サイバーセキュリティ
Cybersecurity
企業のセキュリティ課題を一気通貫かつ包括的に支援
サイバーセキュリティは今や企業にとって主要な経営課題のひとつであり、サイバー攻撃に対抗する戦略を経営方針において明確にするとともに、それと整合して管理的、技術的対策を講じていくことが重要になっています。EYのサイバーセキュリティユニットは、ガバナンス領域とテクノロジー領域の両面に精通したプロフェッショナルで構成しており、サイバー攻撃や社会環境の動向を踏まえた経営戦略の策定やセキュリティアセスメント、技術的な対策の実装、SOC/SOARの運用まで、一気通貫かつ包括的なコンサルティングサービスを提供しています。
Jun
関西に住みつつ東京事務所に所属しており、リモートワークをフル活用しながら、仕事と育児の両立に奮闘中。
Ryosuke
週末は野球、ゴルフ、サーフィン、スノーボードなどのスポーツで、リモートワークから気分転換。
セキュリティ高度化、多方面から支援
2人は同じプロジェクトに参画しているそうですね。
金融業界のクライアントにグループ全体のセキュリティガバナンス構築、セキュリティソリューション導入、マネージドサービスの提供など幅広く支援を行っています。私はその中で、SSDLC(Secure Software Development Life Cycle)の構築を担当しています。SSDLCは、ソフトウェアの企画・設計・実装の各フェーズにセキュリティ対策を組み込むことにより、システム開発におけるセキュリティリスクを効率的に低減することを目的とした取り組みです。
2020年から続いている案件で、EYの金融セクターや海外拠点のメンバーなども含めると100人ほどの体制になります。多方面からクライアントのグローバルセキュリティ態勢の高度化を支援しており、サイバーセキュリティのさまざまなソリューションが凝縮されたプロジェクトとなっています。こちらはかなり大規模ですが、ユニットとしては他にもさまざまな業界、規模のプロジェクトを抱えています。
Ryosukeさんは新卒でEYに入社し、Junさんは他ユニットからサイバーセキュリティユニットに移籍しました。ユニットの入り口もいろいろあるのですね。
2019年に新卒で入社し、2年目の途中からサイバーセキュリティの案件に関わるようになりました。最初は難しいイメージがありましたが、実際に担当してみるとテクノロジーだけでなくガバナンスやマネジメントなど複合的な要素から成り立っていると分かり、クライアントの課題に接する中で奥深さと面白さを感じました。メンバーの雰囲気も好きでしたし、シニアコンサルタントに昇格するタイミングでサイバーセキュリティユニットの所属を選びました。
私はサイバーセキュリティのユニットに1カ月前に移籍しました。それまでは10年近くEYのリスク・コンサルティングユニットに所属し、企業のITリスクに関する支援を行っていました。今のプロジェクトもそうですが、サイバーセキュリティユニットと協業することも多く、同じプロジェクトチームとしてクライアントの課題解決に取り組むうちに、今後はITリスクの中でもサイバーセキュリティにフォーカスして専門領域を突き詰めていこうと思い異動を決めました。
サイバーセキュリティと言うとテクノロジーのイメージが強いですが、セキュリティの脅威には、人や組織の行動に起因するものも多くあります。EYでは、クライアントの課題に対し、ネットワーク構築などテクノロジーの視点だけでなく、ルールや体制づくりなど、人や組織の視点からの提案も行うことができます。多方面のアプローチを行うため、個人の強みをかけ合わせて、ユニットの総合力を高めています。
さまざまなバックグラウンドのメンバーを積極活用、育成体制も充実
ユニットにはどのようなメンバーがいらっしゃるのでしょうか?
新卒採用、中途採用を含めさまざまなバックグラウンドを持つメンバーがいます。それぞれのバックグラウンドにより、強みとするスキルや領域は異なりますが、うまくコラボレーションできていると感じています。また、サイバーセキュリティのコンサルタントとして足りないスキルについても各メンバーのバックグラウンドによりさまざまですが、それぞれの強みを生かしてコラボレーションできているのは、人を育てる文化が根付いていることが大きいと思います。
他のユニットに比べて若手人材が多いのは、一つの特徴です。特定の領域において強みや即戦力であっても、サイバーセキュリティはカバーする範囲が非常に広く、1人で完結するプロジェクトはありません。だからこそ、メンバー個々の強み・弱み、キャリアの方向性を把握しながら、コラボレーションしつつメンバーをチームできちんと育成する姿勢が根付いていますね。
私の経験でも、配属された段階でサイバーセキュリティに関して非常に高い専門性を求められるというよりは、まずはコンサルタントとしての基礎力をつけることに主眼が置かれました。ITやセキュリティに関する基礎的な知識は必要ですし、サイバーセキュリティはトレンドの変化が非常に速い分野でもあるので、好奇心を持って学び続けることが重要だと思っています。
ユニットの中でキャリア形成が多様なこと、育てる風土があることが、このユニットに入った理由の一つです。
貪欲に知識を吸収し、キャリアを開拓しようという姿勢があれば、活躍の場が多いのはその通りです。
テクノロジー領域については、外部人材でないと持っていないスキルもありますし、経験者も大歓迎です。育成の基盤があるので、今までの経験を軸にサイバーセキュリティという領域でできることを広げていきたい、深めていきたいという人にとっては、良い環境だと考えています。
サイバーセキュリティの経験や知識はあっても、コンサルタントとしてのベーシックスキルに自信がないという人も、フォロー体制がしっかりしているのでチャレンジしやすいです。
サイバーセキュリティの中でも特定の領域のプロフェッショナルを目指すキャリアもありますし、ガバナンスからテクニカルな領域まで幅広く対応できるようになるというキャリアもあります。私も今後の方向性について考えており、カウンセラーのJunさんに意見を求めることもあります。
柔軟なキャリア形成をサポートする風土
中途で入社する人にとって、EYのサイバーセキュリティユニットでキャリアを積む魅力は何でしょうか。
企業のセキュリティリスクへの対応という需要は今後も拡大が続きます。私もサイバーセキュリティにコンサルティングの軸足を移すため、移籍しました。先ほどRyosukeさんも指摘したように、この分野はトレンドの変化が速く、カバーする領域もとても広い。ガバナンスとテクノロジーの両方の知識が求められていますが、全方位に極めている人はまれです。多くの人は得意分野を軸に、足りない部分を伸ばしてキャリアを形成していきます。
私たちのユニットは、横軸ではガバナンスとテクノロジーの両方を、縦軸にあたる業務の流れではリスクの評価からコンサルティング、セキュリティ対策の実装、日々のセキュリティ運用と一気通貫で支援しています。この領域を網羅的にカバーしており、クライアントのさまざまな課題が集まってきます。
そのため、中途で入社された方は、自分の得意領域と組織のコンピテンシーを組み合わせながら幅広い案件で経験を積めると言う点が魅力だと考えています。興味があるものにはチャレンジできる環境でもあるので、キャリアの柔軟性も高いです。人によってはテクニカルな領域からガバナンス領域へと自分の軸足を変える方もいらっしゃいます。
外から入って来た人を受け入れ、良さを生かしていく組織風土もあります。
私がEYに入社した2019年時点では、コンサルティングファームBig 4の中ではそれほど規模が大きくなかったのですが、チャレンジ精神にあふれていることや、風通しの良さに魅力を感じて就職を決めました。
その後、会社の規模が大きくなり、組織の体制も変わりましたが、組織間の垣根の低さやコラボレーションを大事にする文化は全く変わっていないと感じます。
EYとして積極的に外部から人を受け入れようとか、組織の垣根を越えて一緒に案件に取り組もうという雰囲気があり、ユニットやチームでクライアントや案件を囲い込むこともありません。私もそうでしたが、こういう仕事をしたいですと手を挙げれば、組織をまたいでプロジェクトに参加することもできます。包容力は業界の中でも突出していると思います。
排他的でない雰囲気と、育成する文化が根付いているのは、中途で入社する人にとって安心材料ではないでしょうか。
JunさんはEYで出産・育児を経験したと聞いています。
私はEYで育児をしながらキャリアを形成してきました。EYはワークライフバランスに配慮した制度や、それを受け入れる環境が整っています。この数年は日本社会全体で働き方改革が進んでいますが、EYも当時よりさらにフレキシブルな働き方が可能になりました。リモートワークが当たり前となり、育児との両立がしやすくなったため、従来であればちゅうちょするようなプロジェクトへ参画するなど、私の仕事も幅も大きく広がりました。チームメンバーには必要に応じてプライベートな状況や予定も共有するなどしながら、日々ワークライフバランスを実現しています。 前職と比較しても、働きやすさは間違いないです。
