を”生業にしている会社ですので、弊社に入ればセキュリティがメインストリームです。セキュリティコンサルの業界の中でも、「DACは尖っている」というイメージを与えられるところまで大きくしたいと思っています。
さらに、将来的には親会社同様に上場を目指していますので、会社が大きくなる過程を一緒に味わえることも魅力になるでしょうか。
自分自身の成長が会社にオーバーラップしていくことは今しか味わえない体験なので、チャレンジしたいという人材とともに「業界の雄」になっていきたいと考えています。
