セキュリティのコンサルティングをキャリアとして始めたきっかけは?
大学卒業後、国内Sier企業2社において、プログラミングやアプリケーション/データベースの設計・構築等、技術的なITエンジニアとしてキャリアを積んでいました。
そして、20代終盤、国内系コンサルティングファームへの転籍を経て、2008年にBig4の一角に転職し、ビジネスコンサルティングやCIOアドバイザリーの経験を積み、2010年、同グループ内の転籍を経て、セキュリティのコンサルティングに本格的に従事してきました。
契機は、転籍前の2009年頃に経験した、あるセキュリティ関連のプロジェクトです。参画当初は、「セキュリティはヒエラルキーの低い日陰のテーマ」というネガティブなイメージが強く、序盤は「嫌々」関与していました(苦笑)。私はIT技術を活かした経験が豊富で、それもあってアサインされたわけですが、セキュリティ“ど真ん中”の案件は経験がなく、当初、その意義・必要性を全く理解できていませんでした。
そんなある日、クライアントの部長向け中間報告で想定リスクの内容を報告した所、
「すぐにでも担当役員に報告し、最終的には経営会議にも上申したい重大リスク!
このタイミングで、一早く、課題提起していただき感謝します」
という、緊迫感もありつつも、とても有難いコメントを頂戴しました。
その時の空気感は今でも覚えています。あくまでも、中間報告かつ定量的な影響までは踏み込んでいない、可能性レベルの内容でしたが、我々からの報告が突き刺さったシーンに直面して、180度、セキュリティの見方が変わりました。
それを契機に、セキュリティのコンサルティング案件を専門とするグループ内の他法人への転籍を希望し、以降は約15年間、本テーマのプロフェッショナルとして様々な経験を積んできた次第です。今思うと、この経験がなければ、このテーマを選択することはなかったかもしれません。
その15年もの長い期間で、セキュリティはどう変わってきましたか?
経営課題としての認識はさらに強まりました。振り返ると、2010~2012年位に、従来からの主流であった「情報セキュリティ」から「サイバーセキュリティ」にテーマアップされてきました。それまでは、“愉快犯”的な侵入・漏洩等の犯行や出来心、また、管理ミスによる情報漏洩やそれに近しいヒヤリハット等、“悪意”の色が薄いものでした。ただし、当時流行し始めていた「標的型攻撃(APT-Advanced Persistent Threat)」を契機に、特定の組織を狙うサイバー攻撃が脚光を浴びるようになり、じわじわと「サイバーセキュリティ対策」が依頼の中心となってきました。
そして、その攻撃事例や被害の大きさは年々大きくなり、看過できない重要な経営課題として、多くの経営層に認識されるようになっています。近年は、国際的な会議の場においても、サイバーリスクは重要リスクのトップ5に入るほど、高い注目を集めるテーマになっています。そして、今やIT領域だけでなく、生産、製品開発、販売、プライバシー保護等、企業の様々な事業領域でセキュリティの検討が進むほど全社的な課題となっています。
セキュリティコンサルティングの魅力とは?
端的に言うと「超やりがいのある」テーマです(笑)。わかりやすくサッカーに例えるとゴールキーパー(GK)のようなポジションです。文字通り「守護神」ということもありますが、加えて人気度も影響します。GKは日本だと、少々人気がないですよね?例えば小学生の頃の遊びでサッカーをやる際、GKに率先して手を挙げる子供は少ないはずです。ただし、欧州に目を向けると人気のポジション、という話も耳にします。
セキュリティもこれに近い感覚です。ただし、この例えだけだと、ピンとこない方もいると思いますので、よりテーマ特性を踏まえて、その魅力を3点ほど紹介したいと思います。
1つ目は、エネミー「敵」の存在です。競合他社という意味では、他のテーマにもライバルはいるわけですが、それは悪意を前提としないものです。ただし、セキュリティでは、悪意を持った「敵」と対峙することになります。そして、その敵との戦いになるわけですが、攻める/守るというスキームの中で、相手の行動を分析しながら適切な守りを講じるという感覚は、使命感の伴う「聖戦」のような感覚で対峙する機運にもつながります。
2つ目は、テーマの幅広さです。一般的にセキュリティは「技術」「製品」のイメージが強く、関わる人材も「理系」「理屈」さらには「陰キャ」(笑)のような印象を持たれがちですが、実態はその逆だと思います。課題解決のためには、単純にセキュリティ製品を導入して終わりではなく、ルールを整備して、それを実行に移すための体制とプロセスを整備し、その上で、製品も含めて有機的に機能・連動するエコシステムを形成する必要があります。
そのため、様々な知識・経験が必要となるわけですが、むしろ「陽キャ」(笑)で、高いコミュニケーション力が求められます。組織内の様々な部門と関わる中、プロトコルの異なる出自の方々に専門的なセキュリティの世界を理解いただくには、例え話やメタ思考による汎化された表現でのメッセージ等、対人能力の高さが重要な要素になると実感しています。
そして、最後の3つ目ですが、「Social Impact」です。今やセキュリティは企業個別の課題ではありません。現代はインターネット上でのコネクテッド化が急速に進んでいます。このような環境下で、昨今流行っているランサムウェア(身代金要求型ウイルス)に感染し、データ復旧を見返りとする攻撃者に金銭を支払ってしまった場合、どうなるか?その金銭は犯罪集団の資金源として活用される危険を伴います。余談ですが、米国では、国家の制裁リストに含まれる犯罪集団に身代金を払った場合、その組織は罰則を受けることになります。もう1つ例を出すと、重要インフラの制御系システムがダウンした場合であれば、我々の生活に欠かせないライフラインに支障をきたし、最悪は生命の危険にも晒されます。
こうしたハレーションの大きさを鑑みると、セキュリティは経営課題の枠を超えた社会課題でもあり、決して無くなることのない普遍/永遠のテーマと言えるでしょう。例え話で「光指す場所に影が生じる」と表現もできますが、影がセキュリティリスクとすると、光(ビジネス)がある限り、これが消えることはないわけです。
なぜグロービングでセキュリティ?
むしろ、グロービングだからこそ、です。グロービングの掲げる6つのDon’tの根底にあるのは、クライアントファーストの本質です。そして、それを体現するのが、グロービングの最大の特徴である「内なる外」そして「伴走支援」の業務スタイルにあります。
以前、こんな経験がありました。前職でのある案件において、支援終了後しばらくしてからのフォローアップ訪問の際、クライアントからこんな言葉をいただきました。
「コンサルティングを依頼して良かった。でも、本当に大変だったのはその後だった」
我々の支援が終わった後、クライアント内では社内上申、経営報告、その後の実装フェーズに向けた準備等、様々なイベントを進める必要がありました。その中で、何よりも大変だったのはコンサルタントが作成した報告レポートを基に、自分達の組織に通じる言葉に置き換える、経緯・状況を知らない方々に、主旨や懸案事項を伝えるための見せ方等を工夫する、という我々の目に触れることのなかった過程でした。結果的に我々のレポートを咀嚼する局面が何より大変だったし、折れそうになった、という感想を聞いた時、本当にクライアントが大変なシーンに立ち会えていないことを、悔しくも歯がゆくも感じたわけですが、こうしたジレンマは一度や二度ではありません。
セキュリティは他のテーマに比べて、こうしたシーンは多いと実感しています。目まぐるしく変わるサイバー脅威の動向、それに必要となる多種多様な対策製品、さらに近年は各地域・業界に応じた法令・ガイドライン等の遵守要件・・クライアントから見ると膨大な情報量の中、仮にコンサルティング支援を通じてサマリやポイントを知れたとしても、それは「その時点」のものであり、日々変化する動向を常に追い続ける、また、局面において使い分けることは、至難の業かもしれません。
あの時に傍にいれば、何ができただろうか?この気持ちこそが、グロービングに惹かれた最大の源泉です。「伴走」という言葉は、ともすれば、単なる御用聞きや、常駐業務のような誤解を受ける温床にもなりかねません。目指す姿はそうではなく、クライアントが進む過程で、本当に大変な局面で寄り添う、それがどのタイミングであるかは予想が難しい局面もある中、だからこそ目の前のクライアントに集中し、全身全霊でクライアントの手助けをする、さらに、時には牽引したいというのが、私が考える「伴走」のイメージです。
そして、グロービングの企業HPを見て、代表の輪島のメッセージである「我々のインダストリーは本当にクライアントの役に立っているのか」を目にして、一気に化学反応(ケミストリー)が自身の中で発生すると共に、「この会社で仕事をしてみたい」という想いが芽生えたわけです。正直、経営理念への共感、というインパクトが大きすぎて、どんなテーマのコンサルティングを担う会社であるか、所在地、社員数、設立年等、よくわからずに面接に臨んでいたというのが本音です(今となっては笑い話ですのでご容赦ください)。
つまり、グロービングでセキュリティをやりたい、という想いよりも、これまでのコンサルティング経験で感じていたジレンマを解消し、本当にあるべきコンサルティングを実現できる環境としてグロービングを選んだというのが経緯です。テーマがセキュリティというのは、たまたま私がそれに従事していたという副次的なものです。
グロービングにおけるセキュリティ関連オファリングの見通しは?
大きな可能性に満ちています。セキュリティというテーマは、グロービング内の既存案件でもちらほらテーマアップされているため、既に関わっているという方も一部存在します。ただし、文字通り「プロフェッショナル」として、それを強みとする専門家は私が第一号です。そして、今後、このテーマを軸にチームを組成し、一定規模のサービスが提供できる形にしたいと考えています。
グロービングは、経営・ビジネス、さらにはIT/DXに関するテーマが中心であり、セキュリティが主役として位置付けられることにはならないと思います。ただし、ドラマの名脇役(バイプレイヤー)と同じく、強烈な存在感をもって、途絶えることなく様々な作品に登場し続ける可能性に満ちた魅力的なテーマです。また、光と影の「影」に軸足を置くテーマですが、その存在は普遍であり、今後その重要性は更に大きくなるはずです。作品に応じて変幻自在に役柄を変える俳優のように、グロービング内の案件の特性に応じて、柔軟な視点・姿勢で対峙できるレジリエンスこそが、最も必要なケイパビリティです。
最後に、グロービングが求めるセキュリティコンサルタントの人材像は?
最も大切な素養は「客観視」です。グロービングの多くのコンサルタントは、セキュリティを専門としない、または未経験の方です。案件のコラボをする上で一番大事なことは、「主観」を封印することです。自分はこうしたい/こう思う、ではなく、大事なことは相手が何を期待しているか/解決したいかであり、セキュリティというテーマは単なるきっかけでしかありません。
そのこと胸に刻みつつ、引き算の発想、ゴールからの逆算で物事を考え、かつその過程に適切なマイルストーンを置き、それを意識した無駄のない行動が取れる。これこそが、理想像です。セキュリティの経験・知識は勿論重要ですが、こうした姿勢で業務遂行ができない限り、グロービングでは宝の持ち腐れになることは念頭に置いて頂きたいです。そういう意味では、引き算的なアクションが取れる/素養の高い方は、セキュリティに関する経験・知見の度合いを問わず、前向きに採用を検討したいと考えています。
そして、何よりも一番大切なEnjoy Working!グロービングは、仕事をワクワクと楽しめる方を何よりも尊重します。それはセキュリティコンサルタントでも同じです。一緒に仕事をしていて、周囲をワクワクさせるような、前向きでパッションに満ちた方を、是非ともお待ちしています。
高橋 宏之
ディレクター
サイバーセキュリティ分野で約15年のコンサルティング経験を有する。それまでのCIOアドバイザリー/ビジネスコンサルティングの経験も活かした、ガバナンス&マネジメント等の経営に近い、さらには新規性の高い中長期目線のアジェンダにおける支援を強みとする。
企画・推進:
サイバーセキュリティ伴走支援(Cyber-X)-「審美眼」による確かな見極めと咀嚼を-