「サイバーセキュリティ」と聞いて、それがどんなものかイメージできますか?
身近なものでいえば、パスワード。読者の皆さんもスマートフォンにパスワードや指紋認証を導入しているはず。これも立派なセキュリティです。
しかし昨今、このサイバーセキュリティをめぐって、さまざまな事件が日本企業で起こっています。今やサイバーセキュリティは企業の経営課題となり、経営陣と議論をするコンサルタントが活躍しています。
今回お話を聞いたのは、サイバーセキュリティを専門に扱うデロイト トーマツ サイバー合同会社でシニアマネジャーを務める手柴さんです。サイバーセキュリティの基礎からコンサルタントとしてのやりがいなど、さまざまな角度から解説していただきました。
サイバーセキュリティに関わる仕事は普段の生活では見えづらい一方で、社会的意義が高いだけでなく、学生が将来のキャリアパスを描くうえでも、極めて魅力的な職業だと手柴さんは語ります。その理由とは……?
通信キャリア、コンビニ、電機メーカー……もはや、どの企業もサイバー攻撃の脅威から逃れられない
──手柴さんは現在、企業のサイバーセキュリティに関するコンサルティングをされているとのことですが、多くの学生にとって身近な話ではないため、サイバーセキュリティが何か、そしてなぜそれが重要なのかが、分かりにくいと思っています。
手柴:確かにそうですね。もしかすると「サイバー攻撃」や「情報漏えい」「不正アクセス」といった言葉だと、皆さんも聞いたことがあるかもしれません。
サイバー攻撃というのは、簡単にいえばインターネットを通じて企業のシステムなどに不正にアクセスし、機密情報を盗んだり、システムをダウンさせたりして、企業にダメージを与える一連の行為です。最近では、企業や政府だけではなく、電力設備や工場などが狙われるケースも増えており、私たちの生活を支える重要インフラに影響を与えるリスクも出てきました。
手柴 雄矢(てしば ゆうや):デロイト トーマツ サイバー合同会社 サイバーアドバイザリーユニットシニアマネジャー
大学卒業後、システムインテグレータにて8年間サイバーセキュリティ領域に関わる企画・設計・構築・運用・保守・プロジェクトマネジメント・プリセールスなどを担当。大手金融機関オンライントレードシステム向けのセキュリティ対策製品の導入プロジェクトなど、大規模プロジェクトのプロジェクトマネジメントおよびプロジェクトリード、PMOを担当。監査法人トーマツへ転職後、デロイト トーマツ リスクサービス株式会社へ出向し、サイバーセキュリティ対策評価やCSIRT/SOC構築支援などの業務に従事。現在デロイト トーマツ サイバー合同会社へ転籍し、重要インフラ、大手製造業をはじめ、さまざまな業種のクライアントに対してサイバーセキュリティ対策に関わる戦略立案、組織の立ち上げ、業務プロセス設計、技術対策支援などの業務に従事。
──そうなんですね。電力設備や工場などにサイバー攻撃が及ぶとどうなるのでしょう。
手柴:国内でも工場が停止した例がありますし、海外では発電所が攻撃を受けて、運転を停止してしまった、という例もあります。その結果、サイバー攻撃による経済損失は全世界で約63兆円、日本だけでも約3兆円にも上るといわれています。
かつてのサイバー攻撃は自身の技術力を誇示する愉快犯や、政治的なメッセージを発信するための手段として行われることが多かったのですが、現在では完全に金銭目的の犯罪として組織的に行われるようになっています。例えば、2020年9月に発覚したキャッシュレス決済サービスの不正利用事件では、攻撃者は明らかに金銭の窃取を目的にユーザーの口座からの不正出金を企てていました。
──前述の事例以外にも、日本の企業でサイバー攻撃の被害にあってしまった例はあるのでしょうか。
手柴:学生の皆さんにも分かりやすい例でいえば、コンビニエンスストア系の決済サービスがありました。登場したタイミングでは大きな注目を集めましたが、2019年7月に不正アクセス(不正利用)が発覚し、被害総額は約4,000万円に上りました。
ちなみにこの件で、同社はサービス提供を早々に終了しています。今やサイバー攻撃は、企業のサービスを終了に追い込むほどの影響力を持つまでに至っているのです。
──企業にとってのダメージは計り知れないですね……。
手柴:大手電機メーカーもサイバー攻撃の恐ろしさを示す例がありました。当該メーカーは2020年に「サイバー攻撃により取引先の住所や口座などの情報が外部に流出した」と発表しました。この事件では、数千以上の口座情報が流出したといわれていますが、メーカーは防衛関連の案件にも数多く関わっていることから、防衛関連の機密情報を狙った国家ぐるみの攻撃なのではないかとの説もあります。
──なるほど。そしてそんなに頻繁に事件が起こっているとは……。サイバー攻撃が企業単位ではなく、社会全体に与えるインパクトが大きくなってきているということですね。
手柴:近年では、多くの企業や政府機関が「デジタルトランスフォーメーション(DX)」を掲げて積極的にデジタル活用を進めています。サイバー攻撃をする側から見れば、デジタル化の浸透は攻撃するポイントが増えることを意味します。
サイバー攻撃は世界中で毎日のように起きており、ほぼ全ての企業がサイバー攻撃にさらされるリスクがある今、これらの脅威からどう企業を守るのか、サイバーセキュリティの重要性がこれまで以上に増しているというわけです。
経営陣と議論ができる、サイバーセキュリティのコンサルタント不足は深刻
──手柴さんはいつごろからサイバーセキュリティ関連のお仕事に携わるようになったのでしょうか。
手柴:私は大学を卒業してからITソフトウエア企業、システムインテグレータ(SIer)を経て、デロイト トーマツ サイバーは3社目です。セキュリティ関連の仕事に携わることになったのは2社目のときで、主にセキュリティ上の弱点がないかを調べる「脆(ぜい)弱性診断」や対策にむけた製品の導入支援といった技術的な分野に関わっていました。
やがて、サイバーセキュリティのコンサルティングチームを立ち上げることになり、コンサルタントとしての経験がまったくないにもかかわらず、見よう見まねでコンサルティング業務を始めました。でもコンサルタントを目指すのであれば、コンサルティングファームできちんと経験を積まなければいけないと考え、デロイト トーマツ グループに転職しました。
──同じサイバーセキュリティ領域とはいえ、かなり大胆なキャリアチェンジのようにも思えます。
手柴:もともと前職で働いていたときから、お客さまの経営に近いところで仕事をしたいとずっと考えていました。そちらの方がビジネスに与えるインパクトが大きく、やりがいもありますからね。そのためには、テクノロジーの専門家として生きていくよりも、コンサルタントの道を極める方がいいと考えました。
──サイバーセキュリティ分野でいうと、手柴さんが働かれてきたソフトウエア企業やSIerに相談する企業もいるかと思います。コンサルティングファームがサイバーセキュリティを扱う意義はどこにあるのでしょうか。
手柴:セキュリティベンダーやSI(システムインテグレーション)企業は、クライアント企業の経営層が決めた戦略や方針に基づく施策の一部として、セキュリティ製品の導入や脆弱性検査の実施といった具体策を実施します。
一方、弊社のようなコンサルティングファームは、クライアント企業の経営層からサイバーセキュリティに関する課題や困りごとを直接聞いて、企業全体の戦略や方針を立てるお手伝いをします。このような役割は単にサイバーセキュリティの技術に詳しいだけでは務まらないため、やはりコンサルティングファームの出番です。
ただ日本ではまだ、サイバーセキュリティについて経営に直接アプローチできるコンサルタント人材は不足していますね。サイバーセキュリティの人材不足の問題はかなり前から指摘されてきましたが、それでも技術的な領域をカバーする人材は少しずつ増えてきて、徐々に裾野が広がってきた実感があります。しかし、コンサルティング人材の不足に関しては、まだまだ改善の余地が見られないのが実情です。
──あまり経営陣とサイバーセキュリティについて議論するイメージがわかないのですが、経営陣というのはセキュリティに詳しいものなのでしょうか?
手柴:最近では、サイバーセキュリティの重要性に理解を示す経営者も増えてきましたが、その一方で「ゼロリスク信奉」にとらわれている方もまだ一定数いますね。
──ゼロリスク信奉、ですか?
手柴:サイバー攻撃のリスクを「ゼロにしたい」と考える方が多いのです。リスクをゼロにするには、もうITの利用を一切やめるほかありません。ITを活用してビジネスを成長させていくためには、それに伴い発生するサイバーセキュリティのリスクとうまく付き合っていくしかありません。こういった、リスクマネジメントの考え方を理解してもらうのに苦労することはたびたびあります。
サイバーセキュリティは「技術」と「組織」の合わせ技、だから文系でも活躍できる
──サイバーセキュリティ対策の仕事には、どのような種類のものがあるのでしょうか。
手柴:サイバーセキュリティ関連の業務は、大別すると「ガバナンス」「マネジメント」「オペレーション」の3つの領域に分かれます。
ガバナンスは、主にサイバーセキュリティ対策のために企業がとるべき組織や人事、プロセス面での戦略や施策の策定を支援します。そしてマネジメントは、実際にサイバーセキュリティ対策を実施するうえで必要となるルールの策定や運用を扱う領域です。
そしてオペレーションは、戦略やルールに基づいてセキュリティ製品を導入・運用したり、実際に攻撃の監視業務に当たったりするといった「技術面の領域」が該当します。
──手柴さんはどの領域を担当しているのでしょうか。
手柴:私自身が現在関わっているのはガバナンスとマネジメントの領域です。これまでCSIRT(Computer Security Incident Response Team)と呼ばれる、セキュリティ関連の事案に対応するチームの立ち上げプロジェクトを多く手掛けてきましたが、これは、ガバナンスとマネジメントの両方の領域にまたがった取り組みだといえます。
──サイバーセキュリティというと、ほとんどの方は技術的な領域、つまりオペレーションの部分をイメージしがちですが、組織面、つまりガバナンスとマネジメントの取り組みも重要なんですね。
手柴:弊社にもオペレーションを担当するチームはありますが、やはりコンサルティングファームとしての強みを発揮できるのはガバナンスやマネジメントの領域ですね。
よく学生さんから「文系でもサイバーセキュリティ関連の仕事は務まりますか?」という質問をいただくのですが、ガバナンスやマネジメントの仕事で重要なのは技術面の知識ではなく、あくまでも「論理的思考の能力」なので、文系であろうと理系であろうと論理的思考の素養があれば十分に務まります。
大企業の中長期的なサイバーセキュリティ戦略の立案にコミット
──これまで手柴さんが手掛けてきたプロジェクトの中で、どのようなものが特に印象に残っていますか。
手柴:去年の12月まで、とある電力会社のCSIRT立ち上げプロジェクトの支援に半年ほど携わっていました。
この企業は、実際にサイバー攻撃を受けたことがきっかけで経営層の危機感が一気に高まり、CSIRTの立ち上げに至りました。先ほどお話ししたように、海外ではサイバー攻撃によって発電所が停止に追い込まれるような事件も報道されていますから、今後はこうした重要インフラ企業におけるサイバーセキュリティ対策の重要性がますます高まると思われます。
──このプロジェクトでは、具体的にどのような取り組みを行われたのですか。
手柴:まずは、企業全体の組織の中でCSIRTをどのように位置付けるかを検討しました。その後、実際に有事および平時にどのような機能を持たせるかを決めて、そのための人員構成を考え、さらには実際に配置された人員に対するトレーニングや事件対応のシミュレーションの支援まで行いました。
──組織の設計だけでなく、実際に組織の運用を軌道に乗せるための施策まで支援されたのですね。ちなみに他には、どのようなプロジェクトが印象に残っていますか。
手柴:某エネルギー系企業のサイバーセキュリティ戦略の立案を支援するプロジェクトは、とても印象に残っています。この企業では、AI(人工知能)やビッグデータ分析、IoTなどのデジタル技術を駆使して2040年にまったく新たなビジネスモデルを確立するという長期ビジョンを掲げています。
ここから逆算して、「このビジョンを実現するためには、直近の数年間で何を成すべきか」を中期経営計画として定義しているのですが、その中に盛り込むサイバーセキュリティ戦略の策定を支援しました。
──サイバーセキュリティ領域で長期的な戦略立案という案件があることが意外でした……。
手柴:この企業に限らず、最近では大企業の間でDXの推進に伴い、サイバーセキュリティに関しても中期経営計画の一環として中長期的な戦略を策定するケースが増えており、弊社でもその支援を行う案件が増えてきました。
ただ、このプロジェクトはかなり苦労しましたね。自身にとって初めての本格的な戦略策定の案件だったことに加え、期間が2カ月と短く、その間に多くの情報を吸収して戦略に落とし込まなくてはならなかったため、かなり大変でした。でも結果的にはお客さまにも満足いただける提言ができたため、とてもいい経験になりました。
「世界一」の仲間とともに、セキュリティの専門家としてのキャリアを歩む
──サイバーセキュリティのコンサルティングという仕事は、どのあたりにその魅力や難しさがあるとお考えですか。
手柴:プロジェクトメンバーに求められる知識や経験の幅がとても広いので、チャレンジのしがいがあると同時に、そこがまさにこの仕事の難しい点でもあります。戦略レベルの話を経営陣とするためには、その企業や業界の業務知識に精通していなくてはなりません。
それに加えて技術面の知識も必要ですが、単にセキュリティの技術を押さえておけばいいわけではなくて、クライアントの業務を支えるさまざまな技術、例えば先ほどのエネルギー系企業であればAIやビッグデータ、IoTといった先端技術も把握しておかなくてはなりません。
──かなり幅広い知識が必要とされるのですね。
手柴:はい。ただ幸いなことに弊社の場合はデロイト トーマツ グループ内にさまざまな業界の業務知識に長けたコンサルタントがいますし、技術に関しては弊社内に特定のテクノロジーに長けた人間が大勢います。多様なスキルやバックグラウンドを持つ人材がいるので、それぞれが得意分野を持ち寄ることでワンチームとしてクライアントに高い価値を提供できるのが弊社の強みです。
2019年には、独立系監査会社のレポートにおいてデロイトの戦略やマーケットでの活動が評価され、グローバルサイバーセキュリティコンサルティングのリーダーに選出されました。これがわれわれが提供できる価値の高さを示す、何よりの証拠でしょう。グローバルの仲間とともにサイバーセキュリティの専門家としてのキャリアを歩める。これは他社にはない魅力だと思います。
──とはいえ、やはりコンサルタント一人ひとりにも幅広い知識と経験が求められそうですね。
手柴:そうですね。したがって、新しい技術に興味を持って調べることが好きな人にとっては、とても楽しい仕事だと思います。あとは先ほども申し上げましたが、論理的な思考能力を持っている人がこの仕事には向いていると思います。
常に社内外の関係者から意見を求められるので、その際にきちんと論理立てて結論と論拠をセットにして説明できないと、信頼を勝ち得ることはできません。
セキュリティ人材の市場価値はこれから必ず上がる、今が一番のチャンス
──それだけ幅広い知識と経験が必要となると、新卒で入社する新入社員にとってはかなりハードルが高いようにも思われるのですが。
手柴:新卒向けの研修プログラムには万全を期しているので、その点については心配はいらないと思います。具体的には、ITおよびサイバーセキュリティに関する基礎スキルを身に付けてもらう研修と、コンサルティングの能力を向上させるための研修を受けてもらうことで、基礎的な知識と能力はしっかり身に付けられるようになっています。
──新卒で入社した社員は、どのようなキャリアパスをたどることが多いのでしょうか。
手柴:新卒社員は、まずは全員「アナリスト」という職位に就いてもらいます。ここは、与えられた職務を求められるクオリティで期日までに仕上げることを通じて、少しずつ仕事を覚えてもらう段階です。
次に「コンサルタント」という職位にステップアップすると、今度はプロジェクト内のある特定のテーマについて課題の識別から改善策の導出までを自走してもらいます。自ら考えて動くことが求められるようになるので、ただ与えられたことをこなすだけでは永遠にアナリストからステップアップできません。上位の職位であるコンサルタントの役割を自ら巻き取る動きをしていくことで、アナリストからコンサルタントへとステップアップできます。
その後は「シニアコンサルタント」「マネジャー」「シニアマネジャー」へとステップアップしていき、マネジャー以上ともなると、コンサルタントとしてのスキルや経験だけでなく、複数のプロジェクトを同時並行で管理できるだけのマネジメントスキルも求められます。
──ありがとうございました。現在、就職活動を行っている学生の中には、サイバーセキュリティの道に進もうかどうか迷っている人も多いのではないかと思います。彼らにメッセージをお願いします。
手柴:先ほども申し上げた通り、現在サイバーセキュリティ人材の絶対数が不足しており、今後も人材不足の問題は深刻化することが予想されています。つまり逆にいえば、サイバーセキュリティ人材の市場価値は今後ますます上がっていくということです。また入社間もない人材でも重要な仕事を任せてもらえる可能性が高いので、他の職種と比べても早く成長できるのではないでしょうか。
加えて、今後各企業でDXの取り組みが進むにつれ、サイバーセキュリティに対する企業の意識も高まっていき、セキュリティ専門の組織や役職がどんどん増えてくるはずです。したがって、ファーストキャリアとしてサイバーセキュリティにコミットすることは、将来のキャリアパスを切り開いていくうえで極めて魅力的な選択肢だと思います。とても大きな可能性やチャンスが広がっている世界ですから、ぜひ多くの学生さんにチャレンジしてほしいですね。
▼企業ページはこちら
デロイト トーマツ サイバー合同会社
▼イベントページはこちら
デロイト サイバー 3daysインターンシップ1回
申込締め切り:7月25日(日)
デロイト サイバー 3daysインターンシップ2回
申込締め切り:9月1日(水)
▼過去の説明会動画はこちら
【説明会動画】100社以上が見放題!企業研究から選考対策まで役立つ『ワンキャリアライブ』過去配信動画
【ライター:吉村哲樹/撮影:赤司聡】
