今回は、KPMGコンサルティング株式会社のリスクコンサルティング(以下RC)部門へのインタビュー。
同社サイバーセキュリティ統括であり、KPMGジャパングループのサイバーセキュリティリードも務める執行役員パートナー田口篤様より、同社RC部門の特徴や、グループ内の他リスクチームとの関係性、現在の案件状況、求める人物像などについてお聞きしました。
デジタル領域のリスクを担うTRS、ビジネスリスクを担うIARCSの2チーム制
田中
まずは田口様のご経歴を教えていただいてもよろしいでしょうか。
田口様
大学院卒業後、銀行系のシンクタンクに就職しました。当時からセキュリティの仕事をしていましたが、より専門性が高くグローバルな環境でチャレンジしてみたいと思い2000年にKPMGビジネスアシュアランス株式会社(現 KPMGコンサルティング株式会社)に移籍しました。これまで一貫してセキュリティに関連したITのリスクコンサルティングを手掛けてきましたが、この20数年間で企業のITや情報活用の仕方が大きく変わり、その都度様々な課題に対し必要なコンサルティングをさせていただけたことはとてもいい経験だったと思います。
田中
続いて現在のご担当チームについてお伺いできればと思います。
田口様
KPMGコンサルティングのリスクコンサルティングユニット(以下RC)は事業リスク全般が対象ですが、その中でもITやデジタル、技術系のリスクコンサルティングを担当するのがTRS(Technology Risk Service)チーム、ITテクノロジー以外のビジネスリスクを担当するのがIARCS(Internal Audit and Risk Compliance Service)チームです。
具体的に、TRSチームは、セキュリティマネジメント、データプライバシー、セキュアテクノロジー、インシデントレスポンス、OTセキュリティの専門家からなるサイバーセキュリティアドバイザリーが中心で、アセスメントからインシデントレスポンスまでトータルで支援をしています。
一方、IARCSチームは経営リスク管理、内部統制、内部監査、コンプライアンス、事業継続などのリスクコンサルティング業務全般を担当し、金融、製造業、商社、不動産、情報通信等、様々な業界のリスクコンサルティングを幅広く手掛けています。
田中
KPMGグループ内にもいくつかリスクチームがありますが、その違いについて教えていただけますか。
田口様
私はKPMGコンサルティングのサイバー統括ですが、KPMGジャパンのサイバーセキュリティのリーダーも務めています。そのため、あずさ監査法人、KPMGコンサルティング、 KPMG FASの3つのサイバーチーム全体のハブとなる動き方ができます。
それぞれについての業務内容の違いですが、まずあずさ監査法人に関してはサイバーセキュリティの保証業務を主に手掛けています。ISMAP(イスマップ)という政府情報システムのクラウド監査やSOC監査など、監査法人と親和性のある対外的な監査業務を行っています。
KPMG FASは、M&Aアドバイザリーやフォレンジック(不正調査)が主業であることから、サイバーデューデリジェンスやプライバシーデューデリジェンス、サイバーフォレンジックを主に手掛けています。3社の連携を強固にすることで、サイバーセキュリティサービスのエコシステムを構築しています。
田口篤様
「特定のソリューションを持たない中立性」かつ「セクターとのコラボレーション」により、あらゆるリスク課題に対応できる
田中
RC全体の強みを教えていただけますか。
田口様
RC全体の強みは大きく2つあり、1つ目が中立性を維持したコンサルティング業務です。我々TRSメンバーは全員コンサルタントであり、何か特定のツールを担いだシステム構築やセキュリティの運用監視をすることはありません。
クライアントからも「特定ベンダーに偏っていないのがよい」「クライアントの自立支援というスタンスがよい」という評価をいただいています。 我々はクライアントからの「客観的な観点で今後の施策をサジェスチョンしてほしい」「伴走しながら現状を変えていくサポートをしてほしい」という声に応えられるよう常に中立性の立場を大事にしています。
2つ目はサービスのクオリティです。クライアントは教科書論ではなく、クライアントをしっかりと理解した上で現状に見合った解決策を期待されています。クライアントの知見や、インダストリー領域であるセクターチームの知見がなければ高品質のサービスは提供できません。そのため、マネジメントコンサルティングユニット(以下MC)やセクターユニットとの混成チームで遂行しています。
田中
実際にそういった連携する機会は多いのでしょうか。
田口様
案件のサイズにもよりますが、我々サイバーチームだけで対応する案件よりも、最近では1つのプロジェクトにMCもセクターも含めた複数の専門家が入りワンチームとなってサービスを提供することが増えてきています。 RC、MC、セクターそれぞれの垣根が低く、コラボレーションしやすいというのもKPMGコンサルティングらしい1つの特長ではないでしょうか。
田中
具体的な連携事例はありますか。
田口様
例えばMCで何か大きなデジタルトランスフォーメーションのプロジェクトが発生した場合、我々サイバーチームからもメンバーが参画し、セキュリティの知見をプラスすることで、ただ機能を実現するだけでなく、安全面やガバナンス面もあらかじめ考慮し機能充足するようなトランスフォーメーションの実現が可能となります。
また、例えば自動車領域のサイバーセキュリティの案件であれば、自動車業界に詳しいセクターメンバーと我々サイバーチームのメンバーがワンチームとなってサービスを提供することで、業界特有の慣行や規制、考え方からサイバーセキュリティのソリューションに対して味付けをし、より具体的なアウトプットを出していくことができます。
デジタル化に伴い新たなリスクが発生し続けており、TRS・IARCS共に積極的な採用を続けている
田中
リスクコンサルティングの領域において、今のマーケット状況を教えていただけますか。
田口様
直近では、やはりコロナ禍により、企業のデジタル化、オンライン化が強制的かつ急速に進んだことの影響が大きいです。その結果、それまでFace to Faceや紙ベースの世界ではリスクコントロールされていたプロセスが、デジタル化したとたん全くけん制の効いていない状態におかれてしまい、内部不正や外部からの脅威に晒されています。これまでの様々なガバナンスやリスクコントロールは、Face to Faceや紙ベースを前提に組まれていることが多く、それらが再構築する間もなくオンライン化されてしまったからです。「在宅勤務環境を整えたけれどセキュリティ的に問題はないのか」「紙の契約書とハンコを辞めて電子署名や電子サインに切り替えたが不正アクセスが起きないか」など新たなリスクに対するソリューションが増えてきたと感じています。
田中
案件は絶えることがないということですか。
田口様
そうですね。RCについては新型コロナというリスク下においても企業からの引き合いは多いです。世の中では決済系でインシデントがあり市場からの期待が高まっています。結果として、TRS、IARCS共に人が足りていない状況です。
田中
具体的にどのようなスキルを持っている方を求めていますか。
田口様
スキル面に関しては大きく2つあります。1つは各業種やインダストリー特有のサイバーセキュリティに強い人を求めています。なかでも金融やエネルギー&インフラ、パブリックセクター、オートモーティブ、ライフサイエンスなどの業界は特有の規制がありますので、インダストリーの知見がある方が好ましいです。
2つ目は、これからのビジネスには「IoT」「ビッグデータ」「クラウド」「AI」といったデジタルが関連することが多くなると思いますが、そこにはプライバシーとサイバーセキュリティに対するリスクの発生は避けられません。そのため、デジタル×プライバシーあるいはデジタル×サイバーに強みがある方を求めています。
田中
他社からRCに転職された方は、どのような点がチームの魅力だとおっしゃっていますか。
田口様
現在、TRSチームには120名ほどメンバーがいますが昨年度の退職者は1人だけでした。同じ業界から転職されてきた方からも「フォローが手厚く組織ピラミッドのバランスが良い」という声をよく聞きます。
いわゆる現場で業務をリードするマネジャー層が厚く、その上でチーム全体をシニアマネジャー層、ディレクター層がコントロールするので、しっかりと品質を担保しつつサービス提供を遂行していけるという点では、異なる環境から飛び込んだ方もキャッチアップしやすい環境があるのだと思います。
田中
先ほど昨年度は1名しか退職者がいなかったというお話ですが、チーム卒業後どういったキャリアの可能性がありますか。
田口様
昨年度はたまたま退職者が少なかったわけですが、それぞれ最終的なキャリアのゴールがあると思いますので、それに向かって次のステップに進まれることはけっして悪いこととは考えていません。
卒業生は事業会社のセキュリティ部門に戻り、次は現場の最先端で働く方もたくさんいますし、もう少しセキュリティのキャリアを積んでから事業会社のCISOになられる方もいます。また他社でパートナーやディレクターになられた方もいます。
田中
ありがとうございます。最後に候補者の方にメッセージをお願いします。
田口様
事業会社、コンサルティングファームなど様々なバックグラウンドの方がいるダイバーシティのある組織です。ロールモデルとなるような女性コンサルタントも多く活躍しています。多種多様なサイバーセキュリティ、リスク案件があり、どのようなキャリア像にも近づけると思いますので、この領域に興味のある方をお待ちしています。
