PwCコンサルティング合同会社/PwCサイバーサービス合同会社

コンサルティングサービスを提供する国内最大規模のコンサルティングファーム、PwCコンサルティング合同会社。今回は、サイバーセキュリティ領域を担当されている Cyber Security & PrivacyチームのPartner 外村慶 様と、技術面からサイバーセキュリティの支援をするPwCサイバーサービス合同会社（以下PCS） Partner 星澤裕二 様に、アクシスコンサルティングの洲脇豪人と久保浩一がお話を伺いました。文中の情報及びデータ等は2018年11月現在のものです。

サイバーセキュリティの大きな変化

洲脇
まずは星澤様と外村様、それぞれのご経歴からお話をお伺いします。

星澤様
98年からセキュリティの領域で20年程キャリアを積んでいます。
それまでSEでしたので、IT業界に26-7年身を置いていることになります。
セキュリティでいうと、ウイルス対策ベンダーでウイルスを解析し、所謂パターンファイルや定義ファイルと呼ばれるものを作るチームを率いていました。その後、セキュリティ製品のスタートアップを作り独立し、フィッシング対策や不正送金対策の製品を作っていました。その後PwCにJoinし今はPCS（PwC Cyber Services）のリーダーとしてクライアントにサイバーセキュリティに関わるサービスを提供しています。

外村様
私はPwC、且つコンサルタント歴は1年と少しです。それまでのキャリアとしては大学を卒業して以来30年弱、ソフトウェアやサービス、SIもやりましたし、研究所にいたこともあります。IT業界では一通りのことはやってきたつもりです。このキャリアの集大成という意味でコンサルティングファームでのキャリアを選択しました。セキュリティでいうと10年程です。ここ10年でセキュリティは大きく変わってきていて、たまたまその中に自分が居られたというのは、結果的に非常に有意義だったと思います。

洲脇
セキュリティのトレンドや現在のマーケット状況はいかがでしょうか。

星澤様
私は20年程この業界にいますが、20年前はほとんどの企業がウイルス対策ソフトを導入しておらず、そもそもどうやってウイルス対策ソフトを売ったらいいのかが分からない状況でした。ウイルスも数ヶ月に1回大きいものが出ればいいくらいでした。今みたく、毎日何万種類も新種のウイルスが出るような状況ではなかったので、状況が全然違います。10年位前からの変化ですと、お金目的の攻撃者が増えてきて、金銭を得るために攻撃を仕掛けてくることが多くなってきていると思います。20年前はどちらかというと技術力を誇示するために派手なウイルスを作るということが多かったですね。
その時代時代で技術が進化し、それに伴って攻撃の技術も変わってきているという感じはします。

外村様
あとは環境の変化も大きいです。10年前は日本にまだAWSがない位です。そこから今、AWS にしろAzureにしろ、クラウド環境というのも全然違い、当然セキュリティの領域も本当に広く複雑化しています。その環境の変化に一番敏感についていかなくてはいけないものの一つは、やはりセキュリティなのです。
ものすごく柔軟に考えていかなければいけないところがセキュリティ技術そのものでもあり、人の体制や組織等、テクノロジーを使う人の部分も考えていかなければいけない。
すごく変わらなければいけないところと、オーソドックスに変わらないようなところ、両サイド、コンサルティングというのはあると感じています。

久保
金銭を得たくてアタックする人が増えているというのは、それはアタックして欲しいと発注する人たちが裏でいて、それをやるハッカーがいるということでしょうか。

星澤様
そうです。現在は分業化が進んでいて、ツールを作成して攻撃をする人、盗んだものを売買する人、買ったものを使ってまた別の攻撃をする人等、サイバーの攻撃者のエコシステムのようなものができています。ある調査によると、年間12兆円がそこで動いているという話もあります。一方で防御する側のセキュリティ対策の投資は8兆円ほどという調査結果があります。攻撃者と守る側の資金力がまず圧倒的に違っていて、攻撃者が有利な形になってきています。

久保
それに対して、アタックされるであろう対象者側の意識は変わってきているのでしょうか。

星澤様
以前までは、情報システム部のOA環境、そこに対するセキュリティがメインでした。
セキュリティ対策の成熟度という意味でも様々あったのですが、当然役員レベルまでいくと意識の高低が大きかったです。ただ、これだけ実被害が多くなってきており、役員レベルまで含めて意識レベルがかなり高くなってきています。それが中小企業も含めて波及しており、ようやく全体的に成熟しだしている、というのが現状だと思います。
ただ、これまでは情報システムのセキュリティをなんとか成長させてきましたが、そこを解決する手前から、自分たちで作るプロダクトや会社施設のセキュリティ等、新しい領域のセキュリティも考えなくてはいけなくなってきています。そこがクライアントサイドから見ると、ものすごく大変になっていると思います。

洲脇
全ての製品がサイバー空間につながる世界になってきています。

外村様
いわゆるIoTの世界です。車にしても、電化製品にしても、結局繋がらないものはなくなってきています。ということは、通信をするし、そのためのソフトウェアがあるということです。セキュリティの問題を抱える局面が本当に広がっています。

洲脇
それだけ脅威が広がってくるという中で、どのようにその対策を広げているのでしょうか。

星澤様
基本的に新しい技術や仕組み、インフラ等が出てくるとそこに対する脅威が必ず出てくる状況は、ここ20年変わっていません。我々も、最先端を常に押さえていかなければいけない。私も以前はスマホのアプリが出て、リリース初期の段階で脆弱性を調べ始めたりしていました。新しいものに対して興味を持っていかないと、中々キャッチアップはできないと思います。

PwCサイバーサービス合同会社 Partner 星澤裕二 様

コンサルティング×テクノロジー×監査　総合力のPwC

洲脇
御社のなかでのサイバーセキュリティはどのような位置づけなのでしょうか。

外村様
PwCグローバル全体で三大イニシティチブが定められており、その一つがセキュリティです。
昨年も同様でしたので、会社としての最中力領域として考えています。
投資もしていますし、日本だけでみても高い成長率を記録しています。

洲脇
PwCグループとして、サイバーセキュリティで2年連続リーダーポジションという記事が最近出ました。御社の強みをお聞かせください。

外村様
我々はテクノロジーコンサルティングのカテゴリーの中なので、当然テクノロジーに特化しております。一方、その反対側のガバナンス系の観点でもサービスを提供しております。クライアントの観点でみると、エンタープライズ向けもやれば、ニッチで特殊な領域もやる。この4極を万遍なく網羅しているのは大きな強みだと思います。
例えば自動車メーカーを考えたとき、会社自体はエンタープライズで、そこに対してガバナンスを効かせるというコンサルティングも必要です。一方製品を見ると、コネクティッドカーのセキュリティといったニッチな部分も考えなければいけない。あらゆる方面を高いレベルでサポートできるのは大きいです。
ニッチなところでいうと、星澤のところでやっているハードウェアハッキングは本当にニッチで、はんだごてではんだを剥がすところからやっていたりします。

星澤様
ハードウェアハッキングは、最終的にはソフトウェアのハッキングに繋がるのですが、まず感染したハードウェア機器を持ってきて、まず外からどうやってアクセスできるのかを見て、それができないと今度は分解して基盤を見て、基盤にポートやケーブルがさせるようなところがあると、そこからソフトウェアを抜き出せないか、というチャレンジをします。それでもできないと、最終的にはチップを外してチップ自体からプログラムを呼び出すということをします。チップは基盤にはんだづけされているので、はんだを溶かして剥がし、そのチップをリーダーに取り付けて、そこからプログラムを吸い出すということです。

洲脇
イメージしていたエンジニアとは違いますね。

外村様
まさにテクノロジー、ニッチの領域ですよね。はんだごてを持っているかと思いきや、CIOレベルに対してセキュリティの組織を作っている。もっと言うと、どのような規程を作るべきか、というところをやったりもします。

洲脇
振れ幅が大きいですね。

外村様
本気でセキュリティを考えるなら、全部必要なことなのです。我々はあまりサービスメニューを作らないです。なぜかというと、サービスメニューは作った途端にコモディティ化して、真似ができるものになります。ハードウェアハッキングも、それをやろうと思って作ったのではなく、クライアントに必要だからやっているだけです。幅広く領域を押さえたところで、どこからどこまでやるかというルールは特にない。それが、本当のコンサルの醍醐味であり、面白いところですね。

久保
コンサルティング業界の中で御社の立ち位置としては、PCSという組織があることが大きな特徴だと思います。具体的なコラボレーション例をお伺いします。

外村様
代表的には、先ほどのハードウェアハッキングが挙げられます。あと、星澤のところで研究所をもっており、そこがすごく尖ったものをやっています。1年後くらいには世に出せると思います。

星澤様
国プロ系の調査研究案件をやっているので、これから先の脅威や、今すでにある脅威の中でもそれを長期的に観測してみてどういう変化が起きているのか、というのを調べたりもしています。今のサイバーの攻撃者の現状や次にどのようなことが起きるのかが分かったりするので、そこから得られた知見をもとにソリューション開発につなげたりもしています。具体的にいうと、我々がレッドチーム演習と言っているもので、いわゆるホワイトハッカーになり、クライアントの環境を攻撃してアセスメントをしていくというのは、もともとはその調査研究で進めていたものをベースにサービス化してやっているものです。

久保
御社の出されているレポートを拝見すると、特に日本企業はまだまだセキュリティへの投資の意識が薄いというのが垣間見れます。コンサルティングという経営の上の方から入ることでクライアントの意識を変え、技術の話まで繋げていけるイメージもあるのでしょうか。

外村様
それはあります。あとは、監査チームとの連携も多く、そこがシステム監査という違った目線で見ることでクライアント側も比較的わかりやすい範囲で納得してもらいやすいです。
監査でやらなければいけないことを明確にし、＋コンサルティングでさらに発展させていくためにはどうすれはいいかを考える。技術部分も先進的なメンバーがカバーしてくれている。三位一体となったコラボレーションが凄くあります。これは、かなり噛み合っていると思います。

PwCコンサルティング合同会社 Partner 外村慶 様

クライアントの課題の本質に迫れるのがPwCの醍醐味

久保
外村様はテクノロジーベンダーにもいらっしゃいましたが、貴社に来たことで広がったことはありますか？

外村様
やはりきちんとコンサルティングができる、ということだと思います。
先日、とある業界のクライアントで大きなインシデントが起こり、セキュリティを見直したいという依頼を受けました。セキュリティの見直しだったのですが、中身をみると買収してきた先のセキュリティが黒かったのです。わかりやすく言うと、自社は白だったのに黒と一緒になったから灰色になってしまった、ということでした。灰色になったものをもう1回白くしようというセキュリティ対策を考えるのですが、そもそも考えてみたら黒色が混ざったところが問題であり、黒のうちにセキュリティ対策を打つべきだったのです。そう考えていくと、セキュリティ対策というよりもM&A時のデューデリジェンスの規定をきちんと作らないといけない、という話になります。これはITコンサルだと在り得ない展開の仕方です。
デューデリジェンスの深いところにいくとM&Aに特化したグループ内のチームとの連携、場合によっては税理士法人との連携等、様々な角度からクライアントの課題の本質に迫れるのはPwCでの仕事の醍醐味ですね。

洲脇
技術バックグラウンドでキャリアを歩まれてきて、御社に来たメリットはどういう時に感じられますか。

星澤様
研究部分については前職でも近いことをやっていたのですが、そこからもう少し幅を広げて、コンサルティングのプロジェクトの中に研究要素があったり、技術的な要素を組み込むというようなことは過去にはやっていなかったので、幅が広がったのは感じています。

優勝できるチームにしたい

洲脇
チームの雰囲気についてお伺いいたします。

外村様
前職で成功した人が、何かもっとチャレンジしたいと言ってPwCの門を叩くというメンバーが多いです。成功体験を持ってPwCでそのままトップで成功する人もいれば、すごく苦労しながらもう1回這い上がるような人、様々です。間違いなく言えることは、みんな成功体験を持っていて、さらにここでもっとチャレンジしたいと思ってくるのです。私はこれをすごくいいことだと思っています。もしかしたら5年でPwCを卒業していくメンバーもいるかもしれませんが、ここで入ってきた人がグンと成長し、さらにもっと新しいチャレンジをしたいというのであれば、それはそれで素晴らしいことだと思います。

洲脇
今後、チームをどのようにしていきたいのでしょうか。

外村様
優勝できるチームにしたいと思っています。優勝できるということは、一番機会が多いところ、一番盛り上がっているところです。そういう意味で言うと、PwCのサイバーというチームは、マーケットの中でもかなり競争力があるチームだと思います。チャレンジングで成長機会が多い環境を提供していきたいですね。

久保
メンバーの方も、多様な方が集まっていますね。

外村様
先ほどお話したように、我々の範囲は非常に広範囲に渡ります。それに対応しようとすると、幅広い人材が必要で、いわゆるコンサルティングというののイメージとは違うような人材にも来て頂く必要があります。これは広い意味でのダイバーシティだと思っていて、ダイバーシティなチーム作りというのはいつも考えていることです。
実際、コンサル出身者のメンバーだけでなく、SIerやネットワーク系、事業会社のIT部門にいたメンバーなど、バックグラウンドが多様な点がチームの特徴です。この多様な価値観をつぶさずに認め合うことが強みになると考えているので、そういうチーム作りをしていきたいです。

星澤様
PCSの方は、いわゆる尖った人材を集めてやっていきたいと思っています。サイバーの領域は幅が広く、例えばハードウェアハッキングではんだを溶かしてという人もいれば、研究をやる人もいる。もっと言えば、物理セキュリティ等の尖った話もあるので、自分の得意領域を明確に持っている人に来てほしいです。そこから幅を広げて、その人自身も、技術的に尖がった部分＋コンサルティングのスキルも身に付けていきながら、自分の仕事の領域も広げていくというようなことは是非やって頂きたい。そうするとチーム全体がもっと総合的にスキルアップしていくと思います。

クライアントへの責任感に共感し、成長を望む方に来て欲しい

洲脇
サイバーセキュリティ領域を経験する意味と価値についてお伺いいたします。

外村様
様々あると思いますが、サイバーセキュリティが経営全般に関わる課題になっているので、サイバーを入口に経営視点を持つコンサルタント、エンジニアになれると思います。先ほどの話でもありましたが、M&Aに関わるケースなどもあるので、テクノロジ－コンサルからマネジメントコンサルに近いこともできるような環境になりつつあります。

洲脇
サイバーセキュリティ領域をやる面白さは、どのようなところに感じますか。

星澤様
技術的な立場からいうと、やはり最先端のところを押さえたい人にとってはすごく魅力があるところだと思います。私もキャリアの中で常に最先端のものを押さえきており、その領域にセキュリティのリスクが出てきた時にそれを知らないというわけにはいかないので、エンジニアとして追及する醍醐味があります。

外村様
セキュリティを10年ぐらいやっていると、本当に被害のあった現場に入ることが何回もあります。新聞に出ている以上に被害はあります。そういう現場に入る、「これは本当にこれはシリアスな問題なんだ」というのをものすごく強く感じるのです。
我々は、そういう場面を見ていると真剣にならざるを得ない。
セキュリティは、対策したからお金が儲かる、というものではありません。ですが、これをやらないと非常に大きなマイナスなことが起こるというシーンに向き合ってきた身からすると、シリアスになります。コンサルティング的な面白さはありますが、それ以上に、クライアントを支える責任感を感じます。
そういった点に共感し、成長を望む方に是非来て頂きたいです。