>EYストラテジー・アンド・コンサルティング株式会社様への転職相談(無料)はこちら
オープンかつグローバルに仕事ができるEY
コトラ 中川:
これまでのご来歴、サイバーセキュリティコンサルタントになられた経緯や理由などを教えていただけますか。
森島様:
経緯は学生時代に遡ります。当時、奈良先端科学技術大学院大学に在籍し、インターネットの研究をしていました。インターネットはコンピュータの向こう側にひとがいる、その事実が社会基盤となりうる無限の可能性を感じさせるものだったからです。博士前期(修士)課程と博士後期(博士)課程の間に1年間が空いていますが、5年半の学生時代と学生を指導していた5年半の助教時代、都合11年間在籍していました。
博士課程に進んで少し経った2000年ごろ、世の中はITバブル真っ只中でした。徐々に広がりつつあったインターネットがキャズムを超え、想像を超えるスピードで普及していた時代です。まさに社会基盤としての地位を確立しようとしていたわけで、感慨深くもある一方、違和感も覚えていました。どうして自分たちの研究成果がダイレクトに普及していかないのだろうかと。様々な人と議論する中で、そこにはふたつの理由がありそうなことがわかってきました。
ひとつは、研究者と社会のギャップです。インターネットには、技術的な観点からも無限の可能性がある。研究者はそれを信じ、次々と新しい可能性を探求し続けています。一方、社会はと言えば、いままでなかったものがある状態に、すなわち0から1になったわけです。ウェブとメールだけで十分に革新的だと捉えられていたこの時代に、さらなる可能性に目が向けられることはほとんどありませんでした。
もうひとつは、経営者と現場のギャップです。現場はITを利活用し、インターネットを利活用することが、どれほど業務やサービスに影響を与えるか理解していました。しかし、残念ながらその声はなかなか経営者に届かなかった。経営者から見れば、現場は小難しい言葉を並べ立てて金ばかり要求してくるように映り、現場からすれば、経営層はITやインターネットの重要性を理解してくれないと感じる。このようにして経営者と現場はすれ違っていたのです。
このふたつのギャップを埋めるにはどうすればいいのか。ひとつは、アカデミアにいながらアウトリーチ(研究内容や研究成果を社会にわかりやすく伝えていく活動)に力を入れる道。もうひとつは、技術を利活用すべき実務の現場に活動領域を移し、内側から広めていく道。どちらの道を選ぶべきなのか、ずいぶん長く考えましたが、最終的には後者を選択し、ITコンサルタントへの道を歩み始めました。
とはいっても、いきなりITコンサルタントに転身したわけではありません。研究者が突然ITコンサルタントになったところで、持ち合わせている言葉は研究者のものです。私はふたつのギャップを埋めるため、社会や経営者とコミュニケーションをとれる言葉を得る必要がありました。そこで、いったん公認会計士を目指し、大学を辞めて勉強に専念することとしました。
翌年には試験に合格したのですが、折しも四半期報告やJSOXのために公認会計士を増やそうという動きの反動で社会的に試験合格者が余りはじめた時期でした。大手の監査法人が門戸を狭めたことにより、中堅監査法人に入所することになったのです。そこでは、少人数で数多くの業務を回さなければなりません。私も短期間のうちに会計監査だけでなく内部統制監査やシステムレビューなど、数多くの経験をすることができました。結果としてその経験は、今も大きな財産となっています。
公認会計士の資格を取得するためには、3年の実務経験を積む必要があります。その3年間の間に、世の中は大きく変わっていました。サイバーセキュリティリスクが経営課題として浮かび上がり始めていたのです。セキュリティ領域については、内部統制監査とシステムレビューを通じて、技術面だけではなく、人、組織、物理の様々な側面から触れる機会がありました。そこで、ITコンサルタントではなくサイバーセキュリティコンサルタントへと進路を微修正し、総合系のリスクコンサルティングファームに転職しました。
コトラ 中川:
EYに移ったのは、どういうきっかけだったのでしょうか。
森島様:
インターネットに境界はなく、サイバー攻撃は世界中のどこからでもきます。また、企業のグローバル化にともなって、サイバーセキュリティリスクへの対策も多角的な視点が求められるようになりました。このようなニーズに応えるためには、点ではなく面でサービスを展開できる必要があります。EYはこの点において、グローバル志向で、組織の壁がなく、求められるサービスを提供できると感じて移りました。
コトラ 中川:
EYに入社後、イメージとのギャップはなかったですか。
森島様:
私の入社当時は変革の真っ只中でしたが、今現在に関していうと、全くイメージとの乖離はありません。最もオープンにグローバル連携ができているファームのひとつだと思います。例えば、EYはグローバルで37万人いる従業員のほぼ全員について、スキルセットや業務経験などを簡単に検索できる仕組みを備えています。さらに、気軽にコンタクトできる仕組みもあり、ナレッジを求めて声をかけると、資料などのアセットを共有してもらえます。EY全体でお客さまに対してバリューを提供するという考え方や文化が、グローバルで根付いています。さらに、他の部門やエンティティと一緒に仕事をすることをよしとする仕組みがあります。文化的にも仕組み的にも、組織の垣根を越えてサービスを提供し、よりよい世界を作っていく土壌が整っている。これが大きいと思います。
ガバナンス・マネジメントからサイバーまでを一気通貫で提供する
コトラ 中川:
EYのサイバーセキュリティサービスの特徴を教えてください。
森島様:
サイバーセキュリティという分野は大きくふたつにわけることができます。ディフェンシブセキュリティと、オフェンシブセキュリティのふたつです。私は主としてディフェンシブセキュリティに関連するふたつの領域を管掌しています。ひとつはガバナンス・マネジメント、もうひとつがTDR(Threat Detection and Responseの略。SOC、SOAR、CSIRTを広く担当)です。
サイバーセキュリティ領域においてお客さまが抱えている課題は、技術的なものだけではありません。例えばインシデントが起きたときの対応を考えてみましょう。社内外への報告といったガバナンスの側面、対応態勢の招集などの組織的プロセスの側面、グループ会社でインシデントが起きたときの取り扱いといったグループガバナンスの側面など、ガバナンス・マネジメント領域には様々な重要課題があります。一方で、インシデントそのものを終息に持って行くためには、システム構成やシステム運用のあり様などを踏まえた、技術的に実現可能なプロセスを構築していく必要があります。一般的に、前者のガバナンス領域は総合コンサルティングファームの得意とするところで、後者のインプリメンテーションはセキュリティ専業ベンダーが得意とするところです。しかし、これらは独立に存在するものではなく、有機的に整合した一連の仕組みとして構築されなければ大きな効果は見込めません。
EYはこの両者をまとめて、ワンストップで提供することができる体制をとっています。それも、別個のチームが協働してサービスを提供するというのではなく、単一のチームとして動いています。コンサルタントにしても、もちろん個人ごとに主担当領域はありますが、基本的には同じコンサルタントがすべての領域に対して一気通貫で業務を提供しています。サイバーセキュリティという非常に広大な分野において、このようにワンストップでサービスを提供するのは相当難しいことで、EYのサイバーセキュリティサービスの最大の強みです。
Managed SOARというサービスを例にとってみましょう。
SOAR(Security Orchestration, Automation and Responseの略)とは、インシデント対応の一部、主として分析から封じ込めと呼ばれる段階のプロセスを自動化する仕組みのことです。SOARの利点はふたつあります。ひとつは、インシデントの検知から封じ込めまでに要する時間を大幅に短縮できること。SOARがなければ、SOCから連絡を受けたCSIRTが手動で対応することになるのですが、どうしても初動に時間を要しますし、24/365の体制をとることが難しいケースではさらに深刻です。一方、SOARはあらかじめ決められた手順に従って自動的に対処をするので、手動対応に比べて非常に短い時間で完了します。サイバー攻撃の被害は時間の経過とともに拡大しますから、SOARによる対応の時間短縮は、被害拡大の抑制という観点で極めて重要なものです。
もうひとつは、人的リソース不足を補えること。現代企業は、軽微なものまで含めると、とてつもない数のサイバー攻撃にさらされています。日常的にそのうちの一部が防御網をかいくぐって着弾しており、貴重なサイバーセキュリティ人材がそのインシデント対応に拘束されてしまっているのです。SOARによってインシデント対応業務の負荷を大幅に軽減し、より注力すべきDXのセキュリティ対策などにリソースを割けるようになります。
私たちのManaged SOARは、監視からSOARによるインシデント対応の自動化までをワンストップで、マネージドサービスとして提供するものです。このサービスにおいて、検知したいイベントをどのように検知するとか、検知したイベントに対して実施したい自動処理をどのように実現するか、といったことは非常に技術的な領域です。一方で、そもそもどのようなイベントを検知するべきか、イベントを検知したときにどのような処理を実施したいのか、といった部分はポリシーの問題であり、ガバナンスやマネジメントの領域です。
つまり、お客さまとの議論によってポリシーを明らかにし、それをプロセスとして明文化して、技術的に実装していくという一貫したプロセスが必要になります。先ほどお話しした通り、これは相当難しいことで、実現できるファームはほとんどないでしょう。EYでは、ガバナンスとテクニカルの領域が完全に融合しているからこそできる。これが大きな特徴であり、強みです。
コトラ 中川:
最近では他社からSOC部隊を買収するコンサルティングファームなども出てきていますが、あくまでSOCは手段でしかなく、経営方針との整合を取るのはクライアント企業側でやらざるを得ないという話も多いかと思います。EYでは、その一連のプロセスを包括的に対応するということですね。
>EYストラテジー・アンド・コンサルティング株式会社様への転職相談(無料)はこちら
経営視点でリスクを判断する
コトラ 中川:
この点について、もう少し詳しくお話を聞かせてください。例えば、サイバーセキュリティリスクをゼロにすることはできず、一定程度にとどめると表現されることが多いと思います。どの程度までリスクを抑えるべきかという議論は、どのようにクライアントと進めていますか。
森島様:
セキュリティ対策の目的は、サイバー攻撃から護ること…ではなく、サイバーセキュリティリスクに対して事業継続を確保することです。セキュリティ対策が不十分で甚大な被害が生じて事業継続に疑義が生じる、というのは容易に想像がつくところですが、過度なセキュリティ対策が重荷になって事業継続に影響を与えたり、そこまでいかなくとも事業活動のブレーキになったりするようでは本末転倒です。
日本では、サイバーセキュリティリスクを認識できていないことが多い一方で、いったんリスクを認識すると、なんとしてでも対策を打とうとする傾向があります。大切なのは、リスクを正しく認識し、そのリスクへの対策に要するコストのバランスを考えることであって、これが企業継続という目的に対して最もいい判断をすることにつながります。
では、そのバランスをどうやって考えていけばいいかというと、これが本当に難しいのですよね。サイバーセキュリティだけでなく、リスクという領域は全体的に効果測定が非常に難しいです。一般的に事業における効果は、収益の増加や費用の圧縮、さらにはそこから創出される利益で計測されます。一方で、リスク領域の活動は、単純化すれば、将来起きうる特別損失(企業が経営活動を行う以外の特別な要因により発生した臨時的な損失のこと)を平準化して販管費に落とすという取り組みであり、直接的に収益の増加や費用の圧縮といった効果が得られるものではありません。
ですから、サイバーセキュリティ対策の効果は、それらが事業活動にどのように資するかといった、もっと広い視野でとらえる必要があります。現代は製品やサービスのライフタイムが極めて短くなっており、企業は常に新しいサービスを世の中に提供していくことが求められています。しかし、そこで十分なサイバーセキュリティ対策が講じられていないと、リリースしたとたんサイバー攻撃の被害に遭って、製品の回収やサービスの停止といった事態に陥る可能性があります。すなわち、いかに安心安全に製品やサービスを提供できるか、そういった姿勢で攻めの戦略を描くことができるかどうかは、すべてサイバーセキュリティ対策にかかっていると言えます。
セキュリティ支出が投資なのかコストなのか、という議論があります。しかし、上記のような意味で、セキュリティ支出だけを単独で取り出して投資かコストかを論じるのはあまり適切ではありません。その支出によって得られるメリット、すなわち「安心安全に製品やサービスを提供できる環境」を享受するためのプロジェクトに配賦し、共同して負担していくべきものなのです。
サイバーセキュリティ対策をどこまで実施するかという判断は難しいですが、それはサイバーセキュリティ対策が事業の一部として必要不可欠なものという理解が必要だからです。私たちは、お客さまの事業を理解し、お客さまのシステムを理解し、そのうえでリスクを理解して、コストとのバランスを大事にしながらお客さまとお話しするようにしています。
コトラ 中川:
経営や事業全体についてクライアントときちんと話ができる点が、通常のIT系のサイバーセキュリティコンサルとの違いだと感じました。
森島様:
リスク領域では、「リスクがあります、対策をしましょう」と言うのはとても簡単です。目の前には確かにリスクがありますから、それだけを取り上げれば「対策を打たなければ」ということに異を唱えることは難しく、言う側はリスクを負わないですから。一方、「リスクがありますが、このリスクは受容も検討できるのではないですか」と言うのはとても難しい。会社全体、事業全体を見たときに、その対策を講じることが最適であるか見極める必要があるからです。
おっしゃるとおり、サイバーリスクを経営リスクの一部として捉え、経営全体を俯瞰して見ることができること、それをもってお客さまとお話しすることが、通常のIT系のサイバーセキュリティコンサルとの違いではないでしょうか。
メンバーのキャリアを考えて育成する
コトラ 中川:
これまでお話しいただいたような特徴や強みを生み出すために工夫されていることはありますか。
森島様:
私たちコンサルタントが提供しているのは、お客さまに変革をもたらすサービスです。それがたまたま、サイバーセキュリティリスクを対象としているに過ぎない。ですから、技術的な面を含めて、コンサルティングワークとはどうあるべきか、ということを妥協せずに突き詰めています。まずはコンサルティングのベーシックスキルが基礎にあって、その上にコンピテンシー(専門的知見)を積み上げる。メンバーにも、この順番を間違えないように繰り返し伝えています。
これには別の理由もあります。わかりやすい例として、どんなサイバー攻撃でも防御できるデバイスがリリースされた、ということを想像してみましょう。そうすると、サイバーセキュリティリスクはもはや経営課題ではなくなり、したがってコンサルティングサービスのメニューからサイバーセキュリティは消え去るでしょう。そうするとメンバーは別の何かを探さなければならない。あるいは、そんなことは起きなくとも、業務を通じてサイバーセキュリティ以外の分野に興味が移っていくこともあるかもしれません。そんなときにも、コンサルティングのベーシックスキルが身についていれば、すぐに新しい領域でキャッチアップできるようになります。まずは、各メンバーがやりたいことをやれる、キャリアがしっかりと開けていく、ということを優先しています。
コトラ 中川:
ありがとうございます。このインタビューを読んでいる方が最も知りたい内容の一端に触れられた気がしました。
多様な人材がフラットなコミュニケーションを通じてトータルサービスを作り出す
コトラ 中川:
現在チームに在籍している方々のバックグラウンドや、求める人材像について教えてください。
森島様:
在籍メンバーのバックグラウンドは、非常に多様です。サイバーセキュリティという非常に広大な分野を上流から下流まで一気通貫でご支援できるようにするため、意図的に様々なスキルセットのメンバーに参画いただくようにしています。
したがって、どのようなスキルを持っていたとしても、基本的には活躍できる場があります。ただ、1つだけ重視している点があるとすれば、自分の専門領域以外にも興味があるということです。我々はチームとしてトータルサービスを提供しているので、入社後にも色々なことに興味を持って専門領域を広げていける方を求めています。
コトラ 中川:
部門の雰囲気はいかがですか。
森島様:
よりよいサービスを提供する、よりよい社会を構築するためには、みんなが知恵を出し合っていく必要があります。ですから、職位にとらわれず、フラットにコミュニケーションを取れる風土を作るように心がけています。例えば、キャリアの相談はもちろん、それ以外の相談も含めて、日常的に1 on 1を実施することは定着していますね。また、プロフェッショナルとして仕事の品質にこだわっており、職位に関係なく指摘や助言をしあえる関係性を相互に作っています。
サイバーセキュリティユニットはこの通りなのですが、EY全体としてもまた同じようなフラットにコミュニケーションを取れる雰囲気を持っています。例えば、お客さまから自分の専門ではない分野のご相談を受けたとすると、前述の検索システムを使ったり伝手を辿ったりして、どうにかライトパーソンを探し当てようとします。様々な意味で、フラットで風通しのいい文化ですね。
お客さまの「経営に」貢献する、という想いをもって
コトラ 中川:
最後に、候補者のみなさまへのメッセージをお願いします。
森島様:
個人的には、冒頭申し上げた通り、ITやインターネットの無限の可能性を信じていて、それを通じて世の中をよくしたいとの想いを持っています。サイバーセキュリティという領域はその実現方法の一つに過ぎない。まさに、EYのパーパスであるBuilding a better working world(より良い社会の構築を目指して)が私の根幹にあります。ですが、世の中を変えていくというのは、一人でできることでも、10年や20年でできることでもありません。
ですから、志を共にする多くの仲間と一緒に取り組んでいきたいと思いますし、そういった仲間を育てていきたいと思っています。また、私が引退したあとでもその想いが脈々とつながっていくように、文化と仕組みを作っておきたいと思っています。そしていつか、サイバーセキュリティの分野であろうとなかろうと、世の中が世の中をよくしたいという想いを持つ人であふれれば、素敵なことだと思いませんか。
サイバーセキュリティに関していえば、お話しした通り、支出に対する効果測定が難しい領域です。インシデントが起きなくて当然、インシデントが起きればマイナスという意識が支配的です。ですから、ほかの領域に比べてお客さまから感謝のお言葉をいただくことは少ないかもしれません。ですが、私たちはお客さまが安心安全に製品やサービスを提供できる環境を作るお手伝いをしているわけで、これは絶対に必要なことです。サイバーセキュリティ領域に閉じることなく、経営の視点からサイバーセキュリティの位置づけを考え、サイバーセキュリティを通じてお客さまの経営に貢献する — こういう想いを共有しながら、一緒に歩いていける人にジョインいただきたいと思っています。
コトラ 中川:
非常に新しい視点でのお話を伺うことができたかと思います。
森島様:
私たちのような広い視点でサイバーセキュリティサービスを提供しているファームはあまり多くないですから、面接で直接説明させていただいてから共感してもらうことも多いです。興味を持った方にはぜひ応募していただきたいと思います。
>EYストラテジー・アンド・コンサルティング株式会社様への転職相談(無料)はこちら
EY ストラテジー・アンド・コンサルティングに
ご興味がある方へ
今回特集しましたEY ストラテジー・アンド・コンサルティング様の求人をご紹介します。
■Cybersecurity Consultant(Security Implementation)
■Cybersecurity Consultant(Security Governance)
■Cybersecurity Consultant(Technical Security)
コトラでは業界動向や今後のキャリアについて無料キャリア相談会を開催しております。
最新の採用動向や非公開求人情報などの情報提供をさせていただきます。
また、ざっくばらんな意見交換・ご相談をさせて頂きながら、理想のキャリアを歩むためのアドバイスをさせていただきます。 お気軽にご相談ください。