TOP

インタビュー ポジション掲載中

「疑うことが必要なんです」アクセンチュアが求めるセキュリティコンサルタントとは?

セキュリティ

Accenture Security

「疑うことが必要なんです」アクセンチュアが求めるセキュリティコンサルタントとは?

国内の情報セキュリティ市場が拡大している。2015年度には初めて市場規模9000億円を突破し、国内IT市場の約6%を占めるほどにまで伸びてきた。さらに、情報セキュリティ市場は平均8.1%で成長するとも予測されている。

しかし、アクセンチュア株式会社の藤井仁志氏は「セキュリティ市場には圧倒的に人材が不足している」と現状を指摘する。同社では「セキュリティ対策」を「単にテクニカルな対策が必要な事象」とは考えていない。「セキュリティ対策」とは「ビジネスの課題」でもあり、その課題を解決するために「セキュリティコンサルタント」が必要になると捉えているのだ。

そこで本稿では、このセキュリティコンサルタントの活動について、アクセンチュアの藤井さんにお話を伺った。

藤井仁志

藤井仁志(ふじい・さとし)/アクセンチュア株式会社 セキュリティ マネジング・ディレクター。防衛大学校卒後、陸上自衛隊に入隊。その後、SIerやコンサルティングファームでの勤務を経て、2008年にアクセンチュアへ入社。

日本はセキュリティの「後進国」?

− まず、日本のセキュリティ市場の現状について教えてください。

藤井 日本におけるセキュリティに対するニーズは、世界的に見ても高いですね。実際にそういったレポートもありますし、市場規模は9200億円ほどに成長しています。

「セキュリティ」と聞くと「セキュリティ対策ソフト」を思い浮かべる方が多いと思います。しかし、そうした「ツール」は実際には9200億円のうち約半分ほど。残りの半分はコンサルティングを始めとする「サービス」です。

私たちアクセンチュアが手掛けているセキュリティの領域は、主にコンサルティングです。つまりサービス、人を供給するわけですね。しかし、有用な人材を供給することで、お客様のセキュリティ課題を解消し続けられるかと言えば、それは難しいと思っています。

− それはなぜでしょうか?

藤井 サイバー攻撃を行う人、あるいは集団は「本気」だからです。日本で「ハッカー」と聞くと、ちょっとした悪ふざけで攻撃する人を思い浮かべるかもしれません。

しかし、最近はサイバー攻撃によってお金を稼ぐことができたり、政治的な意思を表明できたりするわけです。こうした本気の人たちと戦うために専門知識を持っている人材を供給し続けるのはとても難しいことです。実際に、2016年の段階でセキュリティ人材が約13万人不足しているという経産省の統計も発表されています。

しかも、セキュリティ対策はそれ自体がお金を生み出すわけではありません。ですから、どうしても付随的なものとして捉えられてしまっている現状があると思います。

− さきほど「日本は世界的にもセキュリティニーズが高い」と伺いましたが、それでもあまり重要視されていないということでしょうか?

藤井 残念ながら「ウイルス対策ソフトを入れますよ」「ネットワークセキュリティソフトを使いますよ」と、ツールを導入することが目的になってしまっているのが実態だと思います。「セキュリティとして守らなければいけない要件」と「その要件を実現するための対策とその結果の期待値」が、きちんと区別されずに語られてしまっていることが多いですね。

グローバル情報セキュリティ調査によると、「日本企業の情報セキュリティへの投資額」は、「グローバル企業の情報セキュリティへの投資額」の半分くらいしかありません。「セキュリティ先進国」とはとても言えない状況なんですね。

ツール導入することで動き始めるのは確かですが、今何が起こっているのかを分析して、自分たちの会社に対してどのようなセキュリティの脅威があるのか、その脅威にはどのようなリスクがあるのか、それに対して正しく対処できているのかまでは見極められておらず、セキュリティの成熟度が上がっていないわけです。

求められる「疑う力」

藤井仁志

− アクセンチュアでは情報セキュリティにどのように取り組んでいるのでしょうか?

藤井 私たちはセキュリティツールを単に入れて終わりにするのではなく、ツールを入れた後にどのような運用をしていくのまできちんと考えるコンサルティングサービスが必要だと考え、提供しています。もちろん、運用まで考えるということは、お客様の要件に合わせて設計から考えるということでもあります。

先ほども申し上げましたが、現在既にセキュリティ人材が不足していて、人材を配給し続ける形のサービスではいずれ破綻してしまうでしょう。ですから、新しいテクノロジー、例えば機械学習の力を使いながら、人手を増やさなくとも一定のレベルのセキュリティが保てる仕組みをご提案していく仕事も必要になってくるわけです。セキュリティは直接の売上を生むものではありませんが、安心してビジネスをしていただくための最適なセキュリティ対策を、テクノロジー、業務プロセス、それらを動かす組織・体制の3つの観点から具体的に提言することで、ビジネス上の使い勝手を担保しながらビジネスに貢献します。これが私たちの考える「セキュリティコンサルタント」なんです。

− お客様からはどのような相談が寄せられるのでしょうか?

藤井 ビジネスを拡大している中でセキュリティ運用に取り組める人手が不足している、海外展開にあたってセキュリティの運用体制をつくる必要がある、などの相談がありますね。

また、今は外からの侵入を防ぐというだけではなく、一度入ったら攻撃がどんどん広がってしまう時代です。「守りきれる」という発想そのものを捨てていただいて、「中に侵入されたときにどのように対処するのか」という問題に対応するCSIRTのようなチームを立ち上げた案件もありますね。

− セキュリティコンサルタントにはどのようなスキルが求められるのでしょうか?

藤井 「コンサルタントの思考」が必要だと私は考えています。セキュリティ対策とは、仮説を作って、実際に検証してみて、必要となるソリューションまできちんと落とし込むというプロセスです。

多くのエンジニアの方はそのプロセスの後半部分は得意にされていると思います。私自身もエンジニアの出身なのですが、エンジニアの思考で進めると「問題を解決するには、このソリューションを使う他にない」というソリューションを中心とした発想で物事を進めてしまいがちです。しかし、そのやり方では思わぬところにある落とし穴に気が付かずに、対策ができていないことがあるのです。

ですから、セキュリティコンサルタントには目的、ゴールを何度も検証した上で、そこから課題の設定と仮説を構築する力が求められると思います。

− どのようにすればそのスキルは身につくでしょうか?

藤井 「疑うこと」です。「このソリューションを入れたら、何でも解決する」と思わないことが必要なんです。

エンジニアの方は、全体を見渡して仮説・検証をする機会が多くはありませんし、どうしても対策そのものに意識が行きがちなものですが、「なぜこの要件なのか」を考える機会を増やし、仮説・検証する経験をつめば、具体的で有益なセキュリティ対策を提案できる人材になれると思いますね。

− 最後に、セキュリティコンサルタントの業務に興味をお持ちの方へメッセージをお願いします。

藤井 お客様からは対策について求められると思いますが、ツールひとつひとつに詳しくなるのではなくて、「セキュリティって大丈夫なの?」という大きな問いに答えられるような意識を持って欲しいと思います。お客様の相談にどのような要件があって、その要件にはどのような対策があるのかと考えられる人が増えてきて欲しいのです。

今は東京オリンピック・パラリンピックという大きなイベントやIoTによる新たなビジネスモデルの登場に伴うセキュリティ懸念の増大もあり、セキュリティ投資、市場は大きな盛り上がりがあります。しかし、セキュリティの本質を理解している人が増えていかないと、見えない脅威はどんどん大きくなっているにも関わらず、その脅威が見えないが故に「あれ?このセキュリティソフト、サービスって必要ないんじゃない?」と、セキュリティ市場そのものが縮小する可能性もあるわけです。

私たちアクセンチュアはコンサルティングだけの会社だと思われがちですが、システムの導入や、アウトソーシングされたシステムの運用の業務も行っています。セキュリティは確かにシステムの話でもあるのですが、私たちは上流工程から下流工程まで一気通貫で考えることができるのが強みであり、またそれがおもしろいところだと思います。

セキュリティというテーマに対して、「対策だけ」「コンサルだけ」ではなく、「セキュリティ市場全体を盛り上げて、安心して生活やビジネスできる環境の実現にご自身が影響を与えたい」と考えている方と是非一緒に取り組んでいきたいですね。

求めるポジション

「このポジションに興味がある」を押すと

ご自身のプロフィールを企業担当者に伝える事ができます。

企業担当者があなたのプロフィールを確認した後、求めるポジションとのマッチ度合いが高い場合は直接メールが届きます。ただし、マッチ度合いが低い場合はメールが届かないことがありますのでご了承下さい。

プロフィールを伝えてからの流れは以下のようになります。

1.プロフィールを伝える
「このポジションに興味がある」ボタンを押すと、プロフィールを入力する画面が表示されます。必要事項を入力し送信して下さい。
送信した内容は企業の担当者のみ閲覧でき、他のユーザーには一切表示されません。
2.企業担当者よりメール連絡を受け取る
あなたのプロフィールに企業担当者が興味を持った場合、メールで連絡が届きます。プロフィールを伝えた全員が必ず連絡を受け取れるわけではありません。
3.企業担当者から話を聞く
企業担当者からの連絡があなたと話をしたいと言う内容であれば、直接もしくは電話などで具体的な話を聞いてみましょう。

セキュリティ イノベーションコンサルタント

掲載企業
Accenture Security
ポジション
ITコンサルタント・システムコンサルタント
雇用形態
正社員
業務内容
日々セキュリティに対する脅威は高度化・洗練化されています。それに対するセキュリティ製品・ソリューションも日々開発されてはいるものの脅威をコントロールできるまでには至っていません。システムを守るために全力で戦っているセキュリティ・プロフェッショナルもその絶対数は不足し、技術力も不足しているのが現状です。

「これまでのセキュリティ対策の延長線上には明るい未来はない。」 

これが我々アクセンチュア・セキュリティが抱える問題意識です。その解決には、従来から提供しているテクノロジー、プロセス、人を対象としたセキュリティ診断とその結果に基づく変革戦略・計画の策定、セキュリティシステムの設計・構築、限られた範囲でのマネージド・セキュリティサービスの提供だけでは不十分であり、この領域に新たなイノベーションを巻き起こすことが不可欠であると考えています。
 具体的にイノベーションが必要なテーマ(例)としては、以下のようなものです。
・セキュリティに関するリスクの定量化とそのリスクに応じたリスク管理手法の適用
・ITに偏重から脱却しデジタル時代に対応した、Operational Technologyまでをカバーするセキュリティシステムの導入
・人海戦術を脱却するための機械学習・深層学習を活用した脅威分析・予知を基にしたセキュリティ運用
・国内でのセキュリティ人材確保が困難であることを踏まえたグローバル人材の活用

セキュリティの強化には組織カルチャーの変革を含むチェンジマネジメントも重要な要素です。技術面に加え、新たなセキュリティに対する意識・行動を、個々の組織の特性を踏まえ確実に組織に根付かせることもセキュリティ担当の職務内容となります。

アクセンチュア・セキュリティでの職務内容の一例は以下のようなものになります。
・グローバル展開している事業会社・グループ会社に対する全社セキュリティ戦略、セキュリティエンタープライズアーキテクチャの策定
・海外のホワイトハッカーチームと連携した脆弱性診断、侵入テストの実施と、改善ロードマップの策定
・CSIRT(Cyber Security Incident Response Team)を含むセキュリティに関する組織設計
・ 高度化する脅威に対するための最先端技術調査とその適用に向けた運用設計、マネージドサービス利用の検討
・ システム開発者、システム運用者、およびシステム利用者と連携したチェンジマネジメントの実現
・ IoT、FinTechといった最新ソリューションを安全に利活用するためのセキュリティ施策の立案

弊社では、上記に挙げたクライアントの個々のセキュリティ課題の解決支援に留まらず、クライアントのトラステッド・パートナーとして、IT全体を全面的に支援することが多いのも特徴です。このため、セキュリティ技術だけではなく、クライアントのビジネス理解に基づき、そこに潜在する脅威・脆弱性、およびリスクを最適にコントロールできるよう、弊社内の国内・グローバルの別組織を含むチームメンバや、クライアント企業の業務ユーザ部門、システム部門、各ITベンダなどとコミュニケーションを行いながら、セキュリティ領域の枠を超えたコンサルティング業務を提供するのが特徴です。

プロジェクト例
・グローバル製造業業界向け、脆弱性診断・侵入テスト、およびセキュリティロードマップの策定支援
・官公庁業界向け、セキュリティ診断、およびセキュリティ・エンタープライズ・アーキテクチャーの策定支援
・グローバル金融業界向け、セキュリティマネージドサービス導入支援
・製造業業界向け、全社セキュリティ教育の導入支援"
条件
【Basic Qualifications;】
・学部卒以上
・ITシステムに関するコンサルティングもしくは、企画立案の経験3年以上
・コミュニケーション力(日本語・英語)

【Preferred Skills】
以下いずれかに該当する経験を2つ以上有すること
・ISO27000、PCI DSS、FISC安対基準、セキュリティ統一基準群等に準拠したセキュリティ監査の経験
・セキュリティ戦略立案、セキュリティエンタープライズアーキテクチャの策定に関するコンサルティング経験
・脆弱性診断ツール、侵入テストツール等を用いたシステムセキュリティ診断の経験
・セキュリティ製品、ネットワーク製品に関する技術動向調査、製品選定に関する経験
・セキュリティ運用における改善提案、およびその改善提案の定着化推進に関する経験
・海外拠点等を含むGlobalセキュリティシステムの設計・構築・導入・展開経験3年以上
・Analytics、機械学習・深層学習を用いたシステム導入の経験
・CISSP、CISA、CISM、IPA セキュリティスペシャリスト、IPA シスエム監査技術者等セキュリティに関する資格保持者

【Professional Soft Skills】
・論理的思考能力
・多文化環境での活動に積極的に取り組むことが出来る方
・タスク管理力/自己管理力のある方
・責任感の強い方
年収
600万~1500万

関連するイベント

その他コラム

データ分析のリーディングカンパニーでエンジニアを輝かせるチームマネジメントとは?
インタビュー ポジション掲載中

データ分析のリーディングカンパニーでエンジニアを輝かせるチームマネジメントとは?

株式会社ブレインパッドは、2004年の創業以来、データによるビジネス創造と経営改善に向き合ってきた企業だ。国内最大規模のデータサイエンティスト集団を抱え、一般社団法人デ...

Python MySQL Apache Spark TensorFlow Webマーケティング

株式会社ブレインパッド

フォローする
フォロワー154人

Accenture Security

アクセンチュアは、全世界に37万人超の世界最大規模のコンサルティングファームとして、「ストラテジー」「コンサルティング」「デジタル」 「テクノロジー」「オペレーションズ」の5つの領域で幅広いサービスで ビジネスを展開しており、顧客や株主に持続的な価値を提供できるよう支援しています。 業界や業務プロセスについての専門知識と技術力を背景に、ビジネスとテクノロジーの新しい動向をとらえ、世界中でお客様を支援するソリューションを創造しています。 その中でアクセンチュア・セキュリティでは、Clientの個々のセキュリティ課題の解決支援に留まらず、トラステッドパートナーとして、IT全体を全面的に支援しているチームです。 下記のような志向をお持ちの方に、私たちの考えるsecurityの未来、提供しているコンサルティングサービスをご紹介していくコミュニティです。 ・セキュリティがビジネスにどう影響していくかの理解をより深めたいと思っている方 ・セキュリティ予算の獲得やセキュリティ対策を行うため社内調整に難しさを感じている方 ・セキュリティ技術には自信があるものの、それをどうビジネス上の難題な課題の解決に活かすかを悩んでいる方 ・セキュリティエンジニアとセキュリティコンサルタントの業務の違いをより明確に理解したいと思っている方