EYアドバイザリー・アンド・コンサルティング株式会社

EYACCにて、今求められるサイバーセキュリティ人材とは

ますますデジタル化が進む中で、IT人材の絶対的な不足は、致命的なものとなりつつあります。その中でも、2020年に向け、特に不足していると言われているのがサイバーセキュリティ人材で、約20万人に相当する人材確保が必要と言われています。その一方で、サイバーセキュリティ人材に求められる要件は曖昧であり、数字のみが独り歩きしている感も否めません。改めて、サイバーセキュリティ人材に関してEYACCではどのような人材を求めているのか、藤井氏にお伺いしました。

サイバーセキュリティ リーダー
藤井仁志 パートナー

国内シンクタンク系のSierでインフラ系のエンジニアとしてキャリアをスタート。
その後外資系ベンダー、外資系コンサルティングファームを経て、2017年8月にEYへ参画。
リスク領域におけるサイバーセキュリティチームの責任者を務める。

目指すは「新たな価値の創造」。世界各国で展開しているサービスラインの連携を強化し、今までにないサービスの提供を目指す。

- 御社は昨年1月に、EY(アーンスト・アンド・ヤング)の新たなメンバーファームとして発足されたとのことですが、どのような組織なのか、改めてご説明頂けますか。

これまで日本におけるEYのアドバイザリー業務は、「新日本有限責任監査法人」「EYアドバイザリー」「EYフィナンシャル・サービス・アドバイザリー」の3つの組織がそれぞれサービスを提供していました。それらを一つに統合し、アドバイザリーおよびコンサルティングのプロフェッショナル集団として発足したのが「EYアドバイザリー・アンド・コンサルティング株式会社(EYACC)」です。
組織を率いる代表取締役会長には、アンディー・エムブリーが就任しました。エムブリー会長はアドバイザリーサービスラインのEMEIA地域(ヨーロッパ、中東、インド、アフリカ)のリーダーを務めた後、2016年7月から東京でEY Japanのアドバイザリービジネスを指揮している人物です。現在は彼のリーダーシップのもと、大きな変革を推し進めています。

- 具体的には、どのような戦略を実行されているのでしょうか。

我々が取り組んでいるのは、グローバルおよび各サービスラインの連携強化です。EYでは、昨年2月に「Advisory Connected」というグローバル戦略を策定しました。これはその名の通り、EYが持つさまざまなサービスやリソースをつなげることで、新たな価値の創造を目指すものです。アドバイザリーの中の融合はもちろん、EYが世界各国で展開している「監査」「税務」「トランザクション」「アドバイザリー」の4つのサービスライン間の連携をより一層強化することで、今までになかったサービスをお客様に提供できると考えています。

入社の動機は「市場の再定義」。市場の歪みを是正したいという思いが、新たな挑戦に。

- 藤井さんのEY参画の背景、EYでのキャリアについてお聞かせください。

外資系のインフラベンダー、外資系のコンサルティングファームを経て、EYに参画することを決めました。情報セキュリティ、サイバーセキュリティの市場は、決して新しいものではなく、すでに国内、海外ともにプレイヤーは出揃った感があります。ただし、国内の市場では、セキュリティの中でも得意分野、提供可能な領域が、サービサーにより偏りがあり、市場が歪んでいると感じていました。その原因の一つが、セキュリティ戦略、セキュリティアーキテクチャといったフレームワークの不在にあると考えていました。これを是正するには、改めて組織におけるリスクは何か?を具体的に話す必要があり、EYにはその経験、知見があること、それを活かしたサイバーセキュリティのサービスを提供できれば、この市場の再定義ができるのではないかと考えたのが、EY参画の大きな理由です。

「情報セキュリティ」「サイバーセキュリティ」をテーマとして、さまざまな角度からの支援を求められるのがやりがい。経営課題の解決にも取り組むことができる仕事。

- サイバーセキュリティ部門のビジネスについて教えてください。

私の仕事 サイバーセキュリティは、リスク部門の一つのドメインとして組成されています。お客様からご依頼いただく仕事の内容としては、サイバーセキュリティ、情報セキュリティに関する評価・監査、セキュリティポリシー・基準の策定支援、今後のセキュリティに関する方針策定と具体的な推進計画の策定といったものが現時点での中心的なテーマになります。ご依頼をいただくのも、情報システム部門はもちろん、システムリスク管理部門、内部監査部門と、同じ情報セキュリティ・サイバーセキュリティというテーマであっても、関わり方や明らかにしたい事項が大きく異なるのが特徴です。逆に言えば、情報セキュリティやサイバーセキュリティをテーマとして、組織内のあらゆる立場での支援を求められるというのが面白さであり、難しさでもあると言えます。特に、最近は内部監査部門の方から、マネジメント面に関する監査だけではなく、技術的な面への監査としてペネトレーションテスト、脆弱性診断の支援をご依頼いただくことが増えてきたのが、情報セキュリティ、サイバーセキュリティが徐々に経営課題として浸透しつつあると変化を感じますね。

- サイバーセキュリティ部門の特徴や近年の動向についてお伺いさせてください。

近年の特徴としては、サイバー攻撃がますます高度化、洗練化(よりサイバー攻撃の実態の把握がしづらい)していることを踏まえ、サイバーセキュリティに対する対策の二極化が進んでいる点が気になっています。つまり、体力のある組織は、新たなサイバー攻撃に備え、新たな対策を迅速に導入している、逆に体力のない組織は、目指すべきサイバーセキュリティ対策の姿が現状からどんどん乖離し、思考停止に陥っています。だからと言って、後者の組織だけにセキュリティ対策の問題があるとも言えません。前者の組織でも、過度な個別最適が進む傾向があり、結果、全体を俯瞰した上でのセキュリティ対策の過不足の評価や、導入したセキュリティ対策の定着、効果刈取りの前に次の対策の導入による対策の徒労感が徐々に増えてきているのも実態です。我々としては、基本に立ち返り、改めて何を目的にセキュリティ対策をするのか、その対策は組織が直面する可能性のあるリスクに照らして妥当であるか、まずは明らかにする必要があると考えています。その上で、具体的な対策の導入が必要であれば、既存対策の高度化も含めてご支援したいと考えています。

これからのサイバーセキュリティには、「多彩なバックグラウンド」が必要。高度な技術を持ち寄って組織的にセキュリティ対策力向上へ。

- サイバーセキュリティ部門ではどういった方が活躍されているか教えてください。

我々のメンバーのバックグラウンドは多様で、コンサル出身者、SE出身者、事業会社出身者が混在しています。共通しているのはサイバーセキュリティの重要性――今後必要とされる専門性であるということを認識し、それを高めていきたいと思っていることでしょうか。サイバーセキュリティの専門部隊という観点からすると、もう少し専門性に注力したほうが良いというご意見もあるかも知れませんが、今後のサイバーセキュリティの領域で求められる人材を考えると、この人材ポートフォリオはむしろ妥当だと考えています。この考えの背景には、セキュリティのコミュニティーの閉塞(へいそく)性に対する反省があります。もはや、特定の専門家が高度な技術的な知識、経験だけで組織のセキュリティを維持できると考えるのは幻想です。むしろ、セキュリティ対策としてセキュリティ専門以外の方に担っていただくことが効果的な領域は、その方々にきちっと説明したうえで任せたほうが良いと思っています。そうなると、セキュリティの専門家だけで構成される組織は、自己満足に陥る、あるいは組織の成長に対し、セキュリティを理由に足枷をはめる存在となると考えています。ですから、セキュリティに対する意識が高く、倫理観を持ち合わせた人であることは共通事項として必要ですが、それ以外はむしろ多様なバックグランドを持つメンバーがそれぞれの知恵を持ち寄り、建設的に組織のセキュリティ対策の底上げを実現するほうが重要と考えています。

- 最後に、転職をお考えの方にメッセージをお願いします。

サイバーセキュリティと一言にいっても、法律の解釈、各種ガイドラインを踏まえたセキュリティポリシー、基準の策定や、セキュリティ対策を織り込んだシステムの開発、日々の多様な攻撃を受けるシステムの運用・保守と様々な業務があります。弊社の主領域は、当面のところはコンサルティング領域になるとは思いますが、だからこそ、多様なバックグランドを持ち、セキュリティに対する問題意識の高い方とご一緒したいと考えています。セキュリティに対する専門性は、キャリアレベル毎に当然異なりますが、その知識の習得に必要な情報は業務の中に溢れていますので、正しい準備をすれば、それらを身に付けることは可能です。サイバーセキュリティを今後のキャリアの柱にしつつ、その周辺で起こるビジネスの変革に携わりたいとお考えの方をお待ちしています。



※本記事は、2018/3/30に公開されています。記事の内容については掲載時点のものとなりますので予めご了承ください。

3分で登録 転職サポート簡単お申し込み