TOP

インタビュー

「疑うことが必要なんです」アクセンチュアが求めるセキュリティコンサルタントとは?

セキュリティ

Accenture Security

「疑うことが必要なんです」アクセンチュアが求めるセキュリティコンサルタントとは?

国内の情報セキュリティ市場が拡大している。2015年度には初めて市場規模9000億円を突破し、国内IT市場の約6%を占めるほどにまで伸びてきた。さらに、情報セキュリティ市場は平均8.1%で成長するとも予測されている。

しかし、アクセンチュア株式会社の藤井仁志氏は「セキュリティ市場には圧倒的に人材が不足している」と現状を指摘する。同社では「セキュリティ対策」を「単にテクニカルな対策が必要な事象」とは考えていない。「セキュリティ対策」とは「ビジネスの課題」でもあり、その課題を解決するために「セキュリティコンサルタント」が必要になると捉えているのだ。

そこで本稿では、このセキュリティコンサルタントの活動について、アクセンチュアの藤井さんにお話を伺った。

藤井仁志

藤井仁志(ふじい・さとし)/アクセンチュア株式会社 セキュリティ マネジング・ディレクター。防衛大学校卒後、陸上自衛隊に入隊。その後、SIerやコンサルティングファームでの勤務を経て、2008年にアクセンチュアへ入社。

日本はセキュリティの「後進国」?

− まず、日本のセキュリティ市場の現状について教えてください。

藤井 日本におけるセキュリティに対するニーズは、世界的に見ても高いですね。実際にそういったレポートもありますし、市場規模は9200億円ほどに成長しています。

「セキュリティ」と聞くと「セキュリティ対策ソフト」を思い浮かべる方が多いと思います。しかし、そうした「ツール」は実際には9200億円のうち約半分ほど。残りの半分はコンサルティングを始めとする「サービス」です。

私たちアクセンチュアが手掛けているセキュリティの領域は、主にコンサルティングです。つまりサービス、人を供給するわけですね。しかし、有用な人材を供給することで、お客様のセキュリティ課題を解消し続けられるかと言えば、それは難しいと思っています。

− それはなぜでしょうか?

藤井 サイバー攻撃を行う人、あるいは集団は「本気」だからです。日本で「ハッカー」と聞くと、ちょっとした悪ふざけで攻撃する人を思い浮かべるかもしれません。

しかし、最近はサイバー攻撃によってお金を稼ぐことができたり、政治的な意思を表明できたりするわけです。こうした本気の人たちと戦うために専門知識を持っている人材を供給し続けるのはとても難しいことです。実際に、2016年の段階でセキュリティ人材が約13万人不足しているという経産省の統計も発表されています。

しかも、セキュリティ対策はそれ自体がお金を生み出すわけではありません。ですから、どうしても付随的なものとして捉えられてしまっている現状があると思います。

− さきほど「日本は世界的にもセキュリティニーズが高い」と伺いましたが、それでもあまり重要視されていないということでしょうか?

藤井 残念ながら「ウイルス対策ソフトを入れますよ」「ネットワークセキュリティソフトを使いますよ」と、ツールを導入することが目的になってしまっているのが実態だと思います。「セキュリティとして守らなければいけない要件」と「その要件を実現するための対策とその結果の期待値」が、きちんと区別されずに語られてしまっていることが多いですね。

グローバル情報セキュリティ調査によると、「日本企業の情報セキュリティへの投資額」は、「グローバル企業の情報セキュリティへの投資額」の半分くらいしかありません。「セキュリティ先進国」とはとても言えない状況なんですね。

ツール導入することで動き始めるのは確かですが、今何が起こっているのかを分析して、自分たちの会社に対してどのようなセキュリティの脅威があるのか、その脅威にはどのようなリスクがあるのか、それに対して正しく対処できているのかまでは見極められておらず、セキュリティの成熟度が上がっていないわけです。

求められる「疑う力」

藤井仁志

− アクセンチュアでは情報セキュリティにどのように取り組んでいるのでしょうか?

藤井 私たちはセキュリティツールを単に入れて終わりにするのではなく、ツールを入れた後にどのような運用をしていくのまできちんと考えるコンサルティングサービスが必要だと考え、提供しています。もちろん、運用まで考えるということは、お客様の要件に合わせて設計から考えるということでもあります。

先ほども申し上げましたが、現在既にセキュリティ人材が不足していて、人材を配給し続ける形のサービスではいずれ破綻してしまうでしょう。ですから、新しいテクノロジー、例えば機械学習の力を使いながら、人手を増やさなくとも一定のレベルのセキュリティが保てる仕組みをご提案していく仕事も必要になってくるわけです。セキュリティは直接の売上を生むものではありませんが、安心してビジネスをしていただくための最適なセキュリティ対策を、テクノロジー、業務プロセス、それらを動かす組織・体制の3つの観点から具体的に提言することで、ビジネス上の使い勝手を担保しながらビジネスに貢献します。これが私たちの考える「セキュリティコンサルタント」なんです。

− お客様からはどのような相談が寄せられるのでしょうか?

藤井 ビジネスを拡大している中でセキュリティ運用に取り組める人手が不足している、海外展開にあたってセキュリティの運用体制をつくる必要がある、などの相談がありますね。

また、今は外からの侵入を防ぐというだけではなく、一度入ったら攻撃がどんどん広がってしまう時代です。「守りきれる」という発想そのものを捨てていただいて、「中に侵入されたときにどのように対処するのか」という問題に対応するCSIRTのようなチームを立ち上げた案件もありますね。

− セキュリティコンサルタントにはどのようなスキルが求められるのでしょうか?

藤井 「コンサルタントの思考」が必要だと私は考えています。セキュリティ対策とは、仮説を作って、実際に検証してみて、必要となるソリューションまできちんと落とし込むというプロセスです。

多くのエンジニアの方はそのプロセスの後半部分は得意にされていると思います。私自身もエンジニアの出身なのですが、エンジニアの思考で進めると「問題を解決するには、このソリューションを使う他にない」というソリューションを中心とした発想で物事を進めてしまいがちです。しかし、そのやり方では思わぬところにある落とし穴に気が付かずに、対策ができていないことがあるのです。

ですから、セキュリティコンサルタントには目的、ゴールを何度も検証した上で、そこから課題の設定と仮説を構築する力が求められると思います。

− どのようにすればそのスキルは身につくでしょうか?

藤井 「疑うこと」です。「このソリューションを入れたら、何でも解決する」と思わないことが必要なんです。

エンジニアの方は、全体を見渡して仮説・検証をする機会が多くはありませんし、どうしても対策そのものに意識が行きがちなものですが、「なぜこの要件なのか」を考える機会を増やし、仮説・検証する経験をつめば、具体的で有益なセキュリティ対策を提案できる人材になれると思いますね。

− 最後に、セキュリティコンサルタントの業務に興味をお持ちの方へメッセージをお願いします。

藤井 お客様からは対策について求められると思いますが、ツールひとつひとつに詳しくなるのではなくて、「セキュリティって大丈夫なの?」という大きな問いに答えられるような意識を持って欲しいと思います。お客様の相談にどのような要件があって、その要件にはどのような対策があるのかと考えられる人が増えてきて欲しいのです。

今は東京オリンピック・パラリンピックという大きなイベントやIoTによる新たなビジネスモデルの登場に伴うセキュリティ懸念の増大もあり、セキュリティ投資、市場は大きな盛り上がりがあります。しかし、セキュリティの本質を理解している人が増えていかないと、見えない脅威はどんどん大きくなっているにも関わらず、その脅威が見えないが故に「あれ?このセキュリティソフト、サービスって必要ないんじゃない?」と、セキュリティ市場そのものが縮小する可能性もあるわけです。

私たちアクセンチュアはコンサルティングだけの会社だと思われがちですが、システムの導入や、アウトソーシングされたシステムの運用の業務も行っています。セキュリティは確かにシステムの話でもあるのですが、私たちは上流工程から下流工程まで一気通貫で考えることができるのが強みであり、またそれがおもしろいところだと思います。

セキュリティというテーマに対して、「対策だけ」「コンサルだけ」ではなく、「セキュリティ市場全体を盛り上げて、安心して生活やビジネスできる環境の実現にご自身が影響を与えたい」と考えている方と是非一緒に取り組んでいきたいですね。

関連するイベント

その他コラム

エンジニアのキャリアについて語るイベント【「大手企業」から「派遣」に転職した理由】を開催しました!
イベント

エンジニアのキャリアについて語るイベント【「大手企業」から「派遣」に転職した理由】を開催しました!

5月16日、エンジニアの働き方を考えるトークイベント【「大手企業」から「派遣」に転職した理由】を開催しました。 「派遣」と聞くと、”不安定””指示される側”などネガティブ...

交流会 キャリア オープンイノベーション ライフスタイル

株式会社VSN

Unite 2017 Tokyo スライドまとめ
ノウハウ

Unite 2017 Tokyo スライドまとめ

2017年5月8日・9日に開催された国内最大のUnity開発者イベント「Unite 2017 Tokyo」の発表スライドをまとめました! 全59スライド!じっくりとご覧ください! .column-det...

C# Unity UIUX VR ゲーム

dots. [ドッツ]

フォローする
フォロワー159人

Accenture Security

アクセンチュアは、全世界に37万人超の世界最大規模のコンサルティングファームとして、「ストラテジー」「コンサルティング」「デジタル」 「テクノロジー」「オペレーションズ」の5つの領域で幅広いサービスで ビジネスを展開しており、顧客や株主に持続的な価値を提供できるよう支援しています。 業界や業務プロセスについての専門知識と技術力を背景に、ビジネスとテクノロジーの新しい動向をとらえ、世界中でお客様を支援するソリューションを創造しています。 その中でアクセンチュア・セキュリティでは、Clientの個々のセキュリティ課題の解決支援に留まらず、トラステッドパートナーとして、IT全体を全面的に支援しているチームです。 下記のような志向をお持ちの方に、私たちの考えるsecurityの未来、提供しているコンサルティングサービスをご紹介していくコミュニティです。 ・セキュリティがビジネスにどう影響していくかの理解をより深めたいと思っている方 ・セキュリティ予算の獲得やセキュリティ対策を行うため社内調整に難しさを感じている方 ・セキュリティ技術には自信があるものの、それをどうビジネス上の難題な課題の解決に活かすかを悩んでいる方 ・セキュリティエンジニアとセキュリティコンサルタントの業務の違いをより明確に理解したいと思っている方

このグループのコラム