IT戦略や導入支援を行う中で、直近セキュリティ対策やリスク戦略の相談が増えたことから、2018年7月に新設されたABeam Security。今回は、チームを率いるプリンシパル畠山友希様、シニアマネージャー山中樹八様より、設立の背景や、ソリューションの特徴、マーケットから見る現在の課題感や、求める人物像についてアクシスコンサルティングの福原、江口がお聞きしました。なおこのインタビューは2019年11月時点のものです。
プリンシパル 畠山様、シニアマネージャー 山中様のご経歴
江口
お二人のご経歴からお伺いしてもよろしいでしょうか。
畠山様
ブーズ・アレン・ハミルトンでインターンをしていた経験もあり、グローバルでのコミュニケーションスキルやビジネスセンスを身に付けたいと思い、新卒で旧デロイトに入社し、今年で27年目になります。
会計・業務コンサルタントを5年ほど経験し、その後はエンタープライズアプリケーションの構築やIT構想策定、内部統制など、導入や運用から上流の領域も含めてITコンサルティングの経験を積んできました。
この2年弱は新たにセキュリティ領域のビジネスを立ち上げ、サービスやソリューション開発を経験してきました。直近では、アビームクラウドのセキュリティ強化のコンサルティングサービスを中心に提供しています。
最近は、データマネジメントやデータガバナンスなど、今日のテーマのDX時代に向けていろいろな新しいサービスソリューションを活用し、より先手を打つようなセキュリティ対策を打ちたいという要望に応える案件に関わることが増えていますね。
プリンシパル 畠山友希様
江口
ありがとうございます。山中様のご経歴を教えていただけますか。
山中様
大手通信キャリアに入社後、PBXの営業をしていく中で、機械の仕組みから理解しないとお客様にメリットが訴求できないことに気づきました。そこで4~5年を経てからグループ会社に出向しUNIXシステムの企画や導入を公共機関中心にリードをしてきました。
出向から3年で本社に戻り、銀行の新規事業立ち上げ支援をしていた部署にUNIXエンジニアとして配属をされ、その後はUNIXだけでなく、ホスト、勘定系のサブシステムのアプリケーション開発や基盤の構築・設計を十数年経験しました。
私がセキュリティ領域に踏み込んだきっかけになったのが、政府による国民向けシステム開発案件です。当時、機能設計した後の「非機能」と言えば運用のことを指すことが多かったのですが、当時の担当大臣からセキュリティ面の指摘があり、基盤アプリケーションの設計から運用まで経験のあった私にセキュリティを統括するポジションへの打診依頼がありました。
今までもセキュリティやリスクについてお客様に伝えることはありましたが、体系的に学ばないと抜け漏れがあるのではないかと思い、CISSP含めたセキュリティの勉強をその時本格的に始めました。
その後、セキュリティ事業を立ち上げる企画フェーズから、どう事業を軌道に乗せるかといった組織のリードまで経験できるポジションへのオファーを頂いたことから、アビームへ転職しています。
福原
キャリアチェンジの際に不安などはありましたか。
山中様
前職では200名規模のチームマネジメント経験もあり、お客様と定量的・定性的な分析からIT戦略を考えるといった仕事もしていたため、スキル面での不安はほぼない状態で参画しています。
シニアマネージャー 山中樹八様
メンバーは約20名、「コンサルティング」「ソリューション」の2チーム体制
江口
メンバー数やチーム体制について教えてください。
畠山様
現在で約20名のメンバーがおり、各メンバーはセキュリティに関するクライアントの課題をシームレスに解決する「コンサルティングチーム」。WAFの自社開発や、海外を含むパートナーのサービスを個々のクライアント向けにアレンジする「ソリューションチーム」に分かれております。
江口
2018年7月にセキュリティチームが立ち上がった背景を教えてください。
畠山様
大きな背景としては、DXの時代になり、クラウドやブロックチェーンなどが登場し、サイバー空間にビジネスがシフトしていくことで、今まで会社の中に存在していたITがあらゆるマーケットと繋がりました。障害の及ぼす範囲が社外へと大きく広がったことが大きいかと思います。
そのような背景の中、2017年初頭に、我々アビームコンサルティング自身が業務で使用しているSaaS、PaaS等のセキュリティ診断を行い、またクライアントからもセキュリティ支援の依頼が増えてきたことがきっかけで同事業を立ち上げました。
その後、プレスリリースを打つ18年7月までの間に、我々自身の手でソリューションを開発、またイスラエル系スタートアップや社内のリサーチ&イノベーションチームと連携してソリューションのラインナップを増やしていきました。
ABeam Securityの特徴は、自社に開発部門を抱えず常に最適なソリューションを提供すること
江口
ABeam Securityの特徴を教えてください。
山中様
大きな特徴として、アプリケーション開発部門を抱えていない点が挙げられます。当該の部門を運営していくためには、お客様の価値に繋がるかどうかは別にして独自のソリューションを売らないといけません。スリムな組織かつ身軽だからこそ、お客様に正しく価値提供できると考えています。自社の都合を優先してリスクをお客様に背負わせないように、海外含めビジネスパートナーを厳選してオフロードしています。
市場認知としては外資系グローバルファームと比較すると、当然セキュリティ分野では後進です。クライアントからも「セキュリティの分野で10年20年歴史をつくってきたファームと比べて何の価値があるのか」と聞かれます。 ただ、私は「後進かつ決まった定型のソリューションがない分、最新の情報もオフロードした提携先から仕入れることができ、柔軟にお客様の要望を叶えるためのフォーメーションが実現できます」とお話しています。
その他、IT領域だけでなく、プロセス、規範・法律、人・組織といった領域が取組の対象となることから、ITに特化したプロジェクトや業務だけでなく、企業リソース全般に携わるセキュリティコンサルティングが可能です。
江口
その他にABeam Securityの特徴を示す案件や提案などはありますか。
山中様
「かたちが揃えれば良い」というお客様に対しては、丁重にお断りするケースもあります。例えば、セキュリティの担保ができているかどうかは重要ではなく、監査が来た際に提出する日付とサインが入った紙が整備できていれば良いという案件依頼です。
セキュリティチームが自社の都合を優先して目先の利益で仕事を受けると、クライアントだけでなく最終的に社会全体のセキュリティを大切にする風潮や土壌が崩れていきます。セキュリティ領域のソリューションは正しい理念や思いを持って提供してこそ、初めて価値が生まれるのです。これはメンバーにも常々伝えています。
また、直近では海外からの問い合わせが増えています。セキュリティ関連のスタートアップで、「日本企業に提供したいソリューションがある」といった相談がまず一つ。
また、例えば日本の製造業のお客様が、海外の工場においてインシデントが発生した際に、我々のチームがハンドリングをしつつ現地を訪れ、中国拠点のメンバーと連携しながら調査を進めていくケース。逆に、海外のレギュレーションが変化したことで、海外拠点から我々に相談が来るので、日本側で持っている知見を伝えに行くこともあります。アビームは日本がヘッドクオーターのため、日本人メンバーが現地で中心となってクライアントサポートできる点はセキュリティチームも同じです。
お客様にセキュリティ対策の重要性を認識して頂くには「収益改善のきっかけに繋がる提案」が必要
江口
あらためてマーケットのトレンドについて、昨今のデジタルトランスフォーメーションの時代にセキュリティ領域が求められている背景をお伺いしてもよろしいでしょうか。
畠山様
社会インフラが利便性を求めてきた結果、公害が起きるケースが増えてきましたが、企業もまったく一緒の考え方です。DXに代表されるように、企業は収益を高めるために便利なものを素早く取り入れた結果、安全性に対する考慮がなおざりにされてきました。
江口
まだクライアントのセキュリティ領域に対する知見や認識は薄いとお考えでしょうか。
山中様
セキュリティ意識が高い企業も勿論ありますが、まだ薄い企業が大半であるのが実情です。セキュリティの重要性について上場企業のCEOや経営層とお話をする機会があるのですが、認識はされているものの、「セキュリティ対策をすれば儲かるのか」という点を気にされるケースが多い印象です。
リスクを数値化しても、「数百億の損失と言われたところでよく分からない」と返答されることもあります。保険を掛ける必要性を説いても、成長段階にある企業は簡単にはセキュリティに資源を割かないのです。
福原
そのようなお客様に対して、どのようにアプローチしているのでしょうか。
山中様
守り一辺倒では誰も話を聞いてくれないのが事実です。そこで、我々はミッションとして、セキュリティの担保による効率化など、収益性への貢献度を訴えるようにしています。
一例をあげると、セキュリティを担保したコーディング規約を整備・浸透させることで、バグ出現率が従来よりも低く抑えられる文化が醸成され、その結果として工期が短縮されます。このように、セキュリティを重視することで収益改善のきっかけに繋がるような提案を行っています。
福原
日本特有のセキュリティの意識が醸成されにくい理由はありますか。
山中様
海外の投資家は、デューデリジェンスなど企業の資産価値を評価する時にリスク関連の報告書を非常に気にします。一方で、日本ではコーポレートがセキュリティに対する取り組みやそのリスクを報告する制度が未だありません。自主努力だからこそリスクへの意識が根付きにくいのかと思います。
そういった日本の環境に対してグローバルテンプレートや海外の事例を提供しても根本的な意識を変えられる訳ではないため、先ほど申し上げたように監査に提出する紙だけを用意するような上辺だけの依頼は断り、決まったソリューションや今までのテンプレートに縛られない適切な課題解決ができる我々のような「スリム」で「フレキシブル」なセキュリティチームが求められているのだと思います。
無理に収益や短期的な価値を提供する、もしくは無理に値段を下げながらマーケットにアジャストすることで、逆にクライアントに損害を与えることのないよう、地に足の着いたセキュリティサービスによって価値提供していくことを会社からもミッションとして課せられています。
柔軟にソリューションを生み出すチャンスがあるため、採用では「セキュリティを通して描く将来像」を重視している
江口
ABeam Securityのキャリアパス面での特徴などはありますか。
山中様
結論から申し上げますと、自分が提供したい価値を世の中にロールアウトしていくチャンスが多分にあるということです。 まず、ABeam Securityでは、IT領域だけでなく、プロセス、規範・法律、人・組織といった領域が対象となることから、企業リソース全般に携わることが可能です。
また、法規則ベースでやるべきタスクを導き出したアプローチや、実際にお客様自身への診断を通して足りない部分をリスクベースで抑えていくアプローチも可能であり、課題解決の方法に正解がありません。
つまり、自分がクライアントに提供したいソリューション、その先にあるクライアントや社会の成功といった、その人が生み出したいイメージや、価値観がソリューションを決めていきますし、そういったイメージを持つことが入社後は求められます。
江口
採用においても価値観を重視するケースが多いのでしょうか。
山中様
コンサルティングファームの採用ではスキルや経験を問うケースが多いですが、ABeam Securityでは「価値観がソリューションを決める」ため、なぜ弊社を志望するのか、なぜ現職の環境では駄目なのか、セキュリティコンサルを通して何を実現したいのか等、志望動機を非常に重視しています。
福原
セキュリティ領域の知見などは必要とされるのでしょうか。
山中様
もちろんセキュリティ領域への興味や、シニアコンサルまではIT設計、構築に関する実装経験、マネージャー以上はPM、PLとしてのプロジェクトリード経験なども必要ですが、コンサルタントとしての明確なビジョンを重視しています。
また、最近は海外クライアントからの問い合わせが増えているため、英語で交渉ができる人材も積極的に採用しています。ただ、入社段階で英語を完璧に使いこなせる方はあまりいません。たとえば、現在取り組んでいる海外プロジェクトの提案案件では、現地大学でセキュリティ人材を育てるためのマスターコースを設定する支援業務があります。こういったグローバル事案に対応できる人材は非常に魅力的です。
目に見える結果がすぐに出る領域ではないが、価値提供すること自体にやりがいを感じられる人が活躍できる
江口
最後に、候補者の方にメッセージをいただけますか。
畠山様
「すぐに結果はでなくても、相対する人間に喜んでいただくことが自分の喜び」というパーソナリティを持っている方は活躍できる領域ですし、そのようなマインドの方を求めています。
セキュリティ分野では基本的に事故が起きなければ問題が顕在化しないので、支援したことがすぐに結果をもたらさないことが多々あります。 そのため、例えば、棒高跳びで1センチ2センチを達成していくなど、目に見える結果がモチベーションになるタイプの方は、システムをつくることで自分の喜びが得られるSIerに向いていると思います。
一方で、すぐには目に見えなくても、相手に何かしら価値を提供することがモチベーションになる方はセキュリティコンサルタントとして重要な資質を備えていると思いますし、そのような方をアビームコンサルティングでは、お待ちしております。
