セキュリティ関連・コンサルティング業界を対象にサイバーセキュリティ人材の採用を支援する当社のコンサルタントが、セキュリティとDXの関係とその推進状況や、それに伴うデジタル人材ニーズの変化、採用を成功させるためのノウハウを解説します。
セキュリティ領域を取り巻くDXのトレンド
デジタルの領域でトレンドのクラウド、IoT、セキュリティニーズが急増しており、例えばクラウドの領域ではゼロ・トラスト、IAM/アクセス認証、IoTの領域ではOT/制御セキュリティというワードが聞かれるようになってきました。
デジタル技術が進行していく中で、同時にデジタルディスラプター(破壊的イノベーター)にも関心が集まっており、特に大企業の場合には、イノベーションを生みだし、生き残るためにはどうすればよいか検討することが急務になっています。それに伴い、コンサルティングファームもビジネス変革を支えるIT・テクノロジーの変革支援、つまりDXのコンサルティングが非常にホットな領域として盛り上がりを見せています。
DXというと「アクセルを踏む」ような勢いのあるイメージを持たれがちですが、経営陣のなかでは、結局セキュリティの面で課題にぶつかり、新しい施策に対してうまく「アクセルを踏み込めない」ことが往々にしてあります。今までセキュアな環境で運用していたシステムや情報が、新しいIT環境に代わることよってセキュリティ担保の面で運用の安全性に確信が持てず、セキュリティ面の安全性、インシデントリスク等の課題が浮き彫りになるケースです。
そうした経営層向けにDXを実現するためのセキュリティのアーキテクト検討や、そもそもDXに向けて何を検討していくべきなのかという経営戦略的な観点からコンサルティングを提供することが重要になっています。こういったセキュリティ戦略に係るサービスアジェンダの重要性が叫ばれている状況です。
サイバーセキュリティのマーケット転換
もともとこのサイバー・セキュリティコンサルティングの領域では、セキュリティ製品を開発し販売しているITメーカー、いわゆるベンダーサイドが、製品導入に際して提供するコンサルティングサービスが主流でした。
ただ、近年では部分最適としてセキュリティを強化し、個別のインシデントに対応することでは十分ではなく、会社全体としての方向性を決めるための包括的な戦略が必要です。
会社としては、例えば拠点が増える、海外展開をする、ビジネスモデルが変わっていく、など大きな変化が起きる中で、セキュリティに対しての課題が経営課題に直結する場面があります。そうなると全体最適化を図れる人材が求められるため、コンサルティングファームのサービスを利用してセキュリティの全体像を描きたい(経営課題からセキュリティを紐解きたい)というニーズが増えています。これには、DXの改革が情報システム部門など現場主導だったものが経営主導に移ってきたことも背景にあります。
従来コンサルティングファームの中で、ITコンサルティングはメインのサービスとしてありましたが、そもそものコンサルティングファームの至上命題である「お客様の経営改革支援」を行う点においては、IT導入の支援を行うだけではなく、よりスピード感をもって意思決定を行える環境を作っていくことで他社との差別化を図る業務改善等、DXを手段として支援を行うことが大切です。実際に、そうした案件も増えています。
世の中の価値観が所有から共有(シェアリングエコノミー)へと変化していく中で、ビジネスの在り方も大きく変わってきております。例えばサブスクリプションビジネスによって、製造業であれば世界規模の大規模なサプライチェーンを根拠とする製造コスト最適化、販売網で捌ききるビジネスは限界を迎え、必要な時に必要な分だけ利用するモデルに応えるべく、マーケット情報をリアルタイムにサービスに反映させる必要性が問われております。
同サービス提供を展開するに際し、中央集権的なWF型のシステムではなく、マーケットデータを積極的に分析活用することで顧客ニーズを把握し、スピード感を持って市場にサービスを投下できるオペレーションと全く新しいIT環境(API連携、アジャイル開発)を構築する必要があります。
そうなった時に、今まではセキュアな箱に入っていただけのデータが新しいシステム上でも本当に守られているのか、オペレーションを検討する必要が出てきます。そもそもシステム上でうまく連携できているのか、外部からの侵入攻撃を防御できるか、防御できなかった場合にどのように対応するか、などについて全体的に再検討しなければならない時代に入っています。
セキュリティ領域のDX推進に求められる人材像
企業のニーズをとらまえると、コンサルタント自身も経営層と対話する力とテクニカル知識と両方を兼ね備えていることが求められており、ファームの中でも育成が非常に急務になっています。
現在のマーケットでセキュリティを推進する場合、経営層の経営課題と現場側の推進課題を見極める必要がありますが、双方で必要な知識やスキルは異なっていることがほとんどです。現場からすると、論点だけ整理しても、技術で解決できなければ意味がないという意識があり、経営層からしたら、インシデント対応に収まってしまってセキュリティ対策の予見が出来ていない、という状況になるわけです。
従来的なコンサル業界のすみ分けとしては、想定からタスクフォースを描くまでの工程はBIG4が強く、一方でアーキテクト的な観点から、テクニカルなベースをもって提案が出来るのはインテグレーション組織を並列して持っているファーム、という構図でしたが、近年では企業側のニーズ変化もありすみ分け自体も変化しています。
私個人の見解ですが、現在コンサルティング領域はある意味過渡期を迎えていると思います。戦略だけでも、テクニカルだけでもお客様のニーズは満たせなくなっている為、両軸でサービス提供できる力が求められていると思います。
実際ここ2,3年、経営コンサルでインテグレーションサービスの設立、ITコンサルで戦略的コンサルサービス設立と動きがあり、会社によってはサイバーセキュリティのビジネスを新しい柱として独立させたところもあります。
加速度的にDXが進行する社会で、コンサルティングファームが“クライアントのビジネス変革の実現を支援する組織”であるからこそ、“戦略”、“テクノロジー”、“セキュリティ”が経営的課題として並行して検討されていることを裏付ける動きだとも感じております。
ただ、上記2つ(戦略×テクノロジー)の側面を合わせ持ったコンサルタントは、世界的にみても非常に少ない為、今後のコンサルティングビジネスの発展には採用と教育が肝です。
セキュリティは高度なテクニカル面の知識が必要とされる領域ですから、ホワイトハッカーなどエンジニアとしてキャリアを積まれた方々に対して、将来的にはどこに活躍のフィールドがあるかを明示し、新たなキャリアのご提案をしていくことが大切です。
セキュリティ人材採用にあたっての課題と打ち手
上述の通り、現状のセキュリティ人材の層は二極化しているため、セキュリティ人材を採用したいとなった場合にはどのような人材を採用したいのか、また、彼らの応募動機を喚起する言葉は何かを把握してアプローチする必要があります。
サイバーセキュリティの領域で活躍されている方の一部には、SIerにて大規模PM(インフラ>アプリケーション)やコンサルティングファームでITコンサルに従事し、大規模システムマイグレーションに関わる中でガバナンスの重要性に興味を持ち、セキュリティへのキャリアチェンジをされる方がいます。
同領域の方についてはPJTを通してセキュリティ知見の習得、コンサルティングスキル習得などキャッチアップが必要ですが、今後育てていくべき重要な人材プールであることは間違いありません。
セキュリティコンサルでは、どういったフェーズのサービスアジェンダにせよ上述したような“経営視点からセキュリティ要件を紐解いていける人材”のニーズが高まっており、採用に苦戦している会社様が多いように感じます。従来はセキュリティコンサルティングにおいては、外資・日系セキュリティベンダーがメインプレイヤーとして存在しており、実際に候補者様の中には、「セキュリティをやるのに、わざわざコンサルティングファームに行く意味がない」という率直なご意見をお持ちの方もいらっしゃいます。
こうした状況を打開し、優秀な人材を採用するためには、表層的な魅力付けではなく、実際にクライアント先で起こっているリアルな現状(経営課題として全体最適化の観点でのサーバーセキュリティ)を伝えることによって、コンサルティングファームでセキュリティキャリアを積むことの重要性/差別化を話したうえで、具体的なイメージを持って頂くことが大切かと思います。
また、候補者に向けて打ち出す魅力としては、大きく3つポイントがあると思います。
1つ目は、セキュリティを経営課題という論点でとらえ結論付け出来るスキル習得、
2つ目は、ポストキャリアとしてCISO補佐、経営企画等のビジネス側への可能性拡大、
3つ目は、特定領域の専門性深耕が評価され着実に社内昇進(報酬アップ)できる環境
上記3点は大手コンサルティングファームに転職する上での大きな魅力になります。
採用をスムーズに進めるためには、現場と候補者との接点を豊富に持つことはもちろん、候補者への十分な情報提供を行うことが他社との差別化にもなります。
