sponsored by デロイト トーマツ サイバー

技術的なコンサルティングのみならず、経営視点のマネジメントコンサルティングも提供しているデロイト トーマツ サイバー（以下DTCY）。サイバーセキュリティーを「企業が成長していくための経営課題」と捉えており、同社のサイバーコンサルタントに求められるスキルは非常に幅広い。事業に対する理解力、最新インシデントの分析力、そして広範な技術的知見。領域が広く、かつ専門性も高いスキルをどのようにして身につけていくのか。strategyユニットの松島氏、三浦氏の両名に、実際のプロジェクト事例も踏まえて話を聞いた。

グローバル化・デジタル化を推し進めるための「攻めのサイバーセキュリティー」

――おふたりは現在、どのような仕事を担当されているのでしょうか。

三浦：所属しているstrategyユニットの中でも特に経営戦略に特化した領域を担っています。クライアントの目指す経営を実現するためのサイバーセキュリティーを定義して、それを実行していく。日本ではまだ、セキュリティーというと守りやコストといった見方が強いのですが、その認識は正しくありません。

現代のコンシューマーは危機管理意識も高くなっていますから、しっかりしたサイバーセキュリティーに取り組んでいることをアピールすれば他社との差別化要因にもなります。逆説的な言い方になりますが、本格的に取り組んでいる企業が少ない今だからこそ、大きな差別化につなげることもできるわけです。

また、グローバルに目を向ければサイバーセキュリティーに対応していなければ取引さえできないという国も少なくありません。そう考えると、セキュリティーは海外進出に向けた攻めの要素の一つと捉えることもできます。

松島：私はプライバシー保護やガバナンス、つまり組織体制の構築を専門としたチームに所属しています。三浦さんの話にもつながりますが、最近ではヨーロッパの個人情報保護法にどう対応するかといった案件も多いですね。2018年5月に施行されたEU（欧州連合）のGDPR（一般データ保護規則）というルール。EU圏に拠点を持つ、またはEU域内居住者にサービスを提供するすべての企業に適用されるので、急激にニーズが高まっています。

新型コロナウイルスの影響で一時的に諸外国との往来が難しくなってはいますが、グローバル化・デジタル化の流れが止まることはないでしょう。DTCYに求められる役割が今後さらに増大していくことは間違いありません。

――DTCYの強みはどのようなところなのでしょうか。

松島：一言でいうと総合力。この言葉に尽きると思います。サイバーセキュリティーは非常に幅広いスキルや知識が求められるので、一人ですべてに対応できるという人はほとんどいません。三浦さんのように経営戦略から考える人や、私のようにレギュレーションを守るための体制構築やインシデント対応を専門とする人もいます。

別の角度から見ればクラウドセキュリティー、ネットワークセキュリティー、アプリケーションなど、コンポーネントも幅広い。だからこそ、様々な領域のプロフェッショナルが集い、ワンチームで価値を提供するDTCYの総合力が大きな強みとなるわけです。

クライアントから自分の専門外の相談を受けたとしても、社内の有識者にいつでも相談できます。必要であればデロイトの海外メンバーファームに連絡を取り、各国の先進的な知見をヒアリングすることもできます。これだけの総合力を持ったファームはなかなかないのではないでしょうか。

三浦：その通りですね。サイバーは新しい領域なのでゼロベースで解を考えることも多いのですが、やはり考えるための基礎となる材料が多いに越したことはありません。国内、海外の様々な知識を融合させて新たな解を生み出していく。クライアントにとっても価値のある仕事ですし、私たち自身も学びがいがあり大きな成長を感じるプロセスです。

松島さん（写真左）と三浦さん（同右）

経営陣だけでなく、現場も巻き込みながらクライアント全体を変えていく

――具体的なプロジェクト事例について教えてください。

三浦：製造業のクライアントから、今後「デジタル」を事業の軸に据えるためのセキュリティー戦略を構築したいという相談を受けて、目指すべきゴールとロードマップを策定しました。多くの場合、まずはクライアントの現状分析からスタートします。

今回のケースではITセキュリティー、工場セキュリティー、製品セキュリティーという3つの観点でチェックしました。すると工場と製品はほぼ何も取り組めていない状態だったため、ゼロから構築する形となりました。工場セキュリティーが担保されていない状態のままだと、製品を組み立てる際に何かしらの脆弱（ぜいじゃく）性が混入しても不具合を検知することができません。

コンシューマーに渡った後に不正確な動作が起きて危害を与えれば企業にとって致命的な出来事になりかねません。また、取引先企業もセキュリティー面はチェックしていますから、関係構築ができず事業を拡大できないというリスクにもつながります。

――先ほどグローバル企業が特に気にするとおっしゃっていた点ですね。

三浦：その通りです。今回は特に中国への進出に注力しています。2017年に「中華人民共和国サイバーセキュリティー法」という非常に厳格な法律が施行され、それを順守していなければ中国で事業展開することはできません。DTCYには中国やアジアのプロフェッショナルもいますから、彼らと連携しながら中国の法律に準拠するためのアクションプランを策定していく予定です。

――プロジェクトを進める上で大変なのはどのようなところでしょうか。

三浦：今回の案件に限った話ではありませんが、クライアントの社内理解を得にくいことですね。先ほどお話しした通り、日本ではサイバーセキュリティーを守りの投資だと誤解しているケースが多いので、もっと他の領域に投資すべきだという声があがることもあります。

経営陣と私たちでどれだけ戦略を描いても実行を伴わなければまったく意味がないので、現場の方々と議論しながら納得していただくというアクションも非常に重要です。

松島：私が直近で担当したプロジェクトでも、セキュリティーを統括するカウンターパートだけでなく現場の方やマネジメント層の方にご理解いただくことには力を注いでいます。「こういう成長戦略を考えているので、ここは協力していただけないでしょうか」と丁寧にご説明していきました。コロナウイルスの関係で今は一時的にストップしていますが、グローバル企業なので、諸外国の拠点にもプレゼンに行ってほしいと言われています。

 

常に“なぜ”を追求し、極限まで思考力を高めていく

――松島さんのプロジェクト内容も詳しくお聞かせいただけますか。

松島：クライアントは自動車業界の企業です。この業界は100年に1度といわれる大変革期で、ルールや規制も世界的に変化しています。そういった規制に対応するための組織体制と、万が一何か起きた時にどう対応するのかといった社内ルールの構築を担当しました。

たとえばICT機能を有したコネクテッドカーが近年話題になっていますが、インターネットを介して様々なものとつながるようになる以上、当然そこにはセキュリティーリスクが生まれます。現代における新しい事業やサービスは、ほぼ必ずITやICTがベースになっています。そのため、新事業に挑戦するための攻めのツールとしてサイバーセキュリティーを見直したいというニーズは増えていますね。

――クライアントの社内理解を得るところ以外にも、難しかった点はありますか。

松島：ルールや規則への対応は、書かれていることを守ればいいだけだと思われるかもしれませんが、実はそう簡単ではありません。どんなレギュレーションも、解釈の余地が非常に大きいのが実態です。それに対して、クライアントの意向や投資できる予算感とも照らし合わせながらどこに線を引くかを決めていく。難しい議論ではありますが、それこそがコンサルタントの腕の見せ所でもあります。

たとえば道路交通法で自動車は信号の停止線で止まることになっていますが、停止線のどこで止まるかは具体的には書かれていません。停止線の手前で止まるべきか、その場合直前なのか数十センチ手前なのかなどの議論が非常に数多くあるわけです。最初から最も安全な方法をとるケースもありますし、それだとコストがかかりすぎるのでいったんミニマムからスタートして、数年かけてセキュリティーレベルを高めていくという手法もあります。

――クライアントにとって重要で、だからこそ難しい仕事だと感じます。この仕事にはどんな人が向いていると思いますか。

三浦：知的好奇心が強く、前例のない答えを作りたいという方には向いているのではないでしょうか。いわゆる戦略コンサルティングという領域は、多くのメソッドやノウハウが世にあふれています。しかし、サイバーセキュリティーの世界はまだ誰も答えを持っていない課題に対峙（たいじ）するケースがほとんどです。

書籍もなければ経験者もいない。グループに蓄積された知見を基にしつつ、自分自身がゼロベースで考えて、手探りで挑んでいくしかありません。それを面白いと捉えられる人ならきっと活躍できると思います。

松島：まさにその通りですね。あらゆることに正解がないので、「これは何ですか」という聞き方はできません。「私はこう考えたんですけどどう思いますか」と聞かなければ、何も前に進まないし成長することもありません。

そういう意味で、常に自分自身の意見を持っていることが重要なのではないでしょうか。それが正しいか間違っているかはどちらでも構いません。意見があって、その理由を説明できることがベースにあれば、あとは成長していけばいいだけの話ですから。

――まだ誰も知らない領域で正解を導き出す。どうすればその力を身につけられるのでしょうか。

三浦：日ごろから「なぜ」という問いを立てることが重要だと思います。たとえば駅を歩いていると多くのデジタル広告が目に入りますが、なぜこのデザインやキャッチコピーにしたんだろうと考える。ターゲットや訴えたいポイントについて自分なりに想像するわけです。常に“なぜ”を追求することで、思考力が磨かれていくと考えています。

松島：結局キャリアにも答えってないですよね。どういう道を進めばベストかなんて誰も教えてくれません。自分がやりたいことを自分で決めて、それを自分が実行していく。仕事も人生も、自らの手で切り開いていくことが重要だと思います。

仮でもいいので目標を決めて、そこに向けてベストを尽くす。ダメだったり違う目標が見えたりすれば、そこから軌道修正すればいいだけです。その繰り返しで、人は成長するのではないでしょうか。