ガバナンス、テクノロジーの両面に精通したプロフェッショナルで構成されるEYストラテジー・アンド・コンサルティング株式会社(以下、EYSC) サイバーセキュリティチーム。サイバーセキュリティ強化が経営の重要課題として位置づけられる昨今、グローバルとの協力により上流から下流まで一気通貫かつ包括的なセキュリティコンサルティングサービスを提供しています。今回は、ディレクターの樺山和弘様、コンサルタントの藤本隆寛様より、同チームに所属された背景や、チームの特徴と強み、若手を育てる研修制度や、成長を後押しする仕事環境などについてお聞きしました。
シニアから若手までの距離感がない「フラットな文化」に惹かれチームへの所属を決める
堀場
これまでのキャリアについてお聞かせください。
樺山様
私はメーカー系のSIerに就職した後、親会社の研究部門に出向し、情シスとしてサーバーやネットワークの構築・運用を行ったのが社会人としての第一歩でした。出向から戻ると、クライアント向けのネットワークエンジニアとしての業務や、自社のクラウドサービス立ち上げ等の業務を担当しキャリアを積み上げました。その後、新日本有限責任監査法人のアドバイザリー部門(後にEYのConsulting部門としてEYSCに移管)にシステムリスクコンサルタントとして転職しましたが、セキュリティに特化したコンサル部門を立ち上げるという話があり、これまでの経験で培ったセキュリティに関する知見を買われてその部署への配属となり、セキュリティコンサルタントとしての歩みを始めたという経歴になります。
藤本様
私はEYSCに新卒で入社しました。大学でプログラミングに触れ、そこから興味を持って理系の大学院に進んでいます。ネットワークの研究室に入り、サイバーセキュリティを学びつつ、IoTの開発を行っていました。
EYSC入社後は、新卒が所属するACG(Advisory Consultant Group)というプール部門に入り、さまざまなユニットでプロジェクトを経験後、サイバーセキュリティチームへの所属を希望し、現在に至ります。
堀場
なぜサイバーセキュリティチームを選ばれたのでしょうか。
藤本様
元々サイバーセキュリティのバックグラウンドがあったのと、人間関係が1番強固だと感じたからです。他のチームよりもパートナー、マネジャー、シニアコンサルタント、コンサルタントの距離感がなく、フラットな文化が根付いていたので、私にマッチしていると思いました。
ガバナンス、テクノロジーの両面に精通したプロフェッショナルで構成されるサイバーセキュリティチーム
堀場
サイバーセキュリティチームについて紹介していただけますか。
樺山様
EYSCのサイバーセキュリティチームは、ガバナンス、テクノロジーの両面に精通したプロフェッショナルで構成されています。上流から下流まで一気通貫かつ包括的なセキュリティコンサルティングサービスを提供していくことが、われわれの役割です。
具体的には、社会の変化を捉えたセキュリティ×経営戦略の策定や、セキュリティアセスメントはもちろん、そこから見えた課題の解決策を提示し、技術的な対策や実装までご支援します。また、そこから派生して、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)といった組織の立ち上げ支援や、われわれがクライアントの代わりにSOCやCSIRTとして動くといった支援も行っています。
堀場
直近では、お客様からどのようなご相談が多いのでしょうか。
樺山様
最近、NISTにより公開されているCSF(Cyber Security Framework)やSP800-171がアップデートされたこともあり、それに合わせたご相談も増えてきています。
あとは、当初セキュリティコンサルタントに頼っていた会社が、内部のセキュリティ人材が育ったことにより自分たちで対策を立てられるようになったものの、「客観的に見て正しいかどうかが分からない」といったご相談も増えてきました。われわれコンサルタントは、こうしたクライアントの考えた内容にプラスとなる助言を行うことで、クライアントのセキュリティレベルを昇華させることを求められるようになってきています。
堀場
SIU(ストラテジック・インパクト・ユニット)チームを含め、先進的な事例をナレッジとして持っていらっしゃいますよね。
樺山様
そうですね。SIUの方は経済安保を切り口にしていますが、EY Japanして足並みをそろえてセキュリティを強化していこうという風潮が強いです。サイバーセキュリティチームでも、官公庁や個人情報保護委員会からクライアントへ準拠を求めている事項への対応支援なども行っており、行政の対応方針も考慮する必要があるので、SIUと連携し、成功事例などを横展開してもらい、お客様の課題感やベストな解決法を探るようにしています。
※参考:SIU(ストラテジック・インパクト・ユニット)
https://www.ey.com/ja_jp/news/2019/08/ey-japan-news-release-2019-08-06
グローバルチームとのシームレスなコラボレーションで、最先端のナレッジが得られる
堀場
チームにはどのようなバックグラウンドの方が所属されているのでしょうか。
樺山様
Cybersecurityのプロジェクトには100名強が参画しており、その中で45名ほどが直接 Cybersecurity Unitに所属、20名ほどがグローバルメンバー、20名ほどが新卒採用組織の所属、その他のUnit の所属です。新卒採用を除くCybersecurity所属メンバーのバックグラウンドはセキュリティに携わっていた人がほとんどです。メーカーの情シスにいた人、SIerでセキュリティソリューションの提案や導入をされていた人など、コンサル未経験だった人もいます。
堀場
チームにはグローバルのメンバーと連携するプロジェクトがあるというお話がありましたが、セキュリティコンサルティングにおいて、そのメリットはどのようにお考えでしょうか。
樺山様
日本は欧米と比較した際に、サイバーセキュリティ対策が遅れている部分があったり、対策事例が少なかったりするのですが、先進的なグローバルの情報を直ちに入手でき、われわれも素早く吸収できることは大きな強みですね。また、日本企業の海外支社など、日本の文化に合わせた支援が必要な場合は、グローバルと連携することで、現地の組織文化に合わせてチューニングすることもできます。
堀場
なぜグローバルと連携しやすいのか、その理由を教えてください。
樺山様
私が入社した2013年時点ではまだ壁がありましたが、2016年ぐらいからその壁を取り払う動きが始まりました。たとえば、グローバルからメンバーを呼んで講演してもらったり、一緒にクライアントを訪問したり、逆にこちらがグローバル拠点に行って日本の事情や事例を紹介したり、そういったことを繰り返して、現在の連携する文化が根付いています。また、インフラシステムもグローバル全体で共通のシステムを使っているので、そういった面でも連携が容易です。
堀場
グローバル拠点のメンバーとはどうやってコミュニケーションを取られているのでしょうか。
樺山様
EYでの特長として、フルメッシュと言いますか、ハブを介さずにさまざまなグローバル拠点とのやり取りが可能です。Teamsでのチャットや、プロジェクトによっては毎週Web会議を実施するなど、スピード感のあるやり取りをしています。
「1人で抱え込ませない」、相談しやすい雰囲気がある
堀場
藤本様は、現在どんなプロジェクトに携わっていらっしゃるのですか。
藤本様
委託先評価のプロジェクトに携わっています。クライアントは世界展開しているコンシューマー系の企業で、配送や工場運営、各種基盤システムの保守運用、経営可視化まで、さまざまな領域における業務委託先が世界中に散らばっています。その中で、それぞれの委託先が機密情報を預けるにふさわしい体制を整備しているか、個人情報に関するコンプライアンス違反のリスクはないか、といった評価をご支援しています。多種多様な企業の規程文書やセキュリティ運用に触れる中で、知見がどんどんたまっており、今後、自身の財産になっていくだろうと思います。
来週は東南アジアに出張し、物理的なセキュリティの側面から委託先の評価を調査します。
樺山様
藤本さんは今年で3年目ですが、英語でインタビューして、英語でまとめるところまで任せています。クリティカルな失敗をしないような管理も上位者として担っていますが、もし何か失敗しても上位者がフォローすればいいので、見守りつつ経験を積んでもらいたいと考えています。
藤本様
若手でもそのような経験ができるのは、本当にありがたいことだと思っています。
堀場
お話を聞く限り、チームの雰囲気も良さそうですね。
藤本様
パートナーの方たちの、メンバーの人となりを知りたいという思いを強く感じています。メンバーの困っていることをヒアリングしてくれたり、プロジェクトごとにご飯に誘ってくれたり、仕事と関係ない話もたくさんして、常に話しやすい雰囲気を作ってくれています。
堀場
マネジメントの方々はそういったことに意識的に取り組んでいらっしゃるのでしょうか。
樺山様
そうですね。私が入ったばかりの頃はまだ壁があって(笑)、それを反面教師に、何でも話せる場を設けようと実践してきたことに、パートナー陣も賛同しています。
藤本様
パートナーやマネジャー層が、私たちを「1人の人間」として、仲間として見てくれているのを、日々強く実感しています。
私は新卒でコンサルタントとして入社したので業務に悩むことも多かったのですが、相談しやすい雰囲気に何度も助けられました。「なんでこんなことで相談しに来たの?」みたいな空気には絶対ならないことが分かっているので、チャットなどで割と気軽にマネジャー層に相談しています。
堀場
リモートワークの環境下でも、相談しやすさは保たれているのでしょうか。
藤本様
もちろんです。実は私、出社した経験がほとんどありません。
樺山様
現在は、サイバーセキュリティチームはほぼリモート勤務です。プロジェクトによってはたまに集まったり、クライアント先に伺ったりすることもありますが、相談しやすい環境であることは、リモートでも出社する場合でも変わらないと思います。
リモートワークの懸念点のひとつとして、メンバーが問題を抱え込んでしまって、後になって手に負えない状態で発覚することですが、相談しやすい環境を整えることによって、こうした懸念点を未然に防ぐ役割も果たしています。
アウトプットの場を設けることで個人の成長を促す
堀場
サイバーセキュリティチームの研修制度についても教えてください。
藤本様
グローバルで提供されているサイバーセキュリティのプログラムがeラーニングにいくつかあり、英語ではありますが内容は充実しています。たとえば、Identity Access Managementというタイトルで、権限付与とID管理のノウハウなど。そういう粒度でサイバーセキュリティの固有のトピックが設けられていて、いくつか受講すると「グローバルレベルでのサイバーセキュリティ知見がある」という社内の認証バッジのようなものをもらえるのです。
また、CISSPなど、セキュリティに関する専門的な資格を取得する際の費用が補助される制度もあります。
堀場
セキュリティチームとしての取り組みも何かあるのでしょうか。
藤本様
セキュリティチームとしては、勉強会や情報共有の場を定期的に設けています。中にはサイバーセキュリティの領域に初めて触れる新卒のメンバーに向けた勉強会もあり、プロジェクト固有の考え方やシステムの仕組みをお話しする会も開催されています。
あとは、各国のセキュリティガイドラインやフレームワークがアップデートまたはインパクトの強いセキュリティニュースが発表される度に、誰かが掲示板に情報を載せて、皆でコメントを残したりしています。
樺山様
勉強会はプロジェクト単位でもやっているのですが、上位者や経験者が教えるだけではなく、メンバーだけで調べて教え合うということを、持ち回りでやってもらったりしています。自身が知りたかったこと、学んだことをアウトプットする場を提供することで、成長を促しています。
堀場
藤本様は実際にどんな勉強会に参加されたのですか。
藤本様
印象に残っているのは、法規制やフレームワークの変化をまとめてレビューし、それを実際にお客様にも発表する、というものです。
知識として知っているだけでなく、自分で説明が出来るようになると、それに基づいて課題解決の方法まで自然と頭の中で組みあがっていくようになりました。インプットとアウトプットを繰り返し経験して得た感覚だと思います。
樺山様
マネジメントとしても、クライアントの立場になって、どのような情報がほしいか、その情報をどう活用すべきか、そういったところまで考えてアウトプットが出来るようになってもらうためにはと思い、経験してもらいました。
堀場
キャリアカウンセラーなど今後の個人のキャリアパスを相談する制度もあるのでしょうか。
藤本様
はい、あります。私は自分から樺山さんにカウンセラーをお願いしました。人事評価システム上、年に3回フィードバックの期間があり、そのタイミングでしっかりと相談します。あとはプロジェクトなどで、日常的にキャリアに関する会話をしています。
樺山様
プライベートで飲みに行って話したりもしますね。
環境変化が激しく、常に新しいフレームワークが出てくる領域のため、好奇心の旺盛さが求められる
堀場
どのような方にご入社いただきたいとお考えですか。
樺山様
私の経験上、採用面談では「EYでこういうことを経験したい」や「学びたい」だけで終わる方がいらっしゃるのですが、学び終わった後は?どこかに転職してしまうのかな?と思ってしまいます。学んでくれるのはいいのですが、学んだこととご自身の経験・知見をもって、この会社・この組織を一緒に成長させたいと思ってくれる方に来ていただきたいですね。
堀場
スキル面ではいかがですか。
樺山様
セキュリティにはガバナンスとテクノロジーの両面があるので、やはりどちらもある程度知見がある必要があります。また、この領域は日々環境の変化や新しいフレームワークが出てくるので、好奇心が旺盛で、常にアンテナを張っている方や、分からないことにも向き合える方が良いと思っています。
さらに、ビジネス全体の仕組みや背景の理解も必要です。セキュリティリスクの対策をやらないことでビジネス自体にどんな影響があるか、どのような理由で現状のセキュリティ対策がされているのかといったことを理解していないと、どのような施策が正しいのか間違っているかも判断できませんし、クライアントを納得させる説明もできません。
堀場
コンサル業界未経験の場合、どのような経歴の方が候補になるのでしょうか。
樺山様
多いのは、情シスやセキュリティ管理部門で活躍されている方ですね。普段われわれが支援や提案をする相手ですから、そこでの経験や経営層の考え方への理解を活かしてコンサルティングができます。あとはSIerでプロジェクトの成功を導くためのコミュニケーションに長けた方も候補として残りやすい傾向にあります。
藤本様
上司となる方であれば、お客様の要望を満たすためにMustとBetterとMust Haveをディスカッションできる方。その中で、より良いものを一緒に作り上げていこうと考えてくれる方がいいですね。 同じ職階や後輩であれば、自分が持つ意見について、「なぜこうしたいのか」をしっかりお客様に説明できる方です。お客様から「これは本当に自分たちの要件を満たしているのか?」と必ず聞かれるのです。その時に「こうした方が絶対に良いと思ってこうしました。しかし、見落としているポイントがあればぜひ聞かせてください」と言えるような、説明責任を果たそうという強い気持ちがある方と一緒に働きたいと思っています。
堀場
候補者に求める性格や雰囲気などの面ではいかがですか。
藤本様
サイバーセキュリティチームの方は指摘や考え方が非常にはっきりしていますが、表現や伝え方が優しいのですね。
冒頭に話した通り「困りごとがあったら早め早めに相談してね」という文化で、どんな相談も受け入れてくれる雰囲気があるので、そういう文化に共感できる方が合っていると思います。
堀場
最後に、今後のチームの展望を教えていただけますか。
樺山様
クライアントでも「セキュリティは経営の最重要課題」という認識のもと、対策を検討されています。案件も対応しきれないぐらいありますし、今後は仲間を増やして、案件を大型化、長期化し、最終的にマネージドサービスとして継続支援出来るようにしていきたいですね。そして、それを成功事例としてさまざまな業界に横展開出来るように積み上げていきたいです。
