EYストラテジー・アンド・コンサルティング株式会社のデジタルガバナンス&マネジメント(DGM)チームは、DX戦略からデータ利活用、データガバナンス、システム構想策定、セキュリティまでワンストップでサービス提供でき、企業のDX推進に潜むリスクを包括的にサポートする部門です。
今回は、DGMチーム内におけるセキュリティ・ITガバナンス領域の組織を率いるアソシエイトパートナーの酒井慎様に、組織が提供するサービスの強みや、経営における、セキュリティの位置付けの変化、特徴的な案件事例などについて伺いました。
※本インタビューは2024年10月時点の内容です
Big4やブティック系セキュリティファーム、ベンチャー役員などを経てEYにジョイン
髙村
酒井様のこれまでの経歴をお聞かせください。
酒井様
新卒から約10年間、大手Sierにて金融機関間の決済系システムの企画開発や運用、調達など幅広い業務を経験しました。そこでサービス品質管理やシステム品質管理、調達関連の業務に携わりました。その後、KPMGに転職し、金融機関向けのITガバナンスやシステムリスクマネジメントのコンサルタントとして活動し、その後、デロイトでも同様の業務に従事しました。
次に、フィンテック業界に移り、ロボアドバイザーの会社ではITガバナンスリードとセキュリティリードを務め、のちにサイバーセキュリティ領域のブティックコンサルティングファームの役員やベンチャーの役員を経験し、最終的にサイバーセキュリティ企業の代表を務めました。そして、2年ほど前にEYに参画しました。
髙村
EYへの参画を決めた理由を教えていただけますか。
酒井様
EYへ参画を決めた主な理由は、業界全体や社会により大きなインパクトを与えるご支援がしたいと考えたからです。
ベンチャー企業での経営活動やセキュリティ・ガバナンスサービスを通じた社会貢献は、これまでの自らの世界観とは大きく異なることも多く、非常にやりがいがある時間でした。
一方で、世の中ではDX化の浸透とともに大企業を中心にテクノロジーを活用しながらリスクをコントロールし、経営のトップラインを伸ばそうという考え方が先進企業を中心に浸透し始めていました。こうした世の中の変化を踏まえて、自らの新たなチャレンジの場として、大規模ファームに魅力を感じたのです。またEYは多様なバックグランドを持った専門家が多数在籍しており、広く連携できる環境があることも魅力に感じ、EYへの参画を決めました。
DX推進を阻む組織内のリスクを可視化し、トップラインの成長をサポートする
髙村
DGMチームの概要を教えていただけますか。
酒井様
DGMチームは、EYのリスク部門に所属するリスクコンサルになります。DGMチームは、システム構想の策定からデータマネジメント、AIガバナンス、セキュリティやグローバルITガバナンス戦略の立案等、ITガバナンス領域を軸とした各種テーマを通じて、クライアントへの貢献を進めています。現在は3つのサブチームで連携しながら、「DX」をキーワードにクライアントに対してワンストップでご支援を提供しているのが特徴です。
他のコンサルティングファームでは、これらの各領域を個別チームで対応されることも多いのですが、私どもはOneチームとなり各専門家が相互に連携しながらクライアントにサービスを提供します。それにより、クライアントの事業環境やニーズを深く捉えた上で伴走支援できるのがメリットですね。
髙村
次に、酒井様がリードされる、ガバナンスとセキュリティの最適化支援を担うチームについてお話しいただけますか。
酒井様
私どものチームは、デジタル化をはじめ、DX推進をしているクライアントに対してガバナンスとセキュリティに関する支援を行っています。
DX推進に関するリスクは多岐にわたります。もちろんサイバーセキュリティの脅威もありますが、それだけではありません。私どもが注目しているのが、DX推進が阻害されているケース、DXが当初通りに進まないリスクです。これには複合的な要因があります。
例えば、人材面では単に採用や教育を行うだけでは解決しません。組織内の役割分担や責任の不明確さ、プロセスの問題もDX推進を阻む問題になるからです。セキュリティ面では、新しい技術やデバイスの導入を検討する際、社内のセキュリティルールが追いついておらず、対応できないことがDX推進を阻害するケースがあります。
また、データが有効に活用できていなかったり、将来のデジタル化に対応できないシステム設計になっていたりするリスクも見過ごせません。さらに、投資管理が不十分で「データマネジメントにいくら、セキュリティにどのくらい」といった細分化された管理ができていないケースも多々見受けられますね。
これらは全てITガバナンスに包含されるテーマであり、それぞれのリスクが相関性を持っています。一つ一つのテーマをサイロ化せず、総合的な視点でひもといていくことが重要と考えています。
髙村
DXが進まない理由は多岐にわたりますね。
酒井様
その通りです。こうしたリスクによりDXが進まず、結果として期待された経営の成長を阻害する事態につながる可能性があります。
私どものチームは、こうしたDX推進の障害となるリスクを可視化し、セキュリティや戦略、組織力といった多角的な側面からサポートを行っています。つまり、DXを成功させるためのワンストップサービスを提供することが、私どものキーワードになっています。
髙村
ソリューションに関して、候補者からよく質問をいただくのですが、EYのテクノロジーコンサル側にもセキュリティチームがあります。DGMチームとの違いについて教えていただけますか。
酒井様
テクノロジーコンサルティング部門のセキュリティチームは、主にサイバーセキュリティの専門家集団です。マネジメント領域のみならず技術的支援に欠かせないセキュリティエンジニアも擁しており、クライアントのサイバーセキュリティ部隊を包括的にご支援しています。
一方で、DGMのセキュリティチームは、経営陣が主体的に管理すべき「全社リスク」の一部に「情報セキュリティリスク」、「サイバーセキュリティリスク」があると捉え、主にセキュリティに関する戦略立案・投資判断の支援や、継続的な管理態勢の確立といったマネジメント領域を中心としたご支援をしています。セキュリティガバナンス全体を「全社リスク」視点でご支援することで、経営陣・意思決定者に近い視点でのご支援を心掛けています。
例えば、経営陣や意思決定者が、戦略的に事業運営を進める際に、リスクに対して何をどの程度まで受容すべきかの判断は大変重要なポイントです。われわれは「情報セキュリティリスク」「サイバーセキュリティリスク」のみならずクライアントの事業戦略・事業特性や、「全社リスク・全般的なITリスク」を踏まえた上で、「経営に資するメリハリのあるガバナンスの実現」に向けた議論を重ねていきます。このような活動を通じて、円滑かつ納得感のある経営陣の意思決定を支援しています。
セキュリティがCEOアジェンダになり、「経営に資するか」という攻めの視点が求められる
髙村
セキュリティガバナンス領域におけるトレンドや、クライアントからの声の変化などについて教えていただけますか。
酒井様
最近の傾向として、デジタル化やデータの利活用が経営の礎となりつつあり、3年後、5年後のデータ利活用を通じた効果の最大化を見据えた経営が当たり前になってきています。単にデジタル化を推進するだけでなく、数年後の競合他社の「デジタル競争力」を上回るために自社として今何をすべきか、そうした議論を始めている企業が多くなってきている印象です。
私どもは将来のテクノロジーの発展、例えば「3年後、5年後にテクノロジーがここまで発展させるためにはガバナンス体制はどのようなアプローチで高度化すべきか」などを、クライアントと共に検討しながら、各種ご支援を進めています。
髙村
その中で、セキュリティの位置付けはどのように変化していますか。
酒井様
セキュリティの考え方も大きく変わってきています。従来は「ネガティブな事態を防ぐ」という守りの視点が中心でしたが、現在は「いかに経営に資するか」という攻めの視点が重要になっています。例えば、セキュリティへの投資配分を最適化し、事業戦略やIT戦略との整合性を取ることが求められている。つまり、経営戦略とセキュリティ戦略の連携が欠かせない論点となっているのです。
髙村
そうなると、クライアントのIT部門は経営側からの期待値にも変化がありそうですね。
酒井様
そうですね。例えば従来、フロント業務が強い会社の社内IT部門では「言われたことを淡々とこなす」という請負体質の組織体が多くありました。IT部門が自発的に事業部門の戦略を参考に提言をしながら付加価値を追求していく企業は少なく、そのような役割を期待されているIT部門を有する企業も少なかったと思います。
しかしながら、近年はIT部門の期待が面でも深さでも広がりつつあります。
例えば、IT部門がこれまで以上に業務部門の戦略を理解し、それらに資する最新技術の活用についてテクノロジー視点での提案を行うような、コンサルティング要素の強い機能組織として期待されている企業が拡大しています。また加えて、「コンサルティング的要素」に対する成果をIT部門がコミットメントも明確化している傾向にあります。IT部門の事業成果への直接的・間接的な貢献をモニタリングしながらテクノロジーの利活用の促進を進めている企業が拡大しています。
このように、「堅実に事故なく確実にITサービスを提供する」機能体から、「新たな変革を生み出す」ための機能体として大きな変化のタイミングにあると言えます。
髙村
具体的にどのようなサポートを行っているのでしょうか。
酒井様
私どもは、セキュリティやITガバナンスの観点からクライアントの意思決定をサポートしています。以前はCISOやCIOの伴走役が中心でしたが、現在はCEOを含むボードメンバー全員にセキュリティの重要性を理解していただく機会やコミュニケーションを図る機会が拡大しています。
具体的には、フロント部門とバックオフィス、そして役員も含めた全社的なセキュリティ維持管理とリスクコントロールの仕組み作りなどがあります。CIOやCISOだけでなく、企業のボードメンバーやCEOの伴走者としてリスク判断の支援や相談役としてサポートしています。
髙村
セキュリティを経営戦略にアラインさせるには、会社の全社戦略や業界の将来の動向まで理解する必要があると思いますが、そこまで踏み込んだアプローチをされているのでしょうか。
酒井様
経営戦略等を前提に世の中の業界動向・技術動向予測等を踏まえたリスク判断を進めることは、無駄のないセキュリティ投資戦略を立案する上で重要なアプローチです。
クライアントの課題認識や事業フェーズ等に応じた柔軟なご支援を進めていますが、事業戦略や業界動向等の内外環境の情報は無視できない要素の一つです。
事業戦略・IT戦略と整合したセキュリティに主軸を置いた戦略の立案を行う例もあります。そのような場合は経営戦略を基本として、経営企画部門や事業部門へのヒアリングを行いながら「経営戦略を踏まえてIT戦略がどのように展開されているか、その中でセキュリティがどのように位置付けられているか」等を慎重に確認した上で、クライアント企業にとって最適な優先順位や施策案の立案につなげています。
SIUチームと連携し、先進的な国のセキュリティルール浸透も行う
髙村
クライアントの特徴と、具体的なプロジェクト事例を教えていただけますか。
酒井様
クライアントは主にミドルマーケットが中心ですが、業界トップの企業もあります。EYには金融チームが別におりますので、金融やインフラ以外で特に情報管理がシビアな業態のTier1、Tier2クラスの企業が多いですかね。
DGMを紹介するにあたって印象的なプロジェクトとしては、まず国家プロジェクトの案件です。国家戦略レベルのアドバイスを提供する専門家集団SIU(Strategic Impact Unit)チームと連携して国のセキュリティルールの浸透を支援しています。具体的にはSIUチームが政府と調整してルールを作り、私どものチームがそれを関係省庁や民間企業に落とし込んでいくというものです。
このプロジェクトでは、日本のセキュリティに対する常識を変え、レベルをグローバル標準まで高めていくものです。意識から変えていく必要があるため1つずつ丁寧に取り組んでいきましたが、最終的に社会全体に大きなインパクトを与えられるという点で非常にやりがいを感じました。
また、ある大手企業のクラウドサービスの立ち上げ検討も印象深いです。クラウドセキュリティに対してどういったセキュリティを実装するか、どのようにサービス展開していくのか。クライアントと共にユーザーの利便性とセキュリティのバランスを考慮しながら、新たなビジネスモデルの構築をサポートできたという点で非常に印象的なプロジェクトでした。
髙村
1つ目の事例からもSIUチームとの連携がDGMチームの特徴であることが伺えますが、SIUチームとの連携の必要性について、その背景をお聞かせいただけますか。
酒井様
現在、セキュリティ管理は国境を超えてグローバル規模でボーダレス化しており、ビジネスモデルも急速に変化しています。例えば、M&Aによる多様な関係先の拡充等、グローバル規模でのセキュリティ対策が必要になっていますよね。
こうした課題に対応するためには、海外と国内のルール、そして日本国内のヘッドクォーターを三位一体で考えなければなりません。しかし、その中でも「日本のルール」が海外と比べて追いついていない現状があります。そのため、SIUの専門知見を借りながら日本の国際競争力を向上させていくことが非常に重要です。
例えば、米国のNIST(国立標準技術研究所)のような国際的な基準は、国内外におけるグローバルビジネスの共通語として利用され始めています。SIUチームは、NISTと強く連携ができる環境にあり、常に最新の情報を得られる関係性を有しています。これらの強みを生かし、私どもは現場のクライアントに最新かつ正確な情報をお伝えすることで、クライアントの安心感にもつながっているのが特徴です。
こうしたSIUチームとの連携は、クライアントへの価値提供だけでなく、メンバーのキャリアアップの観点でも非常に魅力的だと思います。
髙村
SIUチームとの連携をはじめ、貴社ではコラボレーションのしやすさがカルチャーとしてあると感じます。
酒井様
そうですね。EYではポジション・所属に関わらず、多方面の専門家に対して気軽にコンタクトが取れること、また、グローバルレベルでも日常的に情報連携が行われているのは特徴的と言えます。
それはEYが長年培ったカルチャーだと思います。多くのファームでは個人成果を重視する傾向にあると思いますが、EYではコラボレーションを通じてクライアントにより良い付加価値を提供することが推奨されており仕組み化されています。
また、それらが社内カルチャーとして根付いていることで、コラボレーション活動が日常的な言動として、現場レベルまで浸透しているのだと思います。
ホワイトスペースが豊富、成長期の組織で活躍したい方を求めている
髙村
DGMチームではどのような人材を求めていますか。
酒井様
若手であれば、例えばセキュリティ関連の業務経験があり、そこから一歩進んだ領域に挑戦したいという気概のある方は大歓迎です。セキュリティや関連業務を現場で回しているものの、いろいろな視点で問題意識を持っている方も同様です。
マネージャー以上では、セキュリティ領域の動向をご自分なりに理解し、クライアントコミュニケーションやデリバリーに落とし込める方を期待します。
例えば、NIST等の基準類にはどのようなものがあり、それらをどのように活用できるのかを理解していることはもとより、それら基準類を踏まえて、クライアントにとっての最適解を「自らの言葉」で語れる方であれば、クライアントからも信頼を得られると思います。
また、ITガバナンスの経験者も歓迎です。特に金融機関や各種規制産業でのシステムリスクマネジメント業務経験は、ITガバナンスやセキュリティ領域においても大変強みになります。
髙村
マインド面はいかがですか。
酒井様
「主体性」「客観性」「巻き込み力」のある方がいいですね。これらはコンサルタントの基本的な資質だと考えています。EYでは、前述のとおり、コラボレーションがキーワードになります。自分一人で抱え込まず、何ができないのかを客観視して、周りを巻き込みながらコラボレーションできる方は成長していける環境だと思いますね。
また、セキュリティやITガバナンスに強い関心も大切です。この領域は日々変化しており、日々新しい考えが出てくることも少なくありません。常にキャッチアップを行える方、そして収集した新しい情報を積極的に発信し、チーム内で相乗効果を生み出せる方に来ていただきたいです。
髙村
最後に、御チームへ興味をお持ちの方にメッセージをお願いいたします。
酒井様
私どものデジタルリスクのセキュリティチームは、まさに成長期にあります。現在の規模はそれほど大きくありませんが、だからこそ、新たに参画される方たちにはチームビルディングから幅広い経験を積んでいただける環境があります。言い換えれば、ホワイトスペースがまだまだ多い領域だと思っています。
また、DGMはDX戦略からガバナンスまでOneチームでのアプローチを行っていますが、この体制はチームメンバーにとっても魅力的です。例えば、ITガバナンス専門の人がAIガバナンスを学べたり、セキュリティ専門の人がデータマネジメントにも携われたりと、専門性を広げられることに魅力を感じて参画するメンバーも少なくありません。
単に「セキュリティをやりたい」と言うだけでなく、「こんなセキュリティサービスを展開してみたい」といった具体的なアイデアや提案を持っている方は大歓迎です。ポジションに関係なく、そういった議論ができる環境がありますので、ぜひ積極的に参画していただければと思います。
