サイバーセキュリティと、従来の情報セキュリティとの違いについて教えてください。
【山本】明確な定義が存在するわけではないのですが、サイバーセキュリティとは、従来からあった情報セキュリティという概念に加えて、外部からの攻撃(サイバーアタック)に立ち向かい、企業が保有するシステムやデータ、ウェブサイトなどのデジタルな資産を守ることです。もちろん、旧来から企業はそうした攻撃だけでなく、情報漏洩やデータ改ざんなどにつながりかねない問題点を解決し、ファイアウォールやアンチウイルスツール等も導入してきました。そして、コンサルティングファームもこれに密接に関わってきました。
10年から15年前のセキュリティコンサルティングは、「情報を守るためのガバナンス体制を構築しましょう」、「セキュリティポリシーを策定し、その遵守を徹底しましょう」というように、組織面や制度面の対応に終始していました。ITセキュリティについては、それほど深く関わっていなかったのが実情です。
ところが近年、企業のシステムを狙う外部からの攻撃は尋常ではないほどの量にまで膨れあがっています。ケースによって攻撃レベルの高低はあれども、「ほぼすべての企業がすでに攻撃を受けている」と言っても過言ではありません。
また、その攻撃手法も高度化しており、ファイアウォールやアンチウィルスソフト程度では守り切れない事態になっているんです。しかも、スマートフォンやタブレット端末など、多様な情報デバイスがビジネスの現場に普及していることも、リスク増大の一因になっています。
そこで、プライスウォーターハウスクーパーのテクノロジーグループでは、深刻な問題になりつつあるサイバーアタックに対抗するセキュリティ構築をミッションとする専任チーム「サイバーセキュリティセンター」を設置し、従来の情報セキュリティにはないバリューの提供を始めたわけです。
従来の情報セキュリティ対応に欠けていた部分、特にIT上の対応において不足していた点とは何なのですか?
【山本】企業によってシステムを守る態勢やセキュリティの水準も異なりますし、一概には言えませんが、多く見かけるのはセキュリティ関連ツールの導入がパッチワーク的になってしまっているケースです。どの企業も何かしらのセキュリティツールは導入されているのですが、それがすべてのシステム領域をカバーしていないと、攻撃する側は易々とそこを突いてきます。
また、「防御」にばかり手間とリソースをかけてしまい、実際に発生した、あるいは進行中のインシデントを「検知」したり、攻撃された後に「回復」するための備えが疎かになっている事例も数多く見てきました。
山本さん率いるチームが講じている対策には、どのような特色があるんでしょう?
【山本】攻撃する側の技術レベルが上がっているわけですから、守るこちら側にも先進性が求められます。そのため、有能なエンジニア出身者を積極的に採用し、技術的な対抗策をハイレベルに展開しています。また、PwCは特定のITベンダーや製品に固執しない中立的立場でコンサルティングを行う集団ですから、お客様のシステムやネットワークの状況を分析した上で、その都度、最適なツールやソリューションを選定することも可能になっています。
加えてグローバルのPwCは全世界に約2000人のサイバーセキュリティコンサルタントを擁しています。海外で起きた最新事例を国内に活かしていますし、日本企業の海外進出先におけるローカル事情についても、有用な情報提供や提言を行ったりもしています。サイバー犯罪の国際的状況は刻々と変化しています。最近では企業や官公庁から「海外視察したい」との要望を聞くことも多くなっていますが、そうしたニーズにもPwCならば迅速かつ的確に対応できるのです。
サイバーセキュリティへの本格対応は、山本さんのチームが最も進んでいるとのことですが、その後、他ファームでも類似サービスを提供しているでしょうか?
【山本】PwCのサービスは、サイバーセキュリティ戦略の策定から、セキュリティツールの導入・イベント監視の運用業務など、対策の実行支援まで幅広くカバーします。多くのコンサルティング会社が提供するサービスは、第三者評価や戦略策定支援が中心です。さらに海外での対応まで実行できているプレイヤーはほとんどありません。そこまでトータルにご支援しているのは現時点で他に見たことがありません。
最近では海外企業をM&Aして、成長戦略に役立てていこうとする日本企業が増えています。トップ経営陣はこうした施策を通じ「シナジーを生み出してイノベーションを起こせ」と発破をかけるわけですが、会社のシステムを任されているCIOや情報システム担当者たちは、不安や恐怖に苛まれています。
異なる設計思想で構築されたITシステムをネットワークで物理的に繋いでしまうと、そこにまたリスクの火種が発生しやすくなります。「クライアント企業のグローバライゼーションを推進します」とうたい上げて、事業確立や市場開拓を行うムーブメントばかりが注目されがちですが、そこに発生するセキュリティリスクへの対応まで含めて支援できるコンサルティングファームはPwCのほかにはほとんどないと考えています。
では、このチームに参画して、活躍していくことの出来る人材とは、どういう人たちなのでしょうか?
【山本】松崎氏も申し上げたように、PwCのテクノロジーグループは、コンサルティング領域出身者と技術領域出身者がバランス良く集合しています。サイバーセキュリティのチームでも、バックボーンの異なる両者を、できる限り意識的に組ませて同じプロジェクトに携わってもらうようにしています。期待しているのは、双方が相手をリスペクトしながら刺激を与え合い、相互に成長を実現していくことです。
ですから、今後参画してくれるかたがたにも、「コンサルティングとエンジニアの両方を経験している」ことまで要求はしません。そもそも、そういう人はごく少数しかいませんし。ただし、手取り足取り誰かが指導してくれることを期待するようなかたでは、成長することも活躍することも難しくなるでしょうね。
PwCにはもちろんいくつもの教育プログラムが用意されていますが、やはり「高度な技術的専門性も兼ね備えたコンサルタント」を目指すのならば、難局に立ち向かいながら、熱意を持ってチャレンジを実行し、そうした実体験や仲間のパフォーマンスなどから成長につながる知見を抽出し、身につけていくような人でなければいけない。私はそう考えています。
技術畑出身の人材がPwCのテクノロジーグループでの活躍を目指す場合、他にどんな点に留意すればいいのでしょうか?
【山本】その質問、実は採用面接でもよく聞かれるんです。私自身、キャリアのスタートは技術畑でしたから、実感をもってこう答えるようにしています。「"自分の仕事"を自ら線引きする癖は早く捨てましょう」と。IT企業、とりわけSIerにいると「あなたの仕事のスコープはここからここまで。だからそのスコープを超えて余計なことはするな。」と教えられて育ちます。
しかしPwCのテクノロジーグループは、お客様にシステムを提供する存在なのではなく、あくまでも経営の向上に貢献するバリューを届ける存在。つまり、コンサルタントの集団なのですから、前例や前提、決まり事をむしろどんどん崩して、新しい価値を提案し、それを実際の形にしていくような仕事をしなければいけない。自分の仕事の幅を勝手に決めてしまい、硬直した仕事ぶりを繰り返していても成果にはつながりません。
我々のチームに来て、みるみるうちに成長していく人はすべて、前提を打ち崩す柔軟性を持ち、それを発揮している人たち。専門性を備えていることに誇りは持ちつつも、コンサルタントに問われる柔軟性を発揮していく。これができれば、我々にしか生み出せないバリューをお客様にお届けすることが可能になるんです。
最後にPwCのテクノロジーグループを志望するかたへのメッセージをお願いします。
【山本】私のチームが手がけているサイバーセキュリティに限らず、PwCのテクノロジーグループでは、いくつもの先進的チャレンジや、独自のアプローチに基づくバリューの提供を実施しています。そうした環境を意気に感じるかたであれば、必ず活躍できますので、ぜひ積極的に働きかけて欲しいと思っています。
▶ 戦略コンサルティンググループ パートナー 小田原 一史 氏 インタビューへ続く
インタビュー2
山本 直樹 氏
テクノロジーグループ/サイバーセキュリティセンター
パートナー
大学卒業後、システムコンサルティング企業に入社。エネルギー企業を顧客とするシステム構築プロジェクトを担当する中で、広い意味でのセキュリティ対応やリスク管理への関心を高め、外資系総合コンサルティングファームへと転職。数々の先進的セキュリティ関連プロジェクトを担った後、大手米国系コンピュータ会社へ。事業会社の目線からセキュリティ問題の解決に挑み続けた。こうして得た多様な経験を活かすべく2008年にはプライスウォーターハウスクーパース(当時、ベリングポイント)に参画。セキュリティに専門性を持つコンサルタントとして、再び経営課題の解決に携わり続けている一方で、急増するサイバーアタック問題の解決をミッションとするチームを編成。「守るだけではないセキュリティ」という新しいチャレンジを推進している。
インタビュー3
小田原 一史 氏
戦略コンサルティンググループ パートナー
インタビュー1
松崎 真樹 氏
パートナー
テクノロジープラクティスリーダー
注目ファームの現職コンサルタントインタビューの最新記事
- フロンティア・マネジメント株式会社 | マネージング・ディレクター 経営執行支援部門 副部門長 兼 クロスボーダー経営執行支援部長 舟橋 宏和 氏 / シニア・ディレクター 経営執行支援部門 大西 恭平 氏 / ディレクター 経営執行支援部門 勝田 菜菜子 氏(2023.11)
- A.T. カーニー株式会社 | シニア パートナー 阿部 暢仁・マッスィミリアーノ 氏 / マネージャー 佐藤 真人 氏(2022.6)
- A.T. カーニー株式会社 | シニアパートナー 針ヶ谷 武文氏 / マネージャー 梅本 周平氏 / マネージャー 柳田 諒 氏(2022.2)
- 株式会社リヴァンプ | 取締役 執行役員CFO 大山 拓也 氏 / 業務コンサルティングチーム シニア・マネージャー 徳田 浩明 氏 / 経営支援チーム マネージャー 阿部 浩平 氏(2022.2)
- コーン・フェリー・ジャパン株式会社 | コンサルティング部門責任者 シニア・クライアント・パートナー 柴田 彰 氏 / アソシエイト・クライアント・パートナー 酒井 博史 氏 / コンサルタント 大木 崇史 氏(2022.1)