コンサルティング業界における世界BIG4に名を連ねるデロイトの一員として、監査・税務・法務・コンサルティングなどを手がけるデロイト トーマツ グループ。同グループ内で独立した法人として、2019年に誕生したのがデロイト トーマツ サイバー合同会社である。企業および日本社会の持続的な成長と競争力強化を、サイバーセキュリティの側面から支援する専門家集団として急成長を続けている。
サイバー攻撃への対策に関する、同業他社との決定的な違いとは? 同社が掲げる「攻めのセキュリティ」とは? 人工衛星の自主開発や、独自のアカデミーによるセキュリティ人材育成とは? そして、新たなメンバーに求めることとは?
合同会社デロイト トーマツ/コンサルティング(旧デロイト トーマツ コンサルティング合同会社)時代に、航空宇宙・防衛産業や製造業を主軸とした活動を行ってきた、代表執行者の桐原祐一郎さんに話を聴いた。
桐原祐一郎
デロイト トーマツ サイバー合同会社が募集している求人はこちら
| 年収 | 1100~1800 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
| 年収 | 692~1100 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
| 年収 | 633~1800 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
目次
ミッションは、サイバー空間のプラットフォームとなること。
── 近年、サイバーセキュリティを扱う会社が増えてきました。その中での御社の立ち位置を教えてください。
桐原:まずは我々の現状認識をお話した方が分かりやすくなるかと思います。昨今、たとえば経済安全保障や地政学の話であったり、AIを含むエマージングテクノロジーがどんどん世に出てきました。加えて、日本という国を見たとき、人口減少が著しく進んでいます。産業革命以降を振り返ると、就労人口が減りながら経済規模を維持できた国はありません。いまの状況では人口減少を食い止めることは難しく、どうしたら日本という国が今後100年も200年もサステナブルな国でいられるのだろうかと、我々は考えてきました。
では、どうすればいいのか。日本は、人間の力に寄り過ぎないビジネスモデルを先駆けて作っていくべきなのです。テクノロジーを使って、人間プラスAIが労働力を強化するような世の中を目指す必要があります。こうした前提に立つと、よりうまくサイバー空間を使ってビジネスをしていく、社会を作っていく方向性が明確になるわけです。
── その上で求められるのが、サイバー攻撃というリスクへの向き合い方ですね。
桐原:はい。我々の調査結果によると、日本企業の98パーセントが、なんらかのインシデントを年に1回以上経験しているというデータもあります。このままでは、サイバー空間に依存したビジネスやビジネスモデル、または国の成長モデルをスムーズに描いていけません。そこで我々は、日本のサイバー空間をTrustな状態にする、または保てるような役割を担いたいと考えているのです。日本の将来のサステイナブルな成長、または社会システムがしっかり回る土台を支えていきたい。いわば、サイバープラットフォームとなっていくことが、ミッションだと捉えています。
ですから、冒頭の質問の「業界内での立ち位置」についてお答えするなら、一般的なセキュリティのベンダーやコンサルティング会社が提案している、「Secureにしましょう」「しっかり守りましょう」というスタンスとは、そもそもの入口が違います。当然ながら、取り組むビジネスも、重要視するポイントも異なるのです。
プラットフォーマーを標榜して、日本社会全体を見据えていますから、当然ながら政策立案にも関わります。もちろん、企業のセキュリティにかかる戦略も考えますが、「本当にその企業のTrustに繋がるだろうか?」という視点から始めるのです。
また、セキュリティにおける課題の要は人ですが、やはり人材が足りません。そこで、サイバーセキュリティ人材を広く輩出する仕組みづくりにもしっかり向き合っています。
── 他社との入口やコンセプトの違いは、クライアントに提供する具体的なサービスにも表れているのですか?
桐原:はい。我々はセキュリティの戦略やアドバイザリー領域といった上流に強いところが、他社と大きく異なっています。いっぽう、運用業務については、規模としてはまだまだ小さい状況です。世の中ではMSS(マネージド・セキュリティ・サービス)という言い方をしていますが、我々の場合は、MSSのように決め事をその通りに実行するのではなく、常にセキュリティ関連業務の改善、最適化、変革を目指してセキュリティ組織を共同でオペレーションすることを志向しています。
我々はこれをOperate to Transformと呼んでおり、我々の持つ上流の強みを生かしたビジネスであり、最も大きな差別化要因だと言えます。
インシデント対応はあくまで手段。目的に向けた「攻め」のセキュリティを。
── そうした特徴は、いわゆる世界BIG4であるデロイトと、財務・会計のスペシャリストであるトーマツという母体にも起因していると思いますが、サイバーセキュリティ事業をグループ会社として独立させた経緯についてお聞かせください。
桐原:設立は2019年ですが、サイバーセキュリティの重要性が急激に高まってきたという、ニーズ側の視点がまず1つあります。もう1つは、「セキュリティの人材がハッピーに働ける環境を作るにはどうすればいいのか」「集中的に投資するにはどうすればいいのか」という内部的な視点です。デロイト トーマツグループの既存の事業法人の中で担うのではなく、別会社を設けたほうが、人事制度も報酬制度も独自性が出せると判断したわけです。
「サイバー」という言葉が社名に入る会社を設立したことで、新卒のインターン応募数が約100倍に増えました。採用マーケットにおける副産物も、思いがけず得られたのです。
もう1つ、社名を「サイバーセキュリティ」ではなく「サイバー」とした点にも狙いがありました。「セキュリティ」という言葉には、どうしても「守り」のイメージが付いてまわります。しかし、我々の目的はクライアントのTrustを確立して企業価値を高めることにありますから、そうした「攻め」の姿勢も込めたのです。
── 「攻め」とは、たとえばどんなサービスになってくるのでしょうか?
桐原:おそらく他社とは違う言葉で、我々は「Secure success」と呼んでいます。「クライアントからのTrustを得ていきましょう」「そのための製品やサービスをつくりましょう」「もちろんサプライチェーンの隅々までもTrustできるものに構築していきましょう」「将来の成長に向けた準備を進めましょう」といったことを一つ一つ実現していくためのサービスです。これらによって企業価値は高まり、売上や利益や従業員満足度も増していく。そうしたゴールを目指すのが、「攻め」の姿勢だと考えています。
── 単にサイバー攻撃から守る、インシデント対応していくのとはかなり異なりますね。
桐原:それも当然行っていますが、インシデント対応は1つのタスクであり、あくまでも手段という位置づけです。「その目的はなんですか」という上位概念に、つねにフォーカスしています。たとえば、インシデント対応に際しても、原因の追求と解消、改善だけには留まりません。「社会からのTrustを得るためには、どういう形で情報発信すればいいのか」「クライアントやクライアントの取引先が安心して今後もお付き合いしていただくためには、どんな手を打っていけばいいのか」という見地から次のステップを提供するのです。
母体であるデロイト トーマツ グループ自体が、ある意味Trustを主軸とするブランドであるだけに、サイバーセキュリティ領域を担うメンバーに加え、そういう発想から考えられる人材を本体からも異動させて、「攻め」の要素を堅持させています。
自前の人工衛星開発をも実現させる、あらゆるスペシャリストの集団。
── 飲料メーカーや大手ECがランサムウェアによる攻撃に遭い、完全復旧にも長期間を費やすなど、私たち消費者にも大きな影響が及ぶケースが目立ってきました。
桐原:影響が大きなサイバー攻撃については公表されることもありますが、公表されない事案もあります。軽微なものも含めて、インシデントはものすごく増えている、という大前提があります。この背景の1つに挙げられるのが、AIによる攻撃コストの低減です。
先日聞いた話によると、ウェブサイトを乗っ取るのにかかるコストは週200ドル、約3万円なのだそうです。サイバー攻撃を仕掛ける側はビジネスとして動いているので、ROI(Return on Investment)を気にします。Iの部分が下がってきたため、どんどん攻撃ができる。だから、被害も増えていると予測できます。
となると、まずは狙われないようにするにはどうしたらいいのか。サーバーに侵入されたあとに、いかにして被害を最小化するのか。事前準備の重要性が増してきていて、我々もクライアントを特にこちらのほうへ導くようにしています。
日系企業のサイバー対策は、どちらかというと再発防止の繰り返しが多いため、「本当にその対策が事業にとって、組織にとって、望ましいのですか」と聞いてみると、「よくわかりません」という答えが残念ながら返ってきます。DXやAIにガチガチのセキュリティをかけると、使い勝手がわるくユーザーへのサービスも制約されますから、事業として守りに入ってしまい、攻めのチャレンジもままなりません。ですから我々は「本当に守るべきところを見極め、プライオリティの濃淡をつけて対策しましょう」と戦略提案をしているわけです。
──その他、御社の事業という観点から、この数年で変化してきたことはありますか?
桐原:設立以来しばらくはITを対象とした仕事が多かったのですが、IoTの領域が増えてきました。さまざまな製品や製造現場のセキュリティです。とくに自動車などは、製品の品質はもちろん、消費者の安全性にも直結しますから、非常にニーズが高まっています。やはり日本はモノづくりの国ですから、サステナブルに発展していくうえで、製造業において安心安全なサイバー空間づくりは欠かせません。コンサルタント時代に航空宇宙・防衛・製造業に深く関わってきたこともあり、特段の思い入れも個人的にはあります。
──航空宇宙・防衛という言葉が出ましたが、御社では人工衛星を開発していると聞きました。しかも、既存メーカーの手を借りていないそうですね。
桐原:将来的には協業する可能性もありますが、いまは企画・設計から製造まで自前で行っていて、クリーンルームも有した自社研究所のスタッフが、チップの半田付けもしています。ソーラーパネルなど調達したパーツはもちろんありますが、大部分を自らつくっているのです。約10名の大半はもともとデロイト トーマツにいたエンジニアたちです。いろんな分野のスペシャリストがいて、いろんなことができる。そんな我々のケイパビリティが表された好例と言えるかもしれません。
人工衛星の開発に着手したそもそものきっかけは、私が宇宙好きだからというだけはありません。GPSに代表されますが、私たちの生活はすでに人工衛星に支えられている面が少なくありません。これが乗っ取られて悪用されると、社会的なインパクトは多大なものになります。IT系のインフラに人工衛星などを利用する企業も増えてきたため、宇宙にある設備をいかに守るかというテーマで取り組みを始めたのです。2026年もしくは2027年の打ち上げを目指していて、いまからワクワクしています。
圧倒的に足りないサイバーセキュリティー人材を、いかに育成していくか。
── サイバーセキュリティ人材の育成が社会的な急務となるなかで、御社ではユニークな取り組みを進めています。自社内に留まらず、クライアント企業の社員を対象としていますね。
桐原: 2年前から数社と一緒に行っていますが、たとえば、あるクライアントとは、サイバーセキュリティ領域における包括的な協業というかたちで推進しています。専門知見の共有や各種施策の戦略策定・実装・運用、人材育成を通じて、該当クライアントの国内外グループ会社を含めた、サイバーセキュリティ体制の構築および対応力を強化するものです。中長期的な視点から、グループ全体におけるIT・工場のOT・製品(デジタルサービス)などの戦略的なセキュリティ施策の策定および実施に取り組んでいます。
それらを支える人材の育成は、サイバー人材育成プログラム「デロイト トーマツ サイバーアカデミー」を通じて行っています。企業や組織のサイバー戦略・サイバータレント戦略などを踏まえたサイバー人材の定義に沿ったアセスメントおよび育成計画に基づき、サイバースキル習得プログラムを提供するのです。
セキュリティというのは、企業のTrustに関わる根幹ですから、そこを100パーセント外注すること自体にリスクが伴います。我々から送り込むサイバーセキュリティ人材とクライアント企業の担当社員が7対3というところから始めて、その比率を徐々に逆転させていくことで、ゆくゆくは自社内の人材だけで完結できる体制づくりを目指しています。
── 御社内においても、人材が追いつかない面もあるのでしょうか?
桐原:「当社では足りています」という企業は少ないのではないでしょうか。攻撃側もつねに進化していますから、こちらもつねに改善が求められ、やらなければならない課題はどんどん変化しているのです。マーケットのデマンドに比べてキャパシティがまだまだ少ないため、できることとできないことがあるのは事実で、さまざまな対応策を同時進行させています。たとえば、US-Japan CollaborationというInitiativeを立ち上げており、デロイトUSの力を借りて、一緒にクライアントに行ったり、USから新しいテクノロジーやサービスを輸入したりしています。
当社でもメンバーは増やしていて、現在はグループ子会社を含めて約800名と、設立からの6年で約7倍になりました。それでも変化のスピードには追いつききれませんから、サイバーセキュリティ業務の3割をAIに置き換えるプロジェクトも動いています。
そうしたことと並行させつつ、当社と子会社の人員増強も重要です。ただ単に規模を大きくすればいいわけではありませんが、「サイバー空間のプラットフォーマーになる」というビジョン実現のためには、3000〜4000名は必要だと考えています。
── 最後になりますが、そうした成長戦略の中で、どんな人材を新たな仲間として迎えたいですか?
桐原:まず大前提となるのは、サイバーセキュリティの経験があろうがなかろうが、そもそも会社が目指している方向性に共感いただける人に来ていただきたいと思っています。実際に、これまでのキャリア採用者を見ても、当社と同様のコンサルティング経験者は2割程度です。我々は事業会社を相手にしますから、現場の業務全般を見渡せる企画系などの人が、入社後に活躍するケースは特に印象的です。
もう少し細かくいうと、自分の課題をしっかり認識できる人が望ましいです。それが明確であれば、我々としても全面的にサポートできますから。ここは重視したいポイントです。なぜなら、「それはわかりません」「それはできません」と素直に認められないタイプは、我々の仕事の環境とは相性が合いにくいかもしれません。クライアントや上司から言われたことに対して、的確な疑問や正直な反応を返せるコミュニケーション力が高い人が、伸びていけると実感しています。
また、なにか1つ得意分野を持っている方なら、ITコンサルやサイバーセキュリティが全く未経験でも歓迎しています。たとえば、それが語学であれば、英語だけでなく他の語学も対象となります。2030年頃までに30名ほどを海外出向に出したいという思いもあります。
応募者の皆さんからは、今後もずっとなくならない仕事、手に職が付く仕事がしたいという志望動機が多いのですが、それだけではなく、日本の新しい社会・経済モデルを想像し支える仕事に就きたい方にぜひ応募いただければと思います。
デロイト トーマツ サイバー合同会社が募集している求人はこちら
| 年収 | 1100~1800 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
| 年収 | 692~1100 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
| 年収 | 633~1800 万 |
|---|---|
| 会社名 | デロイトトーマツサイバー合同会社 |
| 勤務地 | 東京都千代田区 |
| 職種 | セキュリティコンサルタント |
※文中の社名・所属等は、取材時または更新時のものです。
