※こちらは2022年10月に公開された記事の再掲です。
テクノロジーが日進月歩で進み、私たちの生活は大きく変わりました。
スマートフォンやタブレットのような身の回りにある電子機器だけでなく、あらゆるモノがインターネットとつながるIoT活用が進み、社会や生活が進化しようとしています。ただ、その技術や社会の進化を悪用しようとする人がいるのも事実。便利さの裏に危険もすぐそばに潜んでいるのをご存じですか?
昨今の情勢を受け、経済産業省からサイバー攻撃事案の潜在的なリスクについて注意喚起がなされたように、日本国内でもマルウエア (※1)の感染が増えています。悪意を持ったサイバー攻撃から重要な情報が漏えいしないように守り、社会を混乱に陥れないためのセキュリティ対策は、日本の政府機関やインフラ事業者をはじめとする各企業・団体などで不可欠になっているのです。
デロイト トーマツ サイバー合同会社はサイバー領域に特化したコンサルティングファームで、デジタル化へのチャレンジにつきまとうリスクから企業を守るプロフェッショナル集団です。
「コンサルティングの知識とサイバーセキュリティのノウハウを身に付ければ、希少な人材になる」「専門性を身に付けた先のキャリアパスも多様に広がる」。
そう語るのは、同社で自動車業界のサイバーセキュリティコンサルティングを担当する水谷奈穂子さんと松原有沙さん。今回は、需要が確実に増しているサイバーセキュリティに従事するお二人に、新卒がサイバーコンサルタントとしてキャリアを歩むメリットについて話を伺いました。
(※1)……トロイの木馬やスパイウェアなど、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウエアの総称
<目次>
●企業のデジタル変革実現のために欠かせない要素となるサイバーセキュリティ。新しいビジネスの差別化要因となる攻めの経営戦略にも携わる
●サイバーセキュリティはデジタル社会を事故から防ぐブレーキ。正解がなくても未来を想像して世界を守る
●コンサルティングから攻撃をシミュレーションする研究開発機関まで、サイバー空間で必要なサービスを幅広く手掛ける
●サイバー=理系は誤解。文理問わずさまざまなメンバーが集い活躍する
企業のデジタル変革実現のために欠かせない要素となるサイバーセキュリティ。新しいビジネスの差別化要因となる攻めの経営戦略にも携わる
──サイバーセキュリティは世間でなじみのない業界だと思いますが、まずはお二人のご経歴を聞かせてください。
水谷:新卒で外資系IT企業に入社してインフラ全般を担当したのが最初のキャリアです。その後、ネットワーク技術を学び、サイバーセキュリティサービスの開発やマーケティングに従事してきました。
家族の都合でアメリカに引っ越した後は、自動車関連企業でセキュリティコンサルティングを担当していました。アメリカでは企業のサイバーセキュリティ投資が非常に活発に行われていることもあり、多様なテクノロジー企業が提供する最先端のセキュリティソリューションに触れ、また優秀なセキュリティプロフェッショナルとの交流に影響を受けました。
帰国後も自動車業界のセキュリティを手掛けたいと思い、2020年にその領域に強いデロイト トーマツ サイバーに入社しました。
──続いて、松原さんのご経歴をお伺いしたいです。
松原:私は工学部で暗号実装の研究室に所属してセキュリティを学び、新卒で電機メーカーに就職しました。
そこではハードウエアの開発部門で車載器(自動車に取り付ける無線装置)の開発に携わっていたのですが、お客さまに製品を提案するにあたり、セキュリティ上の悩みに関するヒアリングを行っていました。まさに、コンサルティングに近い仕事をしていたんです。
しかし、電機メーカーはソリューション=自社製品ですから、基本的に自社製品を導入してもらう以外の選択肢はありません。そのため、クライアントにとって最良と思える提案ができないと感じるケースもあり、ジレンマを抱えていました。
──納得できる提案ができない、というのは後悔を抱えてしまいますよね。
松原:自社製品に限らず、他社製品も含めた幅広い製品・サービスの中からより良いものを提案したい、そう考えて転職活動をしていた際にデロイト トーマツ サイバーに出会いました。ここならお客さまにベストなサービスを提供できると確信し、入社を決めた形です。
──入社後はお二人とも自動車業界のサイバーセキュリティコンサルティングに携わっているんですよね。具体的な業務内容について教えてください。
水谷:はい、私と松原さんが所属しているのは自動車関連のサイバーセキュリティをコンサルティングするチームです。主なテーマとして、「自動車会社のデジタル化におけるサイバーセキュリティ」や、「プライバシー関連のコンサルティング」を行っています。
例えば、デジタル化に伴う膨大なデータを利活用する上で安全性の担保は非常に大きな課題です。企業の新しい挑戦に伴う先進的な問題に対してお客さまと一緒に向き合っています。
私たちは「自動車」という業界に特化したチームですが、デロイト トーマツ サイバーには、インダストリー別にチームがあるだけでなく、ゼロトラスト(※2)への対応や、アタックアンドレスポンスといった攻撃シミュレーションを行うサービス提供など、あらゆる課題に対処できる体制をとっています。
また、ランサムウェアの脅威への対策を強化し、365日24時間体制で分析を行うサイバーセキュリティ監視センターもあり、デロイト トーマツ サイバーには総勢300人程度のメンバーが働いています。
(※2)……社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。
水谷 奈穂子(みずたに なおこ):マネジャー
外資IT企業にて、インフラ技術支援、製品マーケティング、セキュリティサービス企画・導入などを担当。北米に渡り、自動車業界向けのリスク評価やサイバーセキュリティ対策の支援に従事。2020年デロイト トーマツ サイバーへ参画後、自動車業界に対してプライバシーおよびサイバーセキュリティ全般のコンサルティングに従事。(所属部署はインタビュー当時のものです)
──自動車業界におけるサイバーセキュリティ対策では、具体的にどのような事態を想定しているのでしょうか?
水谷:想定されるインシデント(事故)は、個人データの流出だけではありません。コネクティッドカー(インターネットに常時接続する機能を持つ自動車)自体が攻撃を受けて外部から操作をされてしまうリスクもありますし、最近では製造現場の工場のパソコンにランサムウェアが感染して、工場の稼働そのものが止まってしまう事件も実際に起こりました。
自動車業界はOEM(※3)だけでなく、部品のサプライヤー(製品を製造し、納入する事業者)も多く、裾野の広い業界です。その中の一社が被害を受けると、関連する企業を含めて連鎖的に被害が広がってしまうケースもあるため、全ての企業にセキュリティ対策を施す必要があります。
松原:私も自動車関連の業界団体で事務局を担当したほか、法規のドラフト作りにも携わったことがあります。攻撃の想定や脆弱性(ぜいじゃくせい)の収集、ガバナンス体制の構築などをしていました。
自動車業界におけるサイバーセキュリティの遵守(じゅんしゅ)意識はここ数年で急激に変わってきています。私がデロイト トーマツ サイバーに入社した時点の2017年では、これらの法規などに対応できている自動車企業はわずかでした。この5年程度でサイバーセキュリティに対する意識が一気に上がったと感じています。
製品の製造過程で想定される攻撃や、サイバー攻撃を受けた際に速やかに管轄官庁に報告できる仕組みを作っているか、サイバー攻撃に耐えられる開発体制を構築できているかなどをヒアリングし、クライアントと一緒に形にしていきました。
(※3)……委託を受けて他社ブランドの車を製造すること
松原 有沙(まつばら ありさ):シニアコンサルタント
新卒では総合電機メーカーに入社。デロイト トーマツ サイバーへ2017年に中途入社。自動車のサイバーセキュリティに係る国際規制(WP29 UNR155 ISO/SAE21434)対応に向けた支援や自動車業界団体の事務局支援、先端技術に関する情報管理態勢強化のための支援などを行う。(所属部署はインタビュー当時のものです)
サイバーセキュリティはデジタル社会を事故から防ぐブレーキ。正解がなくても未来を想像して世界を守る
──与える影響力が計り知れないですね……。そんなサイバーセキュリティ領域の一番のやりがいは何ですか?
水谷:サイバーセキュリティは社会のインフラを守る仕事です。IoTと5Gであらゆるモノがインターネットにつながる社会になり、サイバーセキュリティの重要性が高まっているのをひしひしと感じます。
スマートシティなどの新たな取り組みも各国で進んでいます。ブレーキがない車は危なくて走れないように、デジタルを活用した新たな構想の推進にはセキュリティが十分に機能していることが大事で、そのためにもサイバーセキュリティの発展は欠かせません。
ビジネス上の課題も大きく変化しています。例えば、私は自動車業界のプライバシーの課題に取り組んでいるのですが、2022年4月に日本でも改正個人情報保護法が整備されています。欧米でも法規の改正があったために、それを遵守できないと欧米に製品を輸出できないといったリスクも考えられます。万が一情報が漏えいしてしまえば、大問題に発展しかねません。
個人情報の保護以外にも、守るべきサイバーセキュリティの領域は多岐にわたります。先ほど製造現場の工場が攻撃を受けて、工場が稼働できなくなったお話をしましたが、部品の製造が滞れば、それだけ完成車の納品も遅れるということ。自動車企業の経営も大きな打撃を受けてしまいます。
──松原さんはどのような部分にサイバーセキュリティのやりがいを感じますか?
松原:昨今では国家的なサイバー攻撃も行われています。攻撃の手段も増えており、金銭的なメリットがあるものや、攻撃を行った人が捕まらないツールも生まれています。
しかし、ツールが進化し続けるのに対して、サイバーセキュリティに関する法規関連は、国際的に見てもまだ成熟していません。正解が決まっていないために、議論すらまだまだ難しいのが現状ですが、正解がない中でお客さまに提案して「こんな情報が欲しかった」と言われたときはやりがいを感じますね。
例えば、法規におけるドラフトの一つ一つの要件を洗い出して懸念点を指摘したときは、喜んでいただけて非常にやりがいを感じました。
──トレンドの最先端を追う必要があるからこそ、顧客からのニーズも強いというわけですね。
松原:一方で、いくらセキュリティが大切だといっても、セキュリティの堅固さと不便さは表裏一体である点を無視してはいけないと考えています。例えば、中身を守りたいからといって、金庫にカギを10個つけたら開けるのに膨大な時間がかかってしまいますよね。それと同じように、セキュリティを高めればその分使いづらさが際立ってしまいます。とはいえ、不便だからといってセキュリティ機能をオフにするのは本末転倒です。
携帯電話などでも使われている指紋認証や顔認証などセキュアで、なおかつ負担を感じさせないUI(ユーザーがデバイスとやり取りする際の表示方法や仕組み)・UX(ユーザー体験)の良いセキュリティ構築は目指すべき課題です。
コンサルティングから攻撃をシミュレーションする研究開発機関まで、サイバー空間で必要なサービスを幅広く手掛ける
──やるべきことが山のようにありますが、お二人含めデロイト トーマツ サイバーでの働き方を教えてください。
松原:デロイト トーマツ サイバーは裁量労働制で自由な働き方をしています。例えば、私自身も業務の合間に時間を見つけてジムに通ったり、プライベートに合わせて朝遅く出勤したりもします。子育て中の社員は保育園のお迎えや家事の時間確保のために夕方以降の予定をブロックすることもあります。
水谷:また、人材育成も会社を挙げて注力しています。新入社員研修を経て、始めは1案件を担当し、要領をつかんできたら担当領域を広げていくことになると思います。場合によっては、クライアントと数年単位でご一緒するケースもあります。
社内の協力体制でいえば、インダストリー(業界)を中心に対応するチームと提案型のオファリングチームがあり、それぞれが深く連携しています。
また、デロイト トーマツ サイバーはサイバー攻撃のシミュレーションができるセキュリティセンターやR&D(研究開発)機関を持っています。お客さまの企業を24時間365日監視して脅威から守るセンターがあるのも特徴の一つです。
セキュリティの案件は一人で完結する仕事は少ないもの。クライアントのためにさまざまなプロフェッショナルが知恵を出し合い、うまくコラボレーションをして最適解を見つけます。
サイバー=理系は誤解。文理問わずさまざまなメンバーが集い活躍する
──サイバーセキュリティコンサルティングのプロフェッショナルとして、お二人は今後のキャリアをどうしていきたいですか?
水谷:マネジャーというポジションですが、スタッフ層とマネジメント層では求められることが異なってきます。私はマネジメントにもやりがいを感じており、マネジャーとしてお客さまとともにマーケットを作っていく中で、デロイト トーマツ サイバーがリーダーのポジションを取ることにも貢献したいです。
松原:私は「将来やりたいことがまだ変わるかもしれない」という前提ですが……。専門性としてのサイバーセキュリティの法規を突き詰めて、クライアントのセキュリティ態勢が変化していくのを間近で見ていきたいと思っています。
デロイト トーマツ サイバーには「チェックイン制度」や「コーチ面談」という独自の制度があります。週1回など頻度は個人に任せられていますが、上司から案件のフィードバックをざっくばらんにもらい、将来の方向性や「これから自分が何をやりたいのか?」という相談をできるのは良い点だと思っています。
業務における課題を「2〜3年後にどうなっていたいのか?」というようにマイルストーンを丁寧に設定して考える機会があるので、自分でも整理できている感覚があります。
──とはいえコンサルティングの場合は、若手が希望する案件にアサインされることは難しいとよく聞きます。
水谷:いえ、そんなことはないですよ。「このプロジェクトには絶対に携わりたい」と意思を明確にすれば、若手にもチャンスはたくさんあります。
サイバー領域について課題は持っていても、予算や組織の都合があり、なかなか思うように働けないという人が、思い切ってデロイト トーマツ サイバーに転職するケースもあります。志の高い人にサイバーセキュリティの専門家になってほしいと思っています。
──「サイバー」と聞くと理系が必須というイメージもありますが……。
水谷:それも誤解ですね。私はもともと文系出身です。キャリアを積む中で技術に興味があり、セキュリティを学び、法規の問題にも関心を持ちガバナンスに対して探究をしてきました。サイバーといってもさまざまな要素があるので、理系文系を問わず活躍できます。
松原:チームのメンバーの出自もさまざまです。製造業出身者や特定のセキュリティ技術に強みを持ったメンバー、プライバシー関連の法規に精通しているメンバーなど、いろいろなバックグラウンドを持った人が集まっているんです。デロイト トーマツ サイバーに向いている人を挙げるのであれば、知的好奇心が旺盛な人だと思います。セキュリティ技術は日々進歩していますから、新しいテクノロジーの知見を学べます。
水谷:コンサルティングと一口に言っても、さまざまな種類がありますが、サイバーという言葉の響きに惑わされず、「未知の領域に対して、お客さまとともに最適解を考えるポジション」と捉えるのがいいのではないかと思います。
──ありがとうございます。最後に新卒の学生が、今デロイト トーマツ サイバーに入るメリットを教えてください。
水谷:コンサルティングの汎用的な高いスキルを身に付けながら、需要の多いサイバー領域で専門性を磨けることではないでしょうか。
まず、サイバーセキュリティの専門家が不足しているため、希少性が高い。これは日本だけでなく、北米でもそうです。加えて、「コンサルティングスキル」はどの業界に行っても役に立ちますし、「課題解決能力」をあらゆるプロジェクトで学ぶことができます。この広さと深さを同時に獲得できることは、今後のキャリアに必ず生きるはずです。
サイバー領域は今後も需要はますます増えていきますから、その両方を身に付けたい人はデロイト トーマツ サイバーが合っていると思います。
松原:サイバーセキュリティはどの企業も必ず対応しなければいけません。個人情報への対応も求められます。好奇心があり新しい技術に対して学ぶ意欲がある人には面白い環境だと思いますし、技術、法規、経営スキルなど、あらゆる面でセキュリティは重視されます。興味を持った人はデロイト トーマツ サイバーの門をたたいてほしいです。
▼企業ページはこちら
デロイト トーマツ サイバー合同会社
▼イベントページはこちら
デロイト トーマツ サイバー 3daysインターンシップ
申し込み締切:9月22日(金)10:00
▼他のインタビューはこちら
・「コンサルタント×サイバーセキュリティ」の市場価値は高まり続ける。デロイト トーマツ サイバーのシニアマネジャーが明かすキャリアの可能性
【ライター:上野智/撮影:安井信介】
