200名を超えるリソースとケイパビリティで、PwC Japanグループのサイバーセキュリティビジネスを牽引するPwCコンサルティング合同会社のDT(Digital Trust)チーム。デジタル時代の信頼(Trust)構築にむけて、サイバーセキュリティ、プライバシー、データ安全性、信頼性などさまざまな観点でお客様を支援しています。
今回は、DTチームをリードするパートナーの辻大輔様より、チームの組織概要や強み、次世代のサイバーセキュリティを見据えた独自戦略、マーケットからの期待感や、同チームでのキャリアパスなどについてお聞きしました。
200名以上のサイバーセキュリティ専門家が集うDTチーム
井内
まずは、辻様のご経歴、現在のご担当領域についてお聞かせください。
辻様
私は新卒から20数年間にわたりサイバーセキュリティに従事しています。もともと、スタートアップ企業のサイバーセキュリティエンジニアとして働いていたのですが、自分の最終キャリアを想像したとき、「もっと大きな設計を描いてみたい」と思うようになり、コンサルタントへのキャリアチェンジを決意しました。そして、既にPwC Japanのメンバーだった知人から声を掛けていただいたことがきっかけで、30代前半から当社に参画しています。
現在はDTチームのパートナーとして、新規サービスの開発やエンジニアリングチームおよびホワイトハッカーの統率、そして、人事評価や人材育成など、スタッフに対するケアなどの役割も担っております。
井内
サイバーセキュリティ一筋でいらっしゃるのですね。
続いて、DTチーム様の組織体制やサービス内容について教えていただけますか。
辻様
私たちDTチームは、PwCあらた有限責任監査法人(以下、PwCあらた)のSPA(システム・プロセス・アシュアランス部)と共に、PwC Japanのサイバーセキュリティビジネスを担っています。
DTチームには210名程が所属しており、セキュリティ業務を提供する縦軸と、サービスカット(IT/OT/製品系セキュリティ/プライバシー)の横軸で組織を形成しています。
また、DTチームの中には3つのバーチャルグループがあり、約8割がコンサルタント、1割がサイバーインテリジェンス、そしてもう1割がエンジニアリングという構成になっています。
あらゆるサイバーセキュリティのナレッジを集約し、オーダーメイドでCISOの意思決定を支援
井内
DTチーム様は組織規模が大きく、サービスのカバー領域も広いご印象ですが、
その中での強みは何だとお考えでしょうか。
辻様
私たちは現在、「サイバーインテリジェンス」というサービスを提供しています。一般的にインテリジェンスという概念は、攻撃アクターのIPアドレスや手法などの特性をデジタル化してPCに入れておき、危険な通信があった際にアラートを発するといったセキュリティ運用の現場で使われています。
これに対して、私たちが使う「サイバーインテリジェンス」は、CISOが意思決定をするためのものであり、すなわち、単にPCを守るという技術的な対策だけでなく、自分たちの組織がどのように戦略を打つべきかという舵取りに必要な知見の集まりのことを指しています。この中には、他社の動向や業界の規制、将来の業界の変化や、どんな新しいソリューションが出てくるかといった未来予想なども含まれていて、私たちがコンサルタントとして、グローバルや産官学との連携で得た情報を1つにまとめてサービス提供に生かしているわけです。
サイバーインテリジェンスをうまく活用することで一貫性があり、かつ膨大なデータ量からお客様に必要な情報をお渡しすることができます。また、入社時に知見があまりない方でも、PwCのナレッジを存分に活用し、速やかにクライアントに有益な情報と、説得力のある資料を提供することができます。これが、私たちの最大の強みだと思っています。
井内
昨今のマーケット感にもフィットした、ビジネス上の優位性にもなる強力なサービスであるご印象ですが、なぜそういったサービスを提供するに至ったのでしょうか。
辻様
ここ10年におけるサイバーセキュリティ業界のグローバルスタンダードは、NIST(米国国立標準技術研究所)のSPシリーズといったセキュリティ対策集と自分達を比較して、足りない部分を補完していくというものでした。つまり、全く無防備だった人がある程度防御策を張るというものだったのです。
ところが、そういった対策を既に一通り入れているお客様の間で、インシデントや機能不全が表出するようになりました。なぜ、スタンダードを守っていてもインシデントが発生してしまうのか。そうした新たな課題に対し、私たちは「クライアントを脅かす脅威とは何か」を理解し、それをインテリジェンスというデータとして提供する必要があると考えました。
PwCにはグローバル全体とPwC Japanそれぞれにインテリジェンスを収集する専門の組織があります。これにより、お客様の会社を攻撃するグループやそのグループが得意とする攻撃パターンなどをデータ化し、最も有効的な防御方法をオーダーメイドでご提案することができます。
業種や業態、地域によって攻撃アクターも変わり、守り方も変わってきます。生のデータであるインテリジェンス情報を活用してお客様と戦略を練っていくことこそ、私たちのあるべき姿だと考えています。
井内
こういった取り組みも、DTチームがお客様に選ばれる要因になっているのですね。
辻様
そうですね。お客様にも「インテリジェンスを使ったちゃんとしたビジネスの提案を受けたのは初めてだ」と言っていただくことが多いです。
エンジニアがあらゆる危機を想定し対策する
井内
DTチームはエンジニアリングチームも備えているとのことですが、チームの特徴について教えていただけますか。
辻様
エンジニアリングチームの中にはアタックチームとディフェンスチームがあり、アタックチームは最新のサイバー攻撃テクニックの解析やその攻撃技術の開発を行い、ホワイトハッカーとしてシステムに疑似アタックします。ディフェンスチームは、最新のサイバー攻撃に対する防御方法やその被害を受けた際の対処方法について分析し、クライアントへの助言を行います。
こうしたエンジニアの分析結果を、データベースに入れることで、ナレッジを集中管理し、オープンなインテリジェンスとして昇華させています。
井内
こうした仕組みは業界全体にとって有益だと思うのですが、現状御社ならではの印象が御座います。その点、DTチームで実現できている要因はどこにあるのでしょうか。
辻様
要因ですが、新たな攻撃手法を捕捉するところにも投資がいりますし、リサーチャーやエンジニアなどの専門家がフルに関わらなければ価値のある情報に昇華できないため、中途半端に取り組んではまず実現できないと思います。
それでも私達が取り組んでいるのは、これが将来のセキュリティコンサルタントとしての価値の源泉だと強く認識しているからです。先ほどもお話しした通り、教科書に照らし合わせて対策する時代は終わり、企業ごとのリスクにちゃんと向き合って取り組まなければならない未来が近づいています。
国際的イベントのセキュリティアーキテクチャを描く
井内
最近ホットな案件など、チームのビジネス状況についてお聞かせください。
辻様
国際的イベントのセキュリティアーキテクチャを、先ほどお話ししたような方法で構築しています。アタックやディフェンスの方法、チーム編成などをブループリントから考えられるところにやりがいや楽しさを感じています。
井内
国際的イベントをご担当なされるというのは、DTチームの信頼の高さが伺えますね。
その他、工場、製品、プライバシーなどの案件に関してはいかがでしょうか。
辻様
工場系はまだセキュリティ体制を整えている段階なので、企業として最低限工場に必要なセキュリティレベルはどこなのかということを、その会社に合わせてビジネスを意識しつつ考えていくことが多いです。
製品領域は8割程が自動車関連です。最近では自動車自体がソフトウェアの塊といえる状況になっていて、私たちはこうした自動車のサイバーセキュリティの点検項目の脆弱性を探るなど、開発プロセス自体に対するコンサルティングなどを行っています。
プライバシー系は、これまではGDPR(EU一般データ保護規則)というのが欧州の法令に合致するための対応が非常に多かったのですが、今はデータ利活用の文脈での案件が多い印象です。
井内
魅力的な案件が多いですね。
辻様
DTチームはコンサル業界のサイバーセキュリティ領域でも規模が大きいと言えますが、その利点は、やはり獲得案件が多いことですね。その分、面白い仕事に出会える機会も多いですし、最先端の能力やナレッジを多く蓄積していくことも、私たちのチームの大きな強みだと思っています。
出向やコンテストでキャリアの充実を図る
井内
DTチームでは、お客様先に出向されるケースがあると伺ったのですが、その意図は何なのでしょうか?また、その他にチームメンバーの能力を向上させる特徴的な取り組みなどがあればお教えください。
辻様
ビジネスについてよく知らないことがキャリア形成の中で弱点になることがありますので、事業会社などの動きを把握させるという意味でも、出向の機会を設けています。
それ以外の取り組みとしては、PwCグローバルネットワークを活かした海外のメンバーファームへの出向や、AIとセキュリティというテーマでの大学との連携もあります(参考例:慶應義塾大学との「インテリジェンス連動型セキュリティメトリクス」に関する共同研究」)。
また、自動車用のソフトウェアと自動車を制御するためのクラウドを模倣した装置、いわゆる運転シミュレーターやスマートシティ・都市OSに関わるシステムを再現して、それを利用したCTF(Capture The Flag)というハッキングコンテストを国際規模で行っています。その他にも、国内最大級の情報セキュリティの国際カンファレンスに出展してハッキングコンテストを開催するなど、常に最新の攻撃手法を学習しながら業界の中で人脈を広げていくということにも取り組んでいます。
井内
セキュリティや業界のナレッジをキャッチアップするための研修や勉強会などもあるのでしょうか。
辻様
まず、勉強会自体は毎週行っています。他にも、専門家の最新のセキュリティトピックを聞くことができるラジオセッションや、アーカイブでいつでも動画をチェックできる研修会、e-Learningなどもそろっています。あとは、CISSPという資格を取りたいという若いメンバーのために毎年勉強会を開いています。外部の勉強会を受講しなくとも、社内で完結させることができるのが面白いところです。
井内
キャリアパスという観点で、辻様自体が意識して取り組んでいることや、スタッフに対してどういったケアをされているのかも宜しければお聞かせください。
辻様
一般的に、メンバーから不満が出るところはアサインメントだと思っています。ですから、入社後必ず1年間は、希望する業務に携われるようなアサインを心掛けています。新しい環境の中でも最大限のびのびと働いていただき、私たちの文化になじんでいただくことがその目的です。
また、1年過ぎるとビジネスを優先して業務を依頼することもありますが、それが長時間続かないように、アサインに対する本人の意向をヒアリングする機会を定期的に設けています。
組織全体として、アサインに対する不満や不公平感をなくすよう取り組んでいますし、なるべく皆ハッピーになれる運営をしたいので、「皆が楽しいと思える仕事を取ってこよう」とか「収益のよさだけで案件を受けない」という文化が根付いています。
横のつながりでまだ誰も解決したことがない課題に取り組む
井内
DTチームの組織カルチャーや雰囲気について教えてください。
辻様
私達のチームは透明性を非常に重視しています。毎月スタッフ全員で会議をして、ビジネスの状況や今後のターゲットを共有し、全員でアイデアを出し合って、全員が同じ方向を向くことができるようにしています。情報の貧富差がないようなオペレーションをしたいというカルチャーが、仲の良さを作り出していると思います。
井内
全体会議のお話が出ましたが、組織人数が200名を超えてくると統制を取ったり、カルチャーを維持したりすることが難しい部分も出てくると思うのですが、マネジメントのお立場から意識されていることはありますか。
辻様
そうですね。やはり大人数になると一人一人に目を配ることが難しくなるので、今は組織を8つくらいに分けて、そこでコーチングなどの人事評価を行っています。そのチームでイベントをしたり1on1をしたりして、全員の顔と名前、どんなキャラクターなのかをチーム内で理解して運営しています。
井内
実際のところワークライフバランスなどはいかがですか。
辻様
基本的に土日に働くことはありません。仕事を立ち上げて軌道に乗せるタイミングは忙しいので、残業になることもありますが、それも2、3時間ほどですね。そのタイミングを過ぎれば楽になってきます。働きすぎると人事から連絡が来ますし、PCの起動時間もモニターされていますから、実際は働こうと思っても働けない仕組みになっています。 また、育児休暇やリフレッシュ休暇も積極的に利用されていて、休みやすい環境が整っていると思います。
あとは、コンサルの現場で使えるレポートを作ってくれるチームがあり、例えばセキュリティの投資額や今業界ではどんな予算が組まれているかとか、そういうデータをプレゼンテーション資料として大量にストックしてくれています。DTチームのメンバーはその専門チームのおかげで、一からレポートを作る時間を削減できヘルシーに仕事ができています。
井内
ワークライフバランスを整えやすい仕組みをお持ちなのですね。
次に、DTチームでどのような方を求めていらっしゃるか、お聞かせ頂けますでしょうか。
辻様
私達のお客様は業界のトップランナーですから、彼らの課題は世の中の誰も解決したことがない、世界初の課題が多いです。このような新しい課題に取り組むのは、面白さにあふれています。セキュリティの仕事に魅力を感じる人、常に新しいことや刺激のある世界で自分を試してみたいと前向きな人にこそ向いていると思います。
井内
最後に候補者に向けてメッセージをお願いいたします。
辻様
これはPwCの企業文化だと思うのですが、X-LoS(クロスロス、Cross Line of Services)という言葉があり、法人や部門も超えて横でつながることが多いです。他のチームとのコラボレーションも、「面白いことをやろう」という気持ちで集まっていくわけですが、こうしたつながりが大事にされる環境です。
お客様に合わせて、色々な部門の人達を巻き込んでチームを編成していくことになるので、その辺もとても面白いと思いますよ。
