EYストラテジー・アンド・コンサルティング株式会社の西尾素己氏と、雨宮崇氏、そしてJAC Digitalアドバイザーである澤円氏によるイベントレポートの後半です。

 

前半ではサイバー犯罪の現状と、企業側における対応や対策のあるべき姿を中心にお話を伺いました。後半ではEYストラテジー・アンド・コンサルティング（EYSC）でサイバーセキュリティコンサルタントとして歩むキャリアの魅力、グローバルプロジェクトやコラボレーション事例から見えてくるキャリアパスなど、同社で働く面白さに触れながら、そのキャリアの魅力を深掘りしていきます。

 

※ 本記事は2022年10月19日にJAC Digitalが開催したオンラインイベントを一部抜粋・再構成したものです。

 

これからのサイバーセキュリティとキャリアパス（前編）/ 変化するサイバー犯罪から企業を「守る」重要性

 

 

 

＜講師紹介＞

EYストラテジー・アンド・コンサルティング株式会社

ストラテジックインパクト パートナー
Geoeconomics Strategy（経済安全保障／サイバーセキュリティ政策）リーダー
西尾 素己氏

幼少期より世界各国の著名ホワイトハッカーと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 セキュリティベンダーにてサイバー攻撃への対策技術についての基礎研究に従事した後、大手検索エンジン企業等を経てEYSCのパートナーに史上最年少で就任。変化が目まぐるしいサイバーセキュリティ課題を、経済安全保障の一環として捉え、包括的な経営課題解決を支援。

 

 

 

テクノロジーコンサルティング サイバーセキュリティ パートナー
エンジニアリングリード
雨宮 崇氏

複数のIT業界最大手でのマネジメントを経て、コンサルティング業界へ転身。
ソフトウエア、ネットワーク、イーコマース業界にて日本部門代表やAPACの代表を務め、その後サイバーセキュリティ業界にてオペレーション全体周りの責務に着手。前職のPwCではオフェンシブ・ディフェンシブを統合したエンジニアリング組織を構築し、新しいマネージドサービスをリリース。
現在はグローバル規模でのカバレッジ構築、そしてサイバーセキュリティのライフサイクルパターンに沿ったサービス提供のスキームをリリースすべく取り組んでいる。

 

 

 

株式会社圓窓
澤 円氏

元日本マイクロソフト株式会社業務執行役員。立教大学経済学部卒。生命保険の IT 子会社勤務を経て、1997 年、日本マイクロソフト株式会社へ。IT コンサルタントやプリセールスエンジニアとしてキャリアを積んだのち、2006 年にマネジメントに職掌転換。幅広いテクノロジー領域の啓蒙活動を行うのと並行して、サイバー犯罪対応チームの日本サテライト責任者 を兼任。2020 年 8 月末に退社。2019 年 10 月 10 日より、（株）圓窓 代表取締役就任。
現在は、数多くの企業の顧問やアドバイザーを兼任し、テクノロジー啓蒙や人材育成に注力している。美容業界やファッション業界の第一人者たちとのコラボも、 業界を超えて積極的に行っている。テレビ・ラジオ等の出演多数。Voicy パーソナリティ。武蔵野大学専任教員。

 

1.「理系的な技術」と「文系的な興味」

 

澤氏：サイバーセキュリティを仕事にするにあたって、どのような資質が必要だとお考えでしょうか。

 

雨宮氏：私は元々はネットワークエンジニアとして働いたり、組織構築・強化、ビジネスマネージメントといったサイバーとは異なるジャンルに関わったりしてきました。その中で今のポジションにいて感じるのは、必ずしも純粋なホワイトハッカーやコンテストの入賞者ばかりが必要なわけではないということです。ネットワークエンジニアでも、プログラマー、データセンターに関わる人でも、あらゆる技術的な面でサイバーセキュリティとはつながりがあります。

 

そのうえで必要な資質は、興味を持つことだと思います。私自身もサイバーセキュリティに詳しくない状況で入りましたが、現場で知恵をつけながら学んでいきました。

 

西尾氏：私も興味が大事だと思います。技術的な基礎の部分、たとえばバッファオーバーフローなどの発生原理をコンピューターサイエンス的に解釈していけば、大体の攻撃は理解できます。

 

サイバー攻撃がビジネス化する一方で、軍事手段として実践的に投入されてきたこともあり、「何が目的なのだろう？」と考えてみるような、いわば文系的な興味が求められています。技術的な解析だけではなく、そういった背景まで興味を持てると、攻撃者のモチベーションまで考えられます。次の攻撃などを先読みして対策が立てられれば、業界の中で重宝されるし、サイバー人材の中でも、よりキャリアを切り開いていける存在になれるのかなと思います。

 

澤氏：サイバー犯罪が広がっている現状では、攻撃に備える側の人材にも、理系的な専門家だけはない多様性が求められているのですね。

 

西尾氏：研究者をやっていたころには、アセンブラは読めて当然という派閥もありましたが、今では業界の人も多様になっていますから、参入する障壁は下がったという印象があります。

 

2.日進月歩でやりがいのある領域

 

澤氏：サイバーセキュリティに関わることの魅力や、仕事の面白さを教えてください。

 

西尾氏：この分野は進化の速度が半端ではありません。極端な例ですが、たった1日Twitterにログインしなかっただけで、翌日には浦島太郎状態になっているようなことが、セキュリティの世界では継続して起こっています。業界の動きが激しいので飽きが来ない、というのが感覚的な回答です。

 

経済的に見ても、Web３やメタバース、ブロックチェーン技術によってデジタル空間に資産が移ってきていますから、どの分野でもサイバーセキュリティは掛け算の係数になる分野だと思います。サイバーを強みにすれば、宇宙開発企業にサイバー要員として入社することもできるでしょうし、潜在的に関わりたいと思っていた業界との関わりが持てるでしょう。

 

雨宮氏：サイバーセキュリティは金融や製造業など、あらゆる業界で欠かせない切り口になっています。すべての業界で、現場のエンジニアの方々から経営層まで含めて、いろいろな視点で会話ができるので、さまざまな知見や引き出しが増えていきます。同時に、企業の存亡や国家対国家のような大規模な話にも関わってきますから、やりがいと責任感も伴います。

 

3.セキュリティベンダーとコンサルティングファームの違い

 

澤氏：会場から質問が来ています。「現在転職を考えている中で、複数のコンサルティングファームとセキュリティベンダーの紹介を転職エージェントから受けています。この領域でキャリア形成を進めたいと思うのですが、この２業界でキャリア形成にどんな違いが出てくると思われますか？」とのことですが、いかがでしょう。

 

雨宮氏：私は両社の経験をしてきましたが、それぞれに違いはあると思いました。セキュリティベンダーは、自分たちが開発するプロダクトやサービスに集中するので、そこに対してどんどん尖っていく点に魅力があります。逆に私が葛藤を覚えたのは、セキュリティの脆弱性についてレポートした後、クライアントから「もう行っちゃうんですか？」と言われたことです。本質的には、その後の対策が重要なのですが、その当時は対応できるサービスが自社にはありませんでした。

 

しかし、コンサルティングファームは、そこからが仕事になります。クライアントとの付き合いが長くなる中で、ビジネスやオペレーションを含めて、目線が合った会話ができるようになることはコンサルティングファームならではの魅力だと思います。
また、異なる業界のプロフェッショナルがいることの心強さも挙げられます。たとえば企業の買収案件でセキュリティ、M&A、インフラ構築の各専門家が同じ組織から集まって、同じプロジェクトに取り組める点はコンサルティングファーム――、ひいてはEYならではの強みだと感じます。

 

西尾氏：セキュリティベンダーは、製品開発やクライアントのセキュリティアーキテクチャの設計を通じて、セキュリティを「作る」企業です。対するコンサルティングファームは、なんらかの目的があって、それを達成するためにセキュリティ技術を「使う」ことが大きな違いです。ベンダーが営業をする際には技術に詳しければ詳しいほど重宝されますが、コンサルティングファームが接する相手は経営層なので、技術だけでなく、価値の伝え方が重要になります。

 

セキュリティエンジニアリングの技術に未練があり、その世界でキャリアを積みたい人は、おそらくセキュリティベンダーに入った方がよいでしょう。セキュリティの技術を使って、より経営の視点から世の中に貢献したりクライアントを助けたりしたいのであれば、コンサルティングファームを選ぶべきだと思います。いろいろな業種とつながるので、その後のキャリアの選択肢もひろがるでしょう。

 

4.グローバル企業でキャリアを歩むことの魅力

 

澤氏：お二人はEYというグローバル企業でキャリアを歩んでいますが、その特徴や魅力を教えてください。

 

雨宮氏：サイバーセキュリティにおいて、日本は最先端でない立ち位置なので、国外のパートナーと話すと本当にいろいろな情報を得ることができます。日本のエンジニアや経営層とは違う視点や考え方に触れたり、ソリューション等で困ったときに数か国のチームですぐに体制が組めたりするのは、グローバル企業ならではの強みだと思います。国内だけでは人材の数も足りていませんから、海外の人たちとのコラボレーションは必須になっていくでしょう。

 

西尾氏：いわゆるダイバーシティ、エクイティ&インクルーシブネス（DE&I）、多様性を認めていこうという感覚があります。私は中卒なのですが、そういった年齢や学歴を度外視して、採用時には「うちの会社でやりたいこと」と「それに対してどんな価値が提供できるのか」ということしか見ていません。あらゆるハンディキャップを度外視して、高いレバレッジをかけられる業界であることは、グローバルをバックグランドに持つコンサルティングファームの強みだと思います。

 

海外のEYに所属するメンバーには、飛び級で若くして大学を卒業した人もいますし、多様性が認められている実感があります。世界にネットワークがあるので、海外出張がしやすいという利点もありますね。海外オフィスに顔を出してコミュニケーションしたり、学会に出たり。サイバーセキュリティというテーマを軸にして、世界で仕事をしているという感覚があり、それが自己肯定感にもつながっています。

 

澤氏：グローバルではいろいろな選択肢があるし、自分のハンデだと思っていることがユニークネスにつながっているかもしれない。日本ではパフォーマンスを出しきれていない人が、グローバル企業でチャレンジする価値は大いにありそうですね。

 

5.セキュリティ×◯◯で生まれる新たなキャリア

 

澤氏：最後に、お二人が今後取り組んでみたいことについて教えてください。

 

西尾氏：中卒というスタートからグローバルファームのパートナーまできたので、次は後に続くような人が、私よりも楽な形で出てこられるような活動をしたいと考えています。学歴や年齢、日本の風土や働き方、習慣でストップがかかっていると感じている人たちに、別のベクトルや選択肢があるということを発信していきたいです。

 

具体的には、私はサイバーセキュリティ×コンサルという組み合わせに、経済安全保障というものを掛け合わせて新しい領域を作っていますが、ここに関わる人を増やしたいと考えています。同じような属性を持つ人を増やしていくことで、日本の労働環境にも多様性が出てくると思います。私も経営陣に加わりましたので、EYブランドの一部として会社のカラーをアピールしていきたいと思います。

 

雨宮氏：さまざまな経験を積むことを目指して、これまでのキャリアを歩んできました。いろいろな失敗もしましたが、そのおかげで自分の経験から話すことができるようになりました。教科書で読んだものや、人から聞いたもの以上に、自分が実際に経験したことからの話しは一番説得力があります。クライアントの現場やCxOの方々とお話をするときに重要になる、人間力というところを磨いていきたいです。

 

オフェンシブでいうとホワイトハッカーとして技術を磨いていけば重宝されることは変わりませんが、それ以上に、一歩引いた視点で全体を見て、攻撃する手段や守り方、脅威情報も見ていく立ち回りが求められていきます。そうしたニーズにまるごと応えるライフサイクル的なサービスを立ち上げて、グローバルレベルで発信していきたいと思っています。

 

---

 

これからのサイバーセキュリティとキャリアパス（前編）/ 変化するサイバー犯罪から企業を「守る」重要性