【イベントレポート】セキュリティ先進事例から考える日本の目指すべき未来（後編）/ 経営とサイバーセキュリティを架橋するコンサルティング

目次/Index

1. 「理系的な技術」と「文系的な興味」
2. 現場で利用者の声が聞こえるプロジェクト
3. セキュリティベンダーとコンサルティングファームの違い
4. グローバル企業でキャリアを歩むことの魅力
5. セキュリティ×◯◯で生まれる新たなキャリア

―1.「理系的な技術」と「文系的な興味」

澤氏：サイバーセキュリティを仕事にするにあたって、どのような資質が必要だとお考えでしょうか。

雨宮氏：私は元々ネットワークエンジニアや、組織構築・強化、ビジネスマネージメントなどのといったサイバーとは異なるジャンルに関わってきました。それをふまえて今のポジションにいて感じるのは、必ずしも純粋なホワイトハッカーやコンテストの入賞者ばかりが必要なわけではないということです。ネットワークエンジニアでも、プログラマー、データセンターに関わる人でも、あらゆる技術的な面でサイバーセキュリティとはつながりがあります。 そのうえで必要な資質は、興味を持つことだと思います。私自身もサイバーセキュリティに詳しくない状況で入りましたが、現場で知恵をつけながら学んでいきました。

西尾氏：私も興味が大事だと思います。技術的な基礎の部分、たとえばバッファオーバーフローなどの発生原理をコンピューターサイエンス的に解釈していけば、大体の攻撃は理解できます。
サイバー攻撃がビジネス化する一方で、軍事手段として実践的に投入されてきたこともあり、「何が目的なのだろう？」と考えてみるような、いわば文系的な興味が求められています。技術的な解析だけではなく、そういった背景まで興味を持てると、攻撃者のモチベーションまで考えられます。次の攻撃などを先読みして対策が立てられれば、業界の中で重宝されるし、サイバー人材の中でも、よりキャリアを切り開いていける存在になれるのかなと思います。

澤氏：サイバー犯罪が広がっている現状では、攻撃に備える側の人材にも、理系的な専門家だけはない多様性が求められているのですね。

西尾氏：研究者をやっていたころには、アセンブラは読めて当然という派閥もありましたが、今では業界の人も多様になっていますから、参入する障壁は下がったという印象があります。

―2.現場で利用者の声が聞こえるプロジェクト

澤氏：サイバーセキュリティに関わることの魅力や、仕事のおもしろさを教えてください。

西尾氏：この分野は進化の速度が半端ではありません。極端な例ですが、たった1日Twitterにログインしなかっただけで、翌日には浦島太郎状態になっているようなことが、セキュリティの世界では継続して起こっています。業界の動きが激しいので飽きがこない、というのが感覚的な回答です。
経済的に見ても、Web３やメタバース、ブロックチェーン技術によってデジタル空間に資産が移ってきていますから、どの分野でもサイバーセキュリティは掛け算の係数になる分野だと思います。サイバーを強みにすれば、宇宙開発企業にサイバー要員として入社することもできるでしょうし、潜在的に関わりたいと思っていた業界とも関わりが持てるでしょう。

雨宮氏：サイバーセキュリティは金融や製造業など、あらゆる業界で欠かせない切り口になっています。すべての業界で、現場のエンジニアの方々から経営層まで、いろいろな視点で会話ができるので、さまざまな知見や引き出しが増えていきます。同時に、企業の存亡や国家対国家のような大規模な話にも関わってきますから、やりがいと責任感もともないます。

―3.セキュリティベンダーとコンサルティングファームの違い

澤氏：会場から質問が来ています。「現在転職を考えている中で、複数のコンサルティングファームとセキュリティベンダーの紹介を転職エージェントから受けています。この領域でキャリア形成を進めたいと思うのですが、この２業界でキャリアの形成にどのような違いが出てくると思われますか？」とのことですが、いかがでしょうか。

雨宮氏：私は両社の経験をしてきましたが、それぞれに違いはあると思いました。セキュリティベンダーは、自分たちが開発するプロダクトやサービスに集中するので、そこに対してどんどん尖っていく点に魅力があります。逆に私が葛藤を覚えたのは、セキュリティの脆弱性についてレポートしたあと、クライアントから「もう行っちゃうんですか？」と言われたことです。本質的には、そのあとの対策が重要なのですが、その当時は対応できるサービスが自社にはありませんでした。
しかし、コンサルティングファームは、そこからが仕事になります。クライアントとの付き合いが長くなる中で、ビジネスやオペレーションを含めて、目線が合った会話ができるようになることはコンサルティングファームならではの魅力だと思います。 また、異なる業界のプロフェッショナルがいることの心強さもあげられます。たとえば企業の買収案件でセキュリティ、M&A、インフラ構築の各専門家が同じ組織から集まって、同じプロジェクトに取り組める点はコンサルティングファーム――、ひいてはEYならではの強みだと感じます。

西尾氏：セキュリティベンダーは、製品開発やクライアントのセキュリティアーキテクチャの設計を通じて、セキュリティを「作る」企業です。対するコンサルティングファームは、なんらかの目的があって、それを達成するためにセキュリティ技術を「使う」ことが大きな違いです。ベンダーが営業をする際には技術に詳しければ詳しいほど重宝されますが、コンサルティングファームが接する相手は経営層なので、技術だけでなく、価値の伝え方が重要になります。
セキュリティエンジニアリングの技術に未練があり、その世界でキャリアを積みたい方は、おそらくセキュリティベンダーに入った方がよいでしょう。セキュリティの技術を使って、より経営の視点から世の中に貢献したりクライアントを助けたりしたいのであれば、コンサルティングファームを選ぶべきだと思います。いろいろな業種とつながるので、その後のキャリアの選択肢もひろがるでしょう。

―4.グローバル企業でキャリアを歩むことの魅力

澤氏：お二人はEYというグローバル企業でキャリアを歩んでいますが、その特徴や魅力を教えてください。

雨宮氏：サイバーセキュリティにおいて、日本は最先端ではない立ち位置なので、国外のパートナーと話すと本当にいろいろな情報を得ることができます。日本のエンジニアや経営層とは違う視点や考え方に触れたり、ソリューションなどで困ったときに数か国のチームですぐに体制が組めたりするのは、グローバル企業ならではの強みだと思います。国内だけでは人材の数も足りていませんから、海外の人たちとのコラボレーションは必須になっていくでしょう。

西尾氏：いわゆるダイバーシティ、エクイティ&インクルーシブネス（DE&I）、多様性を認めていこうという感覚があります。私は中卒なのですが、そういった年齢や学歴を度外視して、採用時には「うちの会社でやりたいこと」と「それに対してどんな価値が提供できるのか」ということしかみていません。あらゆるハンディキャップを度外視して、高いレバレッジをかけられる業界であることは、グローバルをバックグランドに持つコンサルティングファームの強みだと思います。
海外のEYに所属するメンバーには、飛び級で若くして大学を卒業した人もいますし、多様性が認められている実感があります。世界中にネットワークがあるので、海外出張がしやすいという利点もありますね。海外オフィスに顔を出してコミュニケーションをとったり、学会に出たり。サイバーセキュリティというテーマを軸にして、世界で仕事をしているという感覚があり、それが自己肯定感にもつながっています。

澤氏：グローバルではいろいろな選択肢があるし、自分のハンデだと思っていることがユニークネスにつながっているかもしれない。日本ではパフォーマンスを出しきれていない人が、グローバル企業でチャレンジする価値は大いにありそうですね。

―5.セキュリティ×◯◯で生まれる新たなキャリア

澤氏：最後に、お二人が今後取り組んでみたいことについて教えてください。

西尾氏：中卒というスタートからグローバルファームのパートナーまできたので、次は後に続くような人が、私よりも楽な形で出てこられるような活動をしたいと考えています。学歴や年齢、日本の風土や働き方、習慣でストップがかかっていると感じている人たちに、別のベクトルや選択肢があるということを発信していきたいです。
具体的には、私はサイバーセキュリティ×コンサルという組み合わせに、経済安全保障というものを掛け合わせて新しい領域を作っていますが、ここに関わる人を増やしたいと考えています。同じような属性を持つ人を増やしていくことで、日本の労働環境にも多様性が出てくると思います。私も経営陣に加わりましたので、EYブランドの一部として会社のカラーをアピールしていきたいと思います。

雨宮氏：さまざまな経験を積むことを目標にして、これまでのキャリアを歩んできました。いろいろな失敗もしましたが、そのおかげで自分の経験から話すことができるようになりました。教科書で読んだことや、人から聞いたこと以上に、自分が実際に経験したことの話は一番説得力があります。クライアントの現場やCxOの方々とお話をするときに重要になる、人間力を磨いていきたいです。
オフェンシブでいうとホワイトハッカーとして技術を磨いていけば重宝されることは変わりませんが、それ以上に、一歩引いた視点で全体を見て、攻撃する手段や守り方、脅威情報も見ていく立ち回りが求められていきます。そうしたニーズにまるごと応えるライフサイクル的なサービスを立ち上げて、グローバルレベルで発信していきたいと思っています。

セキュリティ先進事例から考える日本の目指すべき未来（前編）/ 変化するサイバー犯罪から企業を「守る」重要性