KPMGコンサルティングが公表した「サイバーセキュリティサーベイ2023」(参考:https://kpmg.com/jp/ja/home/insights/2024/02/cyber-security-survey2023.html)では、サイバーインシデント被害にあった企業のうち、被害額が1億円以上となった企業が前年比で約6倍に増えていることが分かりました。サイバー攻撃もより高度になるなか、KPMGジャパンでは、コンサルティング、ファイナンシャル・アドバイザリー・サービス(FAS)、監査法人が一体となり、300名に迫るプロフェッショナルが、クライアントのサイバーセキュリティ課題の解決を支援しています。
今回は、KPMGコンサルティング株式会社の執行役員 パートナー 澤田 智輝様、有限責任 あずさ監査法人のパートナー 山口 達也様、株式会社 KPMG FASの執行役員 パートナー 上原 豊史様より、昨今のサイバーセキュリティの状況、また各社のサービス内容・組織の方向性、コラボレーションの詳細、KPMGのカルチャーなどについてお聞きしました。
1億円以上のサイバーインシデント被害を受けた企業が増加
小野
まずは、サイバーセキュリティ領域の情勢や今後の展望についてお聞かせください。
澤田様
私の所属するKPMGコンサルティングが公表した「サイバーセキュリティサーベイ2023」では、実際にサイバーインシデントに遭った企業の被害状況について調査しています。
その結果、2022年のサーベイの結果と比べ、1億円以上のサイバーインシデント被害を受けた企業数が、回答者の1.2%から6.7%に増大していることが分かりました。また、本社のシステムに直接侵入する攻撃は18.5%でしたが、国内外の子会社や委託先のシステムを経由して本社のシステムに侵入するサプライチェーン攻撃は41.5%を占めていることが分かりました。
特に、海外子会社におけるセキュリティ対策状況についてどのような把握方法を用いているかという質問は、39.1%が「海外子会社の取り組みを把握していない」との回答となり、海外子会社のセキュリティ管理について苦労している企業の実態が明らかになりました。
上原様
KPMG FASでは、まさに海外子会社のサイバーインシデント対応を得意領域としており、KPMGのグローバルネットワークを活かした対応が強みです。たとえば、クライアントのブラジル子会社でインシデントが起きた場合、KPMG FASが司令塔となって指示を送り、KPMGブラジルのメンバーが子会社を直接訪問して対応を行う、といった連携によってインシデントに対処します。そういった案件が、近年非常に増えていますね。
小野
上原様は今後の展望についてどのようにお考えでしょうか。
上原様
最近はサイバーセキュリティデューデリジェンスと言って、M&Aを実施する際、買収対象企業のサイバーセキュリティ対策やインシデント発生時の対応状況等も重要な確認ポイントになっています。澤田さんの指摘の通り、サイバーインシデントの件数は増加の一途をたどっていますので、セキュリティ対策が不十分な企業を買収してしまうと、企業は新たなリスクを抱えこむことになりかねません。買収対象会社から提供されるセキュリティに関する内部情報に加えて、インターネットの通常のウェブサイトあるいは一般的な検索エンジンでは表示されないダークウェブから得られる情報を駆使したサイバーインテリジェンスに対するニーズは、ますます高まっていくでしょう。KPMG FASの主たるビジネス領域はM&Aになりますが、サイバーセキュリティも重要な柱の1つとなっています。
小野
あずさ監査法人はいかがでしょうか。今、力を入れている取り組みなどありましたらお聞かせください。
山口様
DXが進み、サプライチェーンが構築されていくなかで、皆様が悩んでいらっしゃるのが、委託先や協業先の安全性に対して委託元が抱いている不安にどう応えていくかです。
クラウドベンダーは基本的に外部監査を受け入れていませんし、今は昔のように自分たちで直接チェックすることが難しい状況になりました。そうした状況下では、セキュリティに特化した保証報告書の提出や、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度(ISMAP)」等の広く一般に認められた制度に基づく評価を提示する必要が出てきました。
つまり、委託元がその安全性を広く対外説明する必要性が高まっているのです。
こうした評価には、専門のスキルと評価対象からの独立性確保が不可欠です。われわれあずさ監査法人は、会計監査等が求める独立性を確保するための施策を継続的に実施しています。
セキュリティ領域での監査・評価業務を中心に対応しているのが、あずさ監査法人の特徴です。この「セキュリティの専門性」×「監査・評価」の領域に、われわれ以上に踏み込める組織は、他にないと自負しています。
専門性に合わせた役割分担で3社が密に連携
小野
3社はそれぞれどのような案件を担当しているのでしょうか。
澤田様
KPMGジャパンでは、この3社が一体となってサイバーセキュリティサービスを提供しています。
監査法人は、主にセキュリティの監査や保証業務を担当します。最近ニーズの高いISMAPや、官公庁向けのクラウドのセキュリティ監査などが多いですね。
KPMG FASは、サイバーインシデント発生後の対応支援、特に、サイバー攻撃のログ解析などを行うサイバーフォレンジックを担当します。
そしてKPMGコンサルティングは、それ以外のセキュリティサービスを担当しています。 毎月、3社合同のミーティングにて情報共有を行うとともに、共同でセミナーを開催したり、採用活動を一緒に展開したりと、それぞれのビジネス拡大に向け密に連携しています。
小野
コラボレーションが盛んなのですね。コンサルティングと監査法人、FASの住み分けはいかがですか。
山口様
監査法人は会社を評価して指摘を出し、改善提案を作るのですが、「具体的にどうやればいいのか分からない」というクライアントもいらっしゃいます。その場合は、KPMGコンサルティングと連携してご支援しています。
監査法人の独立性の確保を考慮しつつですが、3社での連携を図ることで、クライアントに対し実効性のあるサービスをご提供できていると考えています。
上原様
近年、インシデントが発生した場合に機動的に対応できるよう、われわれKPMG FASと年間を通じた対応支援の契約を締結する企業が増えてきました。クライアントのさまざまなニーズに応えるため、定期的に打ち合わせを実施して、お客様のセキュリティ課題や世の中のホットトピックについてディスカッションを行うようにしています。そのディスカッションにはKPMGコンサルティングのメンバーも参加し、KPMG FASのメンバーが対応しきれない部分をサポートしています。KPMGコンサルティングが得意な領域は任せ、私たちが得意とする領域は私たちが行うという、専門性に合わせた支援を実施しています。
澤田様
それぞれの専門領域はしっかりと定義されており、密に連携しながらクライアントを支援しています。同じセキュリティ領域でのビジネスを行いながら競合しないのは、KPMGのカルチャーのおかげだと感じています。
小野
いわゆる島文化にならず、ちゃんとコラボレーションが機能している要因は、どちらにあるとお考えですか。
澤田様
KPMGの行動指針には、「Together(互いに尊重し合い、多様性を強みに変える)」「For Better(未来を見据え、社会の発展に寄与する)が明記されており、クライアントや社会との協働だけでなく、組織内での協働についても積極的に推進するカルチャーがあります。
コラボレーションによるビジネス創出が重視されており、先ほどのクライアント支援だけでなく、研修などの人材育成や、内部の各種取り組みも共有して、ビジネス創出を互いにサポートしています。「それぞれが売上で競い合っていない」というのが大きな特徴だと感じています。
たとえば、KPMGコンサルティングのクライアントからフォレンジックの相談を受けた際には、「すぐにKPMG FASに連絡しよう」となります。これは、売上で競っていたらできないと思います。 これは、日本だけでなくKPMGがグローバルで志向しているカルチャーで、海外のKPMGメンバーファームのパートナーと話していても、「KPMGはコラボレーションが活発で、仕事がしやすい」という話をよく聞きます。
山口様
私は、やはりKPMGが「クライアントに選ばれるような組織になろう」、「そういう仕事を提供していこう」という大きな目標を立て、真摯に取り組み続けてきた結果だと感じています。
セキュリティ1つとっても、状況や目的によって必要なスキルは多岐にわたります。世の中には「セキュリティの専門家」と一言で済ませてしまう人が非常に多いですが、実はその中にはさまざまな種類の仕事があります。われわれは普段から情報を共有し合っているので、直ちに協力を求め合えます。
クライアントの役に立つことを第一に考えているからこそ、ご依頼をいただけますし、数字的にも良い循環が生まれています。
上原様
拡大主義は往々にして売上至上主義に陥ってしまうことが多いと感じています。KPMGは、シンプルに「クライアントにとってのベストは何か」を考えており、そういう実直なところが魅力だと思います。
澤田様
売上至上主義だと現場が疲弊しますからね。
われわれは、「これ以上の案件獲得は品質が落ちる」と感じたら、「これ以上はお断りする」というラインを決めています。これがKPMGの特徴です。
小野
キャパシティーも含めて「できないことはできない」と言うことで、クライアントからの信頼を勝ち得ているのですね。
山口様
「キャパシティー的に来年にならないとできません」とお伝えしても、「来年まで待ちます」と言ってくださるクライアントもいます。われわれが品質にこだわってサービスを提供していることを、ご理解いただいているのだと思います。
自分に合った働き方を、3社から見つけてほしい
小野
セキュリティ業務は「ひっきりなし」というイメージがあるのですが、実際の働き方はいかがですか。
澤田様
KPMGはいたずらに売上を追い求めるのではなく、クライアントに提供するサービスの品質を最も重視しています。品質を保ち、高めるためには、過重労働は避けなければなりません。KPMGコンサルティングでは、週次の定例会議でコンサルタント一人一人の労働時間を確認しています。また、有給休暇取得奨励日を設けて、定期的なリフレッシュを推奨しています。
長期休暇を利用して海外旅行を計画する際に、現地のKPMGオフィスを訪問したいというメンバーには、現地のメンバーとの調整を行っています。これまでに、ロンドン、ニューヨーク、モントリオール、メルボルン、ニュージーランド、シンガポールなどのオフィスへの訪問を調整しました。メンバーはオフィス訪問だけでなく、現地のメンバーとランチやディナーをして、良い関係を築いて帰ってくることが多いですね。 とにかく、限界まで仕事をさせようというカルチャーは全くありません。
小野
各社で働き方に違いはあるのでしょうか。
澤田様
KPMG FASでは、サイバーインシデントが発生した場合、直ちに駆けつける必要があるので、「定時なので帰ります」といった働き方ではないですね。
問題が解決するまでクライアントにしっかり向き合って対応することに関心のある方に向いています。
逆に、あずさ監査法人では、比較的時間が読みやすいので、かなり柔軟な働き方ができます。子育て中など家族との時間を充実させたいメンバーや、プロ並みの趣味を持つメンバーなど、プライベートを大切にするメンバーも多く活躍しています。
在宅勤務も取り入れているので、ワークライフバランスを大切にしたい方にぴったりの環境だと思います。
KPMGコンサルティングでは、ちょうど他の2社の中間的な働き方だと思います。プロジェクトのフェーズなどによって業務負荷が変わり、定時で退勤できる日もあれば、翌日の役員報告に向けて遅くまで準備する日もあります。業務負荷は事前にある程度予測がつくので、メンバーは予測に合わせてプライベートの予定を入れたりしているようです。 このように働き方は3社で異なるので、ご自身の働き方の志向に合わせて選択されるのが良いと思います。
山口様
加えて、ライフステージの変化に合わせて異動していただくことも、状況によっては可能です。実際は転職という形にはなりますが、部署異動のような感覚に近いと思います。
「育児のために時間が比較的自由な監査法人で働いていたけれど、育児も落ち着いてきたので、もっと積極的にクライアントと向き合って仕事がしたい」というのであれば、そのタイミングでコンサルティングに移ることも可能です。 ライフステージに合わせて働き方が選べる、そんなメリットがあります。
小野
KPMG FASはお忙しそうな印象ですが、実際にはいかがでしょうか。
上原様
KPMG FASではインシデントの対応という業務の特性上、突発的な有事にスピーディーに対応するため、業務が集中する期間がどうしても存在します。たとえば、月曜日からプロジェクトメンバー全員が分析作業に着手できるよう、土日のうちに作業環境を準備しておくといった対応が発生することもあります。他方で、インシデントは常時発生しているわけでは当然ありませんから、メンバーには長期の休みを積極的に取得してリフレッシュしてもらっています。業務が滞らないようなバックアップ体制を敷いて、長期休暇取得をマネジメントも後押ししています。そういった意味では、この3社の中では繁閑の差が大きいと言えるでしょう。
小野
出社率はいかがでしょうか。
上原様
サイバーセキュリティやデジタルフォレンジックのメンバーは、社内のラボに専用機材やソフトウエアがあり、また、直接会った方がコミュニケーションも活性化することもあるので、ほぼ出社しています。ワークライフバランスへの取り組みが進み、ここ数年では、19時過ぎにはオフィスからほとんど人がいなくなっています。育児休暇を取得する男性メンバーも増えていますし、性別やライフステージを問わず、オンとオフのメリハリがきいている会社だと思います。
山口様
あずさ監査法人では、現状は在宅勤務と出社のハイブリッド対応となっています。在宅勤務の導入によるコミュニケーション不足に対応するため、月1回程度、若手を中心とした対面でのコミュニケーションミーティングを開いたりしています。
小野
今後の課題についてもお聞かせください。
澤田様
KPMGジャパン全体のサイバーセキュリティの人数は300人弱となっていますが、サイバーセキュリティは引き合いが高く、クライアントからのすべてのご要望に応えきれていないことが課題です。
そのため、3社合同で、一丸となって採用に取り組んでいます。
「ていねいに育てるスタイル」で、着実にステップアップ
小野
KPMGコンサルティングには、どんなバックグラウンドを持った方が多いのでしょうか。
澤田様
業界で比較すると、KPMGコンサルティングは中途採用者の比率が高く、コンサルタント未経験での入社者に対する研修制度が充実しているのが特徴です。
サイバーセキュリティーチームでも、SIerやユーザー企業のIT部門出身者が多く在籍しています。KPMGコンサルティングではていねいに育てていくことに力を入れており、離職率が低い要因だと自負しています。
SIer等出身者でマネジャーやシニアマネジャーにプロモーションしたメンバーがしっかりと成長を支えますので、「コンサルタント未経験だから」と心配する必要はありません。
小野
プロモーションの考え方を教えてください。
澤田様
ていねいに育てていきたいという思いから、KPMGコンサルティングでは、入社時に少しチャレンジしたポジションでの入社は極力避けるようにしています。無理をせず、まずはパフォーマンスをしっかりと発揮できるポジションでの入社を勧めています。
昇格の人数制限もないため、コンサルタントやシニアコンサルタントで入社して、1年で昇格するケースもあります。 コンサルタントやシニアコンサルタントに求められるスキル・経験が今後のさらなる成長の基礎となるため、砂上の楼閣とならないよう、これからも長期的な視野に立って人材をていねいに育てていきたいと考えています。
小野
監査法人ではいかがですか。
山口様
やはり監査法人ですから、コアスキルの1つとして監査スキルが求められます。クライアントから出された資料が本当に信用に値するのかを吟味したり、インタビューで聞いた話がどこまでが本当でどこからが想像なのかを判断したりしなければなりません。
あるいは、確認した問題の見えている部分だけでなく、その問題が起きている本当の原因はどこにあるのかという真因分析も重要となります。入社前にそのようなスキルがある方が理想ですが、基本的には入社後に一から覚えていただいています。
そういう意味では、選考時にはITセキュリティのスキルや経験を確認しています。
技術的なことをどこまで知っているかというよりは、現場感覚を持っているかを確認します。実際に自分でセキュリティ管理をやったことがあるか、セキュリティーソリューションを導入したことがあるか、あるいは導入したけれどもこういうところに苦労した、といった現場感覚がある方を求めています。
また、「大手企業の監査部門でシステム監査の経験を有する」という方には、ぜひお会いしたいと思います。
小野
KPMGコンサルティングと同様、入社後に育てるスタンスでしょうか。
山口様
そうです。
その点からも、人物面も重視しています。性格が良いとか従順であるということではなく、自分なりにしっかりとキャリアと向き合い、今何をすべきかを考えられる力、素質があるのかを確認しています。
小野
KPMG FASではいかがでしょうか。
上原様
KPMG FASでは、かつてホワイトハッカーのような技術的にとがった人材だけを厳選して採用していた時期がありました。しかし、実際のわれわれの業務領域はテクニカルスキルだけではカバーしきれません。たとえば、個人情報が漏えいした際の被害者対応や監督官庁とのコミュニケーションなど、緊急対策本部としての支援が重要となります。また、被害に遭ったクライアントの取引先を一緒に訪問して、客観的な観点から状況説明をサポートしてほしいと要望を受けて同行することもあり、技術的な知見よりむしろ高度なコミュニケーションスキルが要求されます。もちろん、ログの解析や攻撃手法を熟知しているスペシャリストも求めていますが、広い視点を持った事業会社のIT部門、SIerやITコンサルタント出身の方も広く採用しています。
小野
最後に、サイバー領域でキャリアを歩む面白さやメリットについてお聞かせください。
澤田様
KPMGコンサルティングは、「CISO(最高情報セキュリティー責任者)を輩出する会社」でありたいと考えています。 DXの取り組みのなかで、サイバーセキュリティは、ITだけでなく、人事、営業、マーケティング、R&D、生産、物流など、企業経営すべてに関わっています。
KPMGコンサルティングで経験を積んだメンバーが、事業会社でセキュリティ担当の役員となり、企業グループやグローバルのセキュリティを統括する。これによって、世の中全体のセキュリティが高度化できればうれしく思います。 CISOとなるには、特定のセキュリティーソリューションの知識・スキルだけでなく、セキュリティ組織を束ね、メンバーをモチベートしてドライブさせていく力が重要です。
われわれのサービスの中心はまさにCISOのサポートとなりますので、コンサルティングを行いながら、CISOの経験・スキルを身に着けていってもらいたいと思いますし、そういった知識・経験を研鑽したい方には大変魅力的な環境だと考えています。
また、繰り返しになりますが、われわれは「コンサルタントを育てるコンサルティングファーム」でありたいと思っていますので、未経験の方にもぜひチャレンジしてもらいたいと考えています。
上原様
KPMG FASでは、M&A関連、不正調査、サイバー攻撃対応など、自分が関わった案件が新聞に掲載されることもあり、社会とのつながりを日々感じられます。刺激的な内容も多いため、誤解を恐れずに言うと、ワクワク感やドキドキ感のある仕事をできます。最近、ITベンダーでSOC(Security Operation Center)の仕事をしていた方が入社したのですが、セキュリティ対策をしっかり実施した結果、インシデントもなく、前職での仕事は物足りなさを感じていたそうで、KPMG FASでの仕事を刺激的でやりがいもあって楽しいと話しています。KPMG FASでは自分がやったことが直ちにフィードバックされて、社会とのつながりをダイレクトに感じられるので、そういう点でもモチベーションを得やすい環境だと思います。
山口様
これからは、セキュリティの世界でもいわゆる対外説明・アカウンタビリティーが重要になってくると思います。
50年先は分かりませんが、少なくとも転職を考えられている方が働かれるこの先10年、20年は、継続的に需要がある領域だと思います。
さらに、評価系の人材は不足している状況であるうえに、国も相当な課題認識を持っているので、ニーズはかなり高い傾向にあります。安定的にニーズがあるという意味で、安定的な人生を歩みたい方には、キャリアパスとして合っていると思います。
また、民間にも国にも、世の中には評価制度や、評価基準等の仕組みを決めていく組織や動きがあります。入社1、2年では難しいですが、そこに関わっていく機会はおそらく一般の民間企業に比べて非常に多いです。
そういったことに興味のある方には、魅力的な仕事だと思います。