「サイバー」や「セキュリティ」と聞くと、専門性が高く学生のうちから触れていないと目指せない業界なのではないか……そう思って志望を断念してしまう学生も多いでしょう。しかし、決してそんなことはありません。
今やあらゆるビジネスに欠かせないインフラとなったIT。ビジネスを円滑に進めるためにも、企業には、これまで以上に強固なセキュリティ体制が求められています。そうしたサイバーセキュリティについての専門的な知見を有し、課題発見や解決策の提案を行うのが「サイバーセキュリティコンサルタント」です。
サイバーセキュリティコンサルティングの専門家集団であるデロイト トーマツ サイバー合同会社では、半年間に及ぶ研修制度やOJT制度を採用。知識ゼロの新卒でも活躍できる手厚いサポートを行っています。
今回はそんな同社に新卒で入社し、サイバーセキュリティコンサルタントとして活躍している石川真太郎さんと石橋葵さんに、研修の内容や現在の業務、サイバーセキュリティコンサルタントという職種の魅力などについて伺いました。
<目次>
●専門知識がなく不安だった……そんな自分でもサイバーセキュリティコンサルタントに
●攻撃シミュレーションに提案ワーク……デロイト トーマツ サイバーならではの実践的な研修内容
●OJTを通して研修で得た知識・スキルを自身の血肉に
●重要なのは知識よりも強み! コンサルタントは多様なスキルの「受け皿」
専門知識がなく不安だった……そんな自分でもサイバーセキュリティコンサルタントに
石川 真太郎(いしかわ しんたろう):2021年4月新卒入社 工学部 院卒
大学院ではサイバーセキュリティ分野へのAI活用について研究を行っていた。現在はSecure Platformクラウド関連案件を主に扱うユニットに所属し、セキュリティ管理体制評価などの業務に携わる。
──まずはお二人がデロイト トーマツ サイバーに入社した経緯を教えてください。
石川:私は新卒でデロイト トーマツ サイバーに入社する以前、大学院でAI(人工知能)について研究していました。中でも専門分野はサイバーセキュリティ分野にAIを活用する研究です。就活ではそういった知識や技術を生かせる業界として、コンサルティング、金融、SIer(※1)を候補にしていました。その中でコンサルティング業界を選んだのは、ありていに言うなら「つぶしがきく」からです。
セカンドキャリアを見据えたとき、コンサルタントとしていろいろな業界に関わり経験を積めることは大きな魅力です。また、コンサルティングファームに入ると資料作成やプレゼンの機会が多くなり、スキルが鍛えられます。私はもともとプレゼンや資料作成に苦手意識を持っていたので、そうした苦手な部分を克服したいという思いもありました。
コンサルティングファームの中でもデロイト トーマツ サイバーを選んだのは、BIG4の中でもサイバーセキュリティ分野に最も力を入れていたからです。自分自身の強みであるセキュリティ知識とコンサルの2軸で成長できる点が決め手になりました。
(※1)……System Integrator(システムインテグレーター)の略で、システム開発や運用などを請け負う企業のこと。
石橋:私がコンサルティング業界に入ったきっかけは、大学時代に経験したオーストラリア留学です。当時は国際寮に住んでいたのですが、そこで出会った友人たちの多くが専門性の高い学部・大学院に進学しキャリアを築いており、私も専門性を持つことの面白さやキャリアの広がりに魅力を感じるようになりました。ポータブルな専門性を持って、いずれ海外で活躍したいという思いから、就活でも海外に支社を持ち世界的に見てもプレゼンスが強いBIG4を志望しました。
私は石川さんと違って、学生時代は社会学部を専攻しており、サイバー分野の知見はまったくありませんでした。それでもサイバー分野を選んだのは、変化が早い世界なので新しい知識を吸収して成長したい私にはぴったりだと思ったからです。最終的にデロイト トーマツ サイバーに入社したのは、面接時に担当の方が対等な目線で話をしてくれたことも大きかったです。人に惹(ひ)かれたと言ってもいいですね。
石橋 葵(いしばし あおい):2021年10月新卒入社 社会学部卒
大学時代にオーストラリアへの留学経験あり。現在はユニット配属に向けてインターナショナルチームを志望している。
──石橋さんはサイバー分野のバックグラウンドをお持ちではなかったとのことですが、専門性の高い職種であることに対する不安はなかったでしょうか。
石橋:やはり不安はありました。ただ、入社してからわかったのですが、サイバーセキュリティコンサルタントはサイバーの専門知識だけが重要というわけではありません。他者に伝える技術をはじめとしたコンサルタントとしてのスキルを求められる場面も多く、そこで自分の強みを発揮できるのではと思いました。また、デロイト トーマツ サイバーが、「自分が何を強みにして、どんな人材になりたいのか」を模索する環境を与えてくれる会社だったことも大きかったです。
さらに、サイバーセキュリティの知識についても、入社後にかなりしっかりした研修がありました。デロイト トーマツ サイバーでは、新卒に対して入社1年以内に「基本情報技術者試験」に合格することを推奨しています。大変そうに思えるかもしれませんが、ITのバックグラウンドを持っていなかった私でも入社前から勉強することで、入社して2カ月で合格できました。
──石川さんは、もともとサイバーセキュリティを専門にされていたのでしたね。
石川:はい。といっても私も入社前はそれほど高いスキルを持っていたわけではなく、基礎的なレベルでした。新卒の中にはもっと専門的な知識を持っている人もいて、その中で自分自身がどんな価値を提供できるのかについては不安を抱えていました。しかも、先ほど申し上げたようにプレゼンや資料作成などのコンサルティングスキルにも自信はなかったので、「両方ともダメなんじゃないか」という状況でしたね。
ただ、入社後に石橋さんと同じく手厚い研修を受けていく中で、サイバーセキュリティ領域の中でもさらに特化した専門性を身につけることが重要だと気づきました。例えばクラウドとかサーバーのID管理とか、その1点に絞って突き抜けた知識があれば十分武器になるんです。
それに、研修では最初から高いスキルを持った同期もいましたが、一方でITのバックグラウンドを持っていない人も半分以上いました。そうしたメンバーもグループワークでは自分にできることを考えて立ち回り、しっかりとバリューを出していました。個々人の専門スキルに差があっても、意外とチーム単位の成果物には差がなかったんです。コンサルタントはチームで動くので、自分の役割を果たせば価値を発揮できるんだなという発見がありました。
攻撃シミュレーションに提案ワーク……デロイト トーマツ サイバーならではの実践的な研修内容
──お二人のお話からは、とにかく研修が充実していたことが伝わってきます。具体的に研修内容を教えていただけますか。
石川:デロイト トーマツ サイバーでは、新卒入社のタイミングが4月と10月の2回あります。私は4月入社ですが、どちらのタイミングで入社しても研修の内容は変わりません。最初の1カ月半はデロイト トーマツ グループ全体で共通の新人研修を受けます。ここではビジネスマナーやOfficeソフトなどのツールの活用法、ロジカルシンキングといったコンサルタントとしてのベーススキルを学びます。
石橋:その後は、グループ各社に分かれて研修が行われます。当社の場合はグループ会社であるデロイト トーマツ リスクアドバイザリーと一緒に、企業リスクに関わるビジネス全般の研修や、実際にプログラミングやサーバーの構築を行うITアカデミーを受講。最後に、デロイト トーマツ サイバー単体の研修へと進みます。
石川:当社の研修の中でも特にユニークなのが、「RTO(Red Teaming Operation)」です。これは、実際のインシデントを想定して自分たちでサイバー攻撃を仕掛けてみるという内容で、自社にレッドチームを持つデロイト トーマツ サイバーならではの研修だと思います。
また、研修の最後には総仕上げとして、実務のプロジェクトに沿った流れで提案を行うグループワークを3日間かけて実施します。驚いたのは、この研修ではクライアント役として当社のパートナーに参加してもらえたことです。新卒を含む3人でチームを組み、お互いの役割分担を考えながら合意形成して最終提案をするのですが、この提案に対してパートナーから忌憚(きたん)のない意見やフィードバックをもらえるので、研修とは思えない緊張感があります。
このようにデロイト トーマツ サイバーでは、基本的なビジネスマナーからコンサルタントとしてのベーススキル、ITの専門的なスキルの習得、実際のプロジェクトを想定したグループワークまで、幅広い研修を約半年間かけて行っています。
OJTを通して研修で得た知識・スキルを自身の血肉に
──とはいえ、新卒の方からすれば研修後にいきなり独り立ちというのも不安が残りそうですが。
石橋:そうですね。たしかに新人のコンサルタントが、いきなりお客様にお金をいただける価値提供ができるかというと難しいかもしれません。そこで当社では、研修後のコンサルタントについてはOJTという形でチームに参加できる期間が設けられています。OJTの期間は実際にチームメンバーとして稼働はするものの、お客様からはそのメンバー分の費用はいただきません。
──具体的にお二人はどのようなOJTを経験されたのでしょうか。
石橋:私は金融機関向けのセキュリティ評価基準を使用して、海外子会社に対するアセスメント(査定・評価)を行う案件に入りました。主に私の先輩にあたるアナリストと、さらにその上位職となるシニアコンサルタントの方から仕事の進め方についてアドバイスをもらいつつ、自分のタスクをこなしていく流れでした。先輩方はすごく優しくて、とても配慮していただきました。お客さんとのコミュニケーションの取り方やプロジェクトの進め方の基本を把握する意味でも、とてもいい経験になったと思います。
石川:私のOJTは建築会社向けのアセスメント案件でした。セキュリティ文書に対するアセスメント・精査を行う作業で、作業自体は難しくはないのですが、デロイト トーマツ サイバーならではの知見を盛り込まなければいけない部分もあったので、そこは頭を使いました。
OJT期間中は、スライド作成など基本的なコンサルティングスキルの向上はもちろん、セキュリティ知識に関しても曖昧なものではなく、しっかりと言語化してお客様にソリューションのご提案ができることを目標に取り組んでいました。
──現在お二人が参加しているプロジェクトや、普段どんなメンバーと働いているかを教えてください。
石川:私が現在携わっているのは、今年6月にスタートしたばかりの案件です。金融系の企業様に向けて、最新の技術動向を調査した上で何を基準にセキュリティソリューションを導入していくのか、その優先順位付けやロードマップの作成を行っています。チームメンバーは実動部隊としてマネジャーと私の2名、その上に資料のレビューなどをするパートナーの方が1名と補佐アドバイザー1名の計4名体制です。
石橋:私が今入っているのは、とある大企業グループ様の情報漏えい対策のプロジェクト支援、いわゆるPMO(※2)です。実際にお客様のもとに赴いて、ご担当者様や先方のパートナー企業の方と一緒にプロジェクトに取り組んでいます。デロイト トーマツ グループからは私以外に2名のシニアコンサルタントが参加していますね。このように、デロイト トーマツの他のグループ会社とコラボレーションすることもよくあります。
(※2)……「Project Management Office」の略で、企業や組織におけるプロジェクトマネジメントの支援を行う部門のこと。
──こうしたプロジェクトについては、案件ごとにチームを組んだり解散したりするのが一般的なのでしょうか。
石川:そうですね。流動的であることが多いです。ただ、当社には専門領域ごとにユニットがあり、基本的に自分が所属するユニットの中で動きます。ユニット配属は入社して3年目までは決まらず、それまでは各ユニットを回っていろいろなプロジェクトに関わります。私は今月から正式に配属が決まりました。
石橋:私は10月入社なので、配属先は今後検討することになります。
重要なのは知識よりも強み! コンサルタントは多様なスキルの「受け皿」
──サイバーコンサルタントとしての業務を進める上で、サイバーセキュリティの知識以外に何が必要になるでしょうか。
石橋:私個人の考えですが、何よりもコンサルタントとしてのコミュニケーションスキルはマストだと思います。セキュリティ知識を持っていても、それを生かせなければ意味がありません。お客様が抱えている課題が何なのか、それを引き出して解決策を提案するのに問われるのはコミュニケーションスキルです。
石川:セキュリティ知識以外に自分ならではの強みを1つ持っておくべきだと思います。例えば語学でもいいですし、他のスキルでも構いません。コンサルタントとは、そうした多様なスキルの「受け皿」ともいえる職種なんです。デロイト トーマツ サイバーに限らず、デロイト トーマツ グループはそういった強みやスキルをきちんと評価してくれる会社だと思います。
──デロイト トーマツ サイバーへの応募や入社を迷っている学生に向けて、メッセージをお願いします。
石川:当社のコンサルタントが他と違うのは、「サイバーセキュリティ」と「コンサルティング」の2軸の知識やスキルを持てることです。新卒・キャリア関係なく、学びながら価値提供ができるのはデロイト トーマツ サイバーならではだと思います。例えば、コンサルティングスキルを強みとして価値提供し、セキュリティの知識は働きながら学ぶといった要領です。最初から両方の面で価値提供できる人は、当社にもそう多くないと思いますね。
石橋:今の世の中はもう、あらゆる領域とITが切り離せない状況になっています。サイバーセキュリティコンサルタントは、そんな混沌(こんとん)とした状況から生まれる課題を解決し、一種の「交通整備」をするような仕事だと感じています。実社会のさまざまなところで起きている問題を垣間見て、その解決に携われるのはとてもおもしろいですよ。
仮にサイバーの知見がないからという理由でこの道を断念する方がいたら、すごくもったいないと思います。少しでも興味を持ってくれたなら、ぜひインターンなどに参加して雰囲気を見てほしいですね。
▼企業ページはこちら
デロイト トーマツ サイバー合同会社
▼イベントページはこちら
デロイト トーマツ サイバー 3daysインターンシップ
申し込み締切:9月22日(金)10:00
▼他のインタビューはこちら
・「コンサルタント×サイバーセキュリティ」の市場価値は高まり続ける。デロイト トーマツ サイバーのシニアマネジャーが明かすキャリアの可能性
・コンサルの汎用性とサイバーセキュリティの専門性を同時に獲得できる。世界でニーズが広がるデロイト トーマツ サイバーの魅力
【編集:サムライト株式会社/執筆:山田井ユウキ/撮影:保田敬介】
