PwCコンサルティング合同会社/PwCサイバーサービス合同会社

PwCロゴ
PwCお二人の写真

コンサルティングサービスを提供する国内最大規模のコンサルティングファーム、PwCコンサルティング合同会社。今回は、サイバーセキュリティ領域を担当されている Cyber Security & PrivacyチームのPartner 外村慶 様と、技術面からサイバーセキュリティの支援をするPwCサイバーサービス合同会社(以下PCS) Partner 星澤裕二 様に、アクシスコンサルティングの洲脇豪人と久保浩一がお話を伺いました。文中の情報及びデータ等は2018年11月現在のものです。

目次
  1. サイバーセキュリティの大きな変化
  2. コンサルティング×テクノロジー×監査 総合力のPwC
  3. クライアントの課題の本質に迫れるのがPwCの醍醐味
  4. 優勝できるチームにしたい
  5. クライアントへの責任感に共感し、成長を望む方に来て欲しい
  6. PwCコンサルティング合同会社/PwCサイバーサービス合同会社 求人情報

サイバーセキュリティの大きな変化

洲脇
まずは星澤様と外村様、それぞれのご経歴からお話をお伺いします。

星澤様
98年からセキュリティの領域で20年程キャリアを積んでいます。
それまでSEでしたので、IT業界に26-7年身を置いていることになります。
セキュリティでいうと、ウイルス対策ベンダーでウイルスを解析し、所謂パターンファイルや定義ファイルと呼ばれるものを作るチームを率いていました。その後、セキュリティ製品のスタートアップを作り独立し、フィッシング対策や不正送金対策の製品を作っていました。その後PwCにJoinし今はPCS(PwC Cyber Services)のリーダーとしてクライアントにサイバーセキュリティに関わるサービスを提供しています。

外村様
私はPwC、且つコンサルタント歴は1年と少しです。それまでのキャリアとしては大学を卒業して以来30年弱、ソフトウェアやサービス、SIもやりましたし、研究所にいたこともあります。IT業界では一通りのことはやってきたつもりです。このキャリアの集大成という意味でコンサルティングファームでのキャリアを選択しました。セキュリティでいうと10年程です。ここ10年でセキュリティは大きく変わってきていて、たまたまその中に自分が居られたというのは、結果的に非常に有意義だったと思います。

洲脇
セキュリティのトレンドや現在のマーケット状況はいかがでしょうか。

星澤様
私は20年程この業界にいますが、20年前はほとんどの企業がウイルス対策ソフトを導入しておらず、そもそもどうやってウイルス対策ソフトを売ったらいいのかが分からない状況でした。ウイルスも数ヶ月に1回大きいものが出ればいいくらいでした。今みたく、毎日何万種類も新種のウイルスが出るような状況ではなかったので、状況が全然違います。10年位前からの変化ですと、お金目的の攻撃者が増えてきて、金銭を得るために攻撃を仕掛けてくることが多くなってきていると思います。20年前はどちらかというと技術力を誇示するために派手なウイルスを作るということが多かったですね。
その時代時代で技術が進化し、それに伴って攻撃の技術も変わってきているという感じはします。

外村様
あとは環境の変化も大きいです。10年前は日本にまだAWSがない位です。そこから今、AWS にしろAzureにしろ、クラウド環境というのも全然違い、当然セキュリティの領域も本当に広く複雑化しています。その環境の変化に一番敏感についていかなくてはいけないものの一つは、やはりセキュリティなのです。
ものすごく柔軟に考えていかなければいけないところがセキュリティ技術そのものでもあり、人の体制や組織等、テクノロジーを使う人の部分も考えていかなければいけない。
すごく変わらなければいけないところと、オーソドックスに変わらないようなところ、両サイド、コンサルティングというのはあると感じています。

久保
金銭を得たくてアタックする人が増えているというのは、それはアタックして欲しいと発注する人たちが裏でいて、それをやるハッカーがいるということでしょうか。

星澤様
そうです。現在は分業化が進んでいて、ツールを作成して攻撃をする人、盗んだものを売買する人、買ったものを使ってまた別の攻撃をする人等、サイバーの攻撃者のエコシステムのようなものができています。ある調査によると、年間12兆円がそこで動いているという話もあります。一方で防御する側のセキュリティ対策の投資は8兆円ほどという調査結果があります。攻撃者と守る側の資金力がまず圧倒的に違っていて、攻撃者が有利な形になってきています。

久保
それに対して、アタックされるであろう対象者側の意識は変わってきているのでしょうか。

星澤様
以前までは、情報システム部のOA環境、そこに対するセキュリティがメインでした。
セキュリティ対策の成熟度という意味でも様々あったのですが、当然役員レベルまでいくと意識の高低が大きかったです。ただ、これだけ実被害が多くなってきており、役員レベルまで含めて意識レベルがかなり高くなってきています。それが中小企業も含めて波及しており、ようやく全体的に成熟しだしている、というのが現状だと思います。
ただ、これまでは情報システムのセキュリティをなんとか成長させてきましたが、そこを解決する手前から、自分たちで作るプロダクトや会社施設のセキュリティ等、新しい領域のセキュリティも考えなくてはいけなくなってきています。そこがクライアントサイドから見ると、ものすごく大変になっていると思います。

洲脇
全ての製品がサイバー空間につながる世界になってきています。

外村様
いわゆるIoTの世界です。車にしても、電化製品にしても、結局繋がらないものはなくなってきています。ということは、通信をするし、そのためのソフトウェアがあるということです。セキュリティの問題を抱える局面が本当に広がっています。

洲脇
それだけ脅威が広がってくるという中で、どのようにその対策を広げているのでしょうか。

星澤様
基本的に新しい技術や仕組み、インフラ等が出てくるとそこに対する脅威が必ず出てくる状況は、ここ20年変わっていません。我々も、最先端を常に押さえていかなければいけない。私も以前はスマホのアプリが出て、リリース初期の段階で脆弱性を調べ始めたりしていました。新しいものに対して興味を持っていかないと、中々キャッチアップはできないと思います。

星澤様

PwCサイバーサービス合同会社 Partner 星澤裕二 様

コンサルティング×テクノロジー×監査 総合力のPwC

洲脇
御社のなかでのサイバーセキュリティはどのような位置づけなのでしょうか。

外村様
PwCグローバル全体で三大イニシティチブが定められており、その一つがセキュリティです。
昨年も同様でしたので、会社としての最中力領域として考えています。
投資もしていますし、日本だけでみても高い成長率を記録しています。

洲脇
PwCグループとして、サイバーセキュリティで2年連続リーダーポジションという記事が最近出ました。御社の強みをお聞かせください。

外村様
我々はテクノロジーコンサルティングのカテゴリーの中なので、当然テクノロジーに特化しております。一方、その反対側のガバナンス系の観点でもサービスを提供しております。クライアントの観点でみると、エンタープライズ向けもやれば、ニッチで特殊な領域もやる。この4極を万遍なく網羅しているのは大きな強みだと思います。
例えば自動車メーカーを考えたとき、会社自体はエンタープライズで、そこに対してガバナンスを効かせるというコンサルティングも必要です。一方製品を見ると、コネクティッドカーのセキュリティといったニッチな部分も考えなければいけない。あらゆる方面を高いレベルでサポートできるのは大きいです。
ニッチなところでいうと、星澤のところでやっているハードウェアハッキングは本当にニッチで、はんだごてではんだを剥がすところからやっていたりします。

星澤様
ハードウェアハッキングは、最終的にはソフトウェアのハッキングに繋がるのですが、まず感染したハードウェア機器を持ってきて、まず外からどうやってアクセスできるのかを見て、それができないと今度は分解して基盤を見て、基盤にポートやケーブルがさせるようなところがあると、そこからソフトウェアを抜き出せないか、というチャレンジをします。それでもできないと、最終的にはチップを外してチップ自体からプログラムを呼び出すということをします。チップは基盤にはんだづけされているので、はんだを溶かして剥がし、そのチップをリーダーに取り付けて、そこからプログラムを吸い出すということです。

洲脇
イメージしていたエンジニアとは違いますね。

外村様
まさにテクノロジー、ニッチの領域ですよね。はんだごてを持っているかと思いきや、CIOレベルに対してセキュリティの組織を作っている。もっと言うと、どのような規程を作るべきか、というところをやったりもします。

洲脇
振れ幅が大きいですね。

外村様
本気でセキュリティを考えるなら、全部必要なことなのです。我々はあまりサービスメニューを作らないです。なぜかというと、サービスメニューは作った途端にコモディティ化して、真似ができるものになります。ハードウェアハッキングも、それをやろうと思って作ったのではなく、クライアントに必要だからやっているだけです。幅広く領域を押さえたところで、どこからどこまでやるかというルールは特にない。それが、本当のコンサルの醍醐味であり、面白いところですね。

久保
コンサルティング業界の中で御社の立ち位置としては、PCSという組織があることが大きな特徴だと思います。具体的なコラボレーション例をお伺いします。

外村様
代表的には、先ほどのハードウェアハッキングが挙げられます。あと、星澤のところで研究所をもっており、そこがすごく尖ったものをやっています。1年後くらいには世に出せると思います。

星澤様
国プロ系の調査研究案件をやっているので、これから先の脅威や、今すでにある脅威の中でもそれを長期的に観測してみてどういう変化が起きているのか、というのを調べたりもしています。今のサイバーの攻撃者の現状や次にどのようなことが起きるのかが分かったりするので、そこから得られた知見をもとにソリューション開発につなげたりもしています。具体的にいうと、我々がレッドチーム演習と言っているもので、いわゆるホワイトハッカーになり、クライアントの環境を攻撃してアセスメントをしていくというのは、もともとはその調査研究で進めていたものをベースにサービス化してやっているものです。

久保
御社の出されているレポートを拝見すると、特に日本企業はまだまだセキュリティへの投資の意識が薄いというのが垣間見れます。コンサルティングという経営の上の方から入ることでクライアントの意識を変え、技術の話まで繋げていけるイメージもあるのでしょうか。

外村様
それはあります。あとは、監査チームとの連携も多く、そこがシステム監査という違った目線で見ることでクライアント側も比較的わかりやすい範囲で納得してもらいやすいです。
監査でやらなければいけないことを明確にし、+コンサルティングでさらに発展させていくためにはどうすれはいいかを考える。技術部分も先進的なメンバーがカバーしてくれている。三位一体となったコラボレーションが凄くあります。これは、かなり噛み合っていると思います。

外村様

PwCコンサルティング合同会社 Partner 外村慶 様

クライアントの課題の本質に迫れるのがPwCの醍醐味

久保
外村様はテクノロジーベンダーにもいらっしゃいましたが、貴社に来たことで広がったことはありますか?

外村様
やはりきちんとコンサルティングができる、ということだと思います。
先日、とある業界のクライアントで大きなインシデントが起こり、セキュリティを見直したいという依頼を受けました。セキュリティの見直しだったのですが、中身をみると買収してきた先のセキュリティが黒かったのです。わかりやすく言うと、自社は白だったのに黒と一緒になったから灰色になってしまった、ということでした。灰色になったものをもう1回白くしようというセキュリティ対策を考えるのですが、そもそも考えてみたら黒色が混ざったところが問題であり、黒のうちにセキュリティ対策を打つべきだったのです。そう考えていくと、セキュリティ対策というよりもM&A時のデューデリジェンスの規定をきちんと作らないといけない、という話になります。これはITコンサルだと在り得ない展開の仕方です。
デューデリジェンスの深いところにいくとM&Aに特化したグループ内のチームとの連携、場合によっては税理士法人との連携等、様々な角度からクライアントの課題の本質に迫れるのはPwCでの仕事の醍醐味ですね。

洲脇
技術バックグラウンドでキャリアを歩まれてきて、御社に来たメリットはどういう時に感じられますか。

星澤様
研究部分については前職でも近いことをやっていたのですが、そこからもう少し幅を広げて、コンサルティングのプロジェクトの中に研究要素があったり、技術的な要素を組み込むというようなことは過去にはやっていなかったので、幅が広がったのは感じています。

外村・星澤様

優勝できるチームにしたい

洲脇
チームの雰囲気についてお伺いいたします。

外村様
前職で成功した人が、何かもっとチャレンジしたいと言ってPwCの門を叩くというメンバーが多いです。成功体験を持ってPwCでそのままトップで成功する人もいれば、すごく苦労しながらもう1回這い上がるような人、様々です。間違いなく言えることは、みんな成功体験を持っていて、さらにここでもっとチャレンジしたいと思ってくるのです。私はこれをすごくいいことだと思っています。もしかしたら5年でPwCを卒業していくメンバーもいるかもしれませんが、ここで入ってきた人がグンと成長し、さらにもっと新しいチャレンジをしたいというのであれば、それはそれで素晴らしいことだと思います。

洲脇
今後、チームをどのようにしていきたいのでしょうか。

外村様
優勝できるチームにしたいと思っています。優勝できるということは、一番機会が多いところ、一番盛り上がっているところです。そういう意味で言うと、PwCのサイバーというチームは、マーケットの中でもかなり競争力があるチームだと思います。チャレンジングで成長機会が多い環境を提供していきたいですね。

久保
メンバーの方も、多様な方が集まっていますね。

外村様
先ほどお話したように、我々の範囲は非常に広範囲に渡ります。それに対応しようとすると、幅広い人材が必要で、いわゆるコンサルティングというののイメージとは違うような人材にも来て頂く必要があります。これは広い意味でのダイバーシティだと思っていて、ダイバーシティなチーム作りというのはいつも考えていることです。
実際、コンサル出身者のメンバーだけでなく、SIerやネットワーク系、事業会社のIT部門にいたメンバーなど、バックグラウンドが多様な点がチームの特徴です。この多様な価値観をつぶさずに認め合うことが強みになると考えているので、そういうチーム作りをしていきたいです。

星澤様
PCSの方は、いわゆる尖った人材を集めてやっていきたいと思っています。サイバーの領域は幅が広く、例えばハードウェアハッキングではんだを溶かしてという人もいれば、研究をやる人もいる。もっと言えば、物理セキュリティ等の尖った話もあるので、自分の得意領域を明確に持っている人に来てほしいです。そこから幅を広げて、その人自身も、技術的に尖がった部分+コンサルティングのスキルも身に付けていきながら、自分の仕事の領域も広げていくというようなことは是非やって頂きたい。そうするとチーム全体がもっと総合的にスキルアップしていくと思います。

クライアントへの責任感に共感し、成長を望む方に来て欲しい

洲脇
サイバーセキュリティ領域を経験する意味と価値についてお伺いいたします。

外村様
様々あると思いますが、サイバーセキュリティが経営全般に関わる課題になっているので、サイバーを入口に経営視点を持つコンサルタント、エンジニアになれると思います。先ほどの話でもありましたが、M&Aに関わるケースなどもあるので、テクノロジ-コンサルからマネジメントコンサルに近いこともできるような環境になりつつあります。

洲脇
サイバーセキュリティ領域をやる面白さは、どのようなところに感じますか。

星澤様
技術的な立場からいうと、やはり最先端のところを押さえたい人にとってはすごく魅力があるところだと思います。私もキャリアの中で常に最先端のものを押さえきており、その領域にセキュリティのリスクが出てきた時にそれを知らないというわけにはいかないので、エンジニアとして追及する醍醐味があります。

外村様
セキュリティを10年ぐらいやっていると、本当に被害のあった現場に入ることが何回もあります。新聞に出ている以上に被害はあります。そういう現場に入る、「これは本当にこれはシリアスな問題なんだ」というのをものすごく強く感じるのです。
我々は、そういう場面を見ていると真剣にならざるを得ない。
セキュリティは、対策したからお金が儲かる、というものではありません。ですが、これをやらないと非常に大きなマイナスなことが起こるというシーンに向き合ってきた身からすると、シリアスになります。コンサルティング的な面白さはありますが、それ以上に、クライアントを支える責任感を感じます。
そういった点に共感し、成長を望む方に是非来て頂きたいです。

外村様
PwCコンサルティング合同会社
Cyber Security & Privacy
Partner 外村慶 様

IT業界にてソフトウエア、サービスおよびコンサルティングビジネスに関して25年以上の実務経験を有し、10年以上の情報セキュリティ市場に特化した経歴を持つ。現在は大手顧客へのコンサルティングに加え、パートナー企業とのセキュリティビジネスアライアンスの推進をリードする。
大学卒業後、大手外資系コンピューター企業にてキャリアをスタートし、ソフトウエアの開発、販売、役員補佐を歴任。入社以前は、大手外資系セキュリティソフトウエア会社にて日本法人COOとして日本市場におけるセキュリティビジネスの戦略と実行を担当。
2017年、PwCコンサルティング合同会社に入社。

星澤裕二 様
PwCサイバーサービス合同会社
Partner 星澤裕二 様

1998年に大手米国IT企業に入社以来、同社のインターネットセキュリティ研究所のマネージャーとして、セキュリティの研究や新種マルウェアへの対応、脆弱性情報の収集・分析などを担当し、国内におけるマルウェア研究における地位を確立。2004年10月、サイバーセキュリティ専門企業の設立に参画。最高技術責任者として設立当初よりコア技術開発に従事。
サイバーセキュリティに関して多くのIT関連出版物に寄稿。著書に『ウイルスの原理と対策』(ソフトバンクパブリッシング)、『アナライジング・マルウェア』(オライリー・ジャパン)がある。また、Black Hat、Virus Bulletin、EICAR(European Expert Group for IT-Security)、AVAR(Association of anti Virus Asia Researchers)などの国際会議でセキュリティ問題に関する研究発表も行っている。
総務省、NISC(内閣サイバーセキュリティセンター)、IPA(情報処理推進機構)、情報処理学会などにおいて多くの研究会委員、有識者会議メンバー、座長などを務める。2007年度の情報化月間における情報化促進貢献個人表彰の中で、経済産業省商務情報政局長表彰「情報セキュリティ促進部門」を受賞。

PwCコンサルティング合同会社

PwCコンサルティング合同会社

PwCコンサルティング合同会社は、経営戦略の策定から実行まで総合的なコンサルティングサービスを提供しています。PwCグローバルネットワークと連携しながら、クライアントが直面する複雑で困難な経営課題の解決に取り組み、グローバル市場で競争力を高めることを支援します。
PwC Japanグループは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社(PwCあらた有限責任監査法人、PwC京都監査法人、PwCコンサルティング合同会社、PwCアドバイザリー合同会社、PwC税理士法人、PwC弁護士法人を含む)の総称です。
複雑化・多様化する企業の経営課題に対し、PwC Japanグループでは、監査およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、そして法務における卓越した専門性を結集し、それらを有機的に協働させる体制を整えています。また、公認会計士、税理士、弁護士、その他専門スタッフ約6,300人を擁するプロフェッショナル・サービス・ネットワークとして、クライアントニーズにより的確に対応したサービスの提供に努めています。
https://www.pwc.com/jp/ja.html

アクシスコンサルティング

アクシスコンサルティング

5000名のコンサルタントの転職支援をしてきた人材紹介会社(転職エージェント)。コンサルタントになる。コンサルタントとしてキャリアアップする。コンサルタントから卒業する。コンサルタントののすべてのキャリアに精通した生涯のパートナー。

PwCコンサルティング合同会社の求人情報

募集職種 サイバーセキュリティコンサルタント
職務内容

官公庁、金融、製造、情報通信、エネルギー、交通機関、インターネットビジネスなどの幅広い業界のクライアントに対して、サイバーセキュリティ戦略立案から、システム改修を伴うITセキュリティの強化、またインシデントレスポンスの支援等のプロフェッショナルサービスを提供する業務です。
当サービスは、セキュリティアセスメント、セキュリティコンサルティング、セキュリティマネジメント、インシデントレスポンスの4つの要素で構成されています。
同社のグローバルネットワークを活用し、先進的で高品質なサービスを提供します。 また、コンサルティング業務に従事していただく傍ら、市場調査やソリューションツール開発、執筆や寄稿などにも携わっていただくこともあります。

(1) セキュリティアセスメント

  •  ITセキュリティ戦略・ガバナンス評価
  • サイバーセキュリティ対策の有効性評価
  • サイバーセキュリティベンチマーキング

 

(2) セキュリティコンサルティング

  • セキュリティグランドデザイン・ロードマップ策定
  • SOC(セキュリティ・オペレーション・センター)構築支援
  • CSIRT(インシデントレスポンス態勢)構築支援
  • ITセキュリティアーキテクチャ設計支援
  • 各種ITセキュリティツールの選定支援、導入支援

 

(3) セキュリティマネジメント

  • SOC(セキュリティ・オペレーション・センター)運用支援
  • CSIRT(インシデントレスポンス態勢)運用支援
  • グローバルの最新動向の調査・レポート作成

 

(4) インシデントレスポンス

  • セキュリティインシデント発生時の調査支援
  • デジタルフォレンジックの実施
  • インシデントレスポンス訓練支援
応募要件 【Associate/Senior Associate】
  • コンサルティングファームでの実務経験
  • SIer/ハードウェアベンダー/ソフトウェアベンダー/ネットワーク事業者等でのSEとしての実務経験

 

【Manager以上】
  • コンサルティングファームでの実務経験、或いは SIer/ハードウェアベンダー/ソフトウェアベンダー/ネットワーク事業者等でのSEとしての実務経験
  • 大規模プロジェクト、グローバルプロジェクト等の管理経験
  • クライアントリレーション管理経験
  • 提案・営業経験

PwCサイバーサービス合同会社の求人情報

募集職種 サイバーセキュリティエンジニア
職務内容 高度な知識と豊富な実績を持つ各分野のスペシャリストで構成され、脆弱性や攻撃手法を日々研究する専門チーム「スレットリサーチラボ」にて、世界最大級のプロフェッショナルサービスネットワークであるPwCが世界中の情報を収集して得たサイバー脅威の最新動向だけでなく、国内で発生しているサイバー攻撃を国内で独自に分析した情報を加えた「スレットインテリジェンス」の蓄積と「スレットインテリジェンス」を活用したサービス提供業務を担当していただきます。

【脆弱性診断エンジニア】
  • 手動またはツールを用いてサーバ、ネットワーク機器、アプリケーションの脆弱性診断を担当していただきます。

 

【リサーチエンジニア】

  • 最新のセキュリティ脅威や対策技術に関する調査および研究開発を担当していただきます。

 

【マルウェア解析エンジニア】

  • 標的型攻撃インシデント発生時や調査研究、マルウェアや不正ツールの解析を担当していただきます。

 

【フォレンジックエンジニア】

  • デジタルフォレンジック技術を用いたインシデントレスポンス業務を担当していただきます。

 

【セキュリティアナリスト 】

  • PwCが運用するSOCにて、お客様のシステムを監視・分析し、インシデント発生時の初動対応を行うセキュリティ運用監視業務を担当していただきます。
応募要件 【脆弱性診断エンジニア 必須スキル】
  • Webアプリケーション診断、ネットワーク診断、スマートフォンアプリ診断の実務経験
  • プログラミング経験(言語問わず)
  • OS、ネットワークに関する知識
  • ビジネスライティング、ビジネスコミュニケーションスキル

 

【リサーチエンジニア 必須スキル】
  • 官公庁等の調査研究案件の実務経験
  • プログラミング経験(言語問わず)
  • TCP/IPネットワーク関連のスキルや構築・運用経験
  • OS、アプリケーション、デバイスに関する知識
  • ビジネスライティング、ビジネスコミュニケーションスキル

 

【マルウェア解析エンジニア 必須スキル】

  • 各種OSに関する低レイヤの知識
  • 各種プログラミングに関する知識
  • ビジネスライティング、ビジネスコミュニケーションスキル

 

【フォレンジックエンジニア 必須スキル】

  • サイバー攻撃に関する技術的なインシデント対応
  • ビジネスライティング、ビジネスコミュニケーションスキル

 

【セキュリティアナリスト  必須スキル】

  • セキュリティ運用監視またはネットワーク運用監視の実務経験
  • 各種サーバ(Web, Mail, DNS, Proxy等)、セキュリティ機器(FW, IDS, IPS, UTM等)に関する知識
  • サイバー攻撃手法や対策技術に関する知識、国内外のセキュリティに関する全般的な情報収集能力
  • ビジネスライティング、ビジネスコミュニケーションスキル

※ご依頼の求人は、弊社規定により選定させていただきます。あらかじめご了承ください

記事を気に入りましたら、いいね!をお願いします

カテゴリー、タグで似た記事を探す

こちらの記事も合わせてご覧下さい

アクシスコンサルティングは、
プライバシーマーク使用許諾事業者として認定されています。


SSL/TLSとは?

※20代後半~30代後半向けの非公開求人多数。
独自の企業動向・キャリア事例なども提供中

新規会員登録(無料)

※フリーランスのコンサルタント向けキャリア支援・
案件紹介サービス

フリーランスの方/目指す方
×