EYストラテジー・アンド・コンサルティング株式会社(EYSC)

サイバーセキュリティ
Cybersecurity

セキュリティの課題をワンチームで解決

サイバーセキュリティは今や主要な経営課題のひとつであり、サイバー攻撃に対抗する戦略を経営方針において明確にするとともに、それと整合して管理的、技術的対策を講じていくことが重要になっています。EYのCybersecurityユニットは、ガバナンス領域とテクノロジー領域の両面に精通したプロフェッショナルで構成しており、サイバー攻撃や社会環境の動向を踏まえた経営戦略の策定やセキュリティアセスメント、技術的な対策の実装、SOC/SOARの運用まで、一気通貫かつ包括的なコンサルティングサービスを提供しています。

Masayuki

ネットワークの設計、構築、運用、保守に係る業務を経て、セキュリティ業界へ転身。マルウェア、脆弱性を利用した標的型攻撃対策等、テクノロジー領域を中心とした業務に従事する中で、ガバナンスとテクノロジーの両面から社会に貢献したいとの思いを強め、2018年1月にEYストラテジー・アンド・コンサルティング株式会社(以下、EY)に入社。
入社後は、情報セキュリティ規程類策定やセキュリティ態勢評価等のガバナンス領域の経験を積み、現在はクライアントの状況やニーズに応じて、ガバナンス領域からテクノロジー領域までをカバーする包括的なセキュリティサービスを提供する。

Mahefulaiti

顧客向けセキュリティ監視サービス(SOC)に従事した経験を持つ。サイバーセキュリティに関する専門性とグローバル連携の強さに魅力を感じ、2021年5月にEYへジョイン。
入社後は、EYの海外ファームと連携、グローバルに連携しクライアントのGlobal SOC構築プロジェクトを推進。今後も、国境を越えて協力し1つの目標に向かって、クライアントへ価値を提供するプロフェッショナルな存在であることが自分の役割だと意識している。

グローバルと自動化で他社と差別化

社会のIT化でサイバー攻撃の脅威や対策の重要性が広く認識されるようになりました。サイバーセキュリティユニットではどのような業務を行っているのでしょうか。

Masayuki

多くの企業のニーズにこたえるために、大規模プロジェクトと中小のプロジェクトを並行して進めています。大規模プロジェクトの例としては、金融業界のクライアントにセキュリティの評価からCSIRT(シーサート、Computer Security Incident Response Team)構築、運用まで一貫したサービスの提供を行っています。

Masayukiさん、Mahefulaitiさんともに金融業界のプロジェクトに参画しています。それぞれの担当は。

Masayuki

プロジェクトは約80人規模で、EYのサイバーセキュリティのコンサルタントと金融業界のコンサルタントとEYの海外メンバーが同じくらいの割合です。私はSOC(Security Operation Center)のリーダーを務めています。検知されたアラートを確認し、サイバー攻撃か否かを判断する組織がSOCで、攻撃の影響を分析して対応するのがCSIRTです。「通報を受けて火事かどうかを判断する通信指令室に当たるのがSOC、出動する消防士がCSIRT」というように、消防署に例えるとイメージしやすいかもしれません。

Mahefulaiti

私は2021年5月にEYにジョインし、すぐにSOCの構築支援に入りました。SOCのオペレーションはインドとフィリピンのチームと連携しており、コミュニケーションは私がほとんどを担当しました。9月にSOCの運用が始まってからは、CSIRTのチームに所属し、さらにインシデント対応の高度化を推進しています

サイバーセキュリティ分野において、EYの強みは。

Mahefulaiti

EYは日本だけで見ると後発です。国内にSOCのセンターを持っているコンサルティングファームもありますが、我々はセンターを持っていません。その分、グローバルとテクノロジーで差別化を図っています。
一般的にサイバー攻撃の監視には人手が必要で、人が多いほど精度が上がりますが、EYは自動化によって効率的で精度の高い検知を追求しています。また、グローバルでサービスを提供できるのも強みです

上司と部下は目標を共有する「仲間」

サイバーセキュリティでキャリアを構築するに至った理由を教えてください。

Masayuki

新卒でネットワーク系の企業に就職し、最初に配属されたのがクライアントのセキュリティ機器の構築・運用・保守を行うチームでした。私は子どもの頃からパソコンで遊んでいて、ゲームを速くクリアするためにソースコードを触ったりしていました。また、10代でパソコンを自作するようになりましたが、作った直後にウイルス感染することもありました。そのような経験から、ウイルスを防ぐ手段を提供できる仕事には最初から興味を持って取り組めました。
ネットワーク企業で7年働いた後、アンチウイルスベンダーの企業に転職し、専門性を磨きました。

Mahefulaiti

私は中国・新疆ウイグル自治区で生まれ育ち、高校卒業後にキルギスタンに留学しました。その後、父が留学した経験があり、仕事でも接点がある日本に来ました。
日本語学校、大学、大学院と日本で学び、就職するときに「グローバルな仕事をしたい」と考えIT企業を選びました。入社後最初の仕事が、金融企業のグローバルSOCのオペレーターで、ITやサイバーセキュリティの知識や実務を学ぶうちに、地味だけど面白いと感じるようになりました。

なぜコンサルティングファームへの転職を考えたのでしょうか。

Masayuki

前職では自社のセキュリティ製品しか売れないので、お客様の要望に応えきれないと感じることがありました。また、製品がどんなによくても、人がインシデントを起こすので、お客様や社会のセキュリティへの意識を変えていくことが必要だとも考えていました。
SIerからコンサルティングファームに転じた方が自分の課題を解決できると判断し、転職に至りました。

Mahefulaiti

サイバー攻撃は国境を超えますし、セキュリティはITの中でも最もグローバルだと思いました。グローバルな仕事をしたいと考えていたので、サイバーセキュリティを専門にしていこうと決め、SOCの全体を把握するためにはコンサルティングファームが適していると考えました。

数あるコンサルティングファームの中でEYを選んだ理由は。

Masayuki

数社応募した中で、EYで面接した方々の印象がとてもよく、一緒に仕事をしたいと感じました。これまで長い間日本企業にいたので、転職を機にグローバルな環境に身を置くことで多くの刺激を受け成長できるという期待もありました。

Mahefulaiti

私もほぼ同じ理由です。転職活動で内定を複数いただきましたが、EYの面接は質疑応答ではなくて、サイバーセキュリティのあり方を共有するような場でした。Masayukiさんも含めて3人の面接官がそれぞれ自分の考えを話してくれて、意見を交わしながら物事を決めていくチームとの印象を受けました。

Masayuki

たしかに、上司と部下というより、一つの目標に向かっていくチームという方が近いですね。私が最初に勤めた会社は、方向性は上の人が決めて部下は指示に従うだけでしたが、EYは方向性を決めるところから対等な関係で議論できます。考えに違いがあるときは、お互いが納得できる着地点を探してすり合わせていくので、納得した上で当事者意識を持って仕事をできます。この風土が向上心や成長のスピードに好影響をもたらしていると感じます。

得意分野と向上心のある人材を歓迎

他に、入社後にどんな印象を受けましたか。

Masayuki

横の風通しの良さです。サイバーセキュリティの評価や構築には業界知識も必要なので、今のプロジェクトには金融業界のコンサルタントも大勢ジョインしています。垣根なく情報をダイレクトにやり取りし、いい協力関係が築けているので、スピーディーかつ効率的に業務を進められます。

サイバーに入ってくる人。歓迎すべき人材。

Masayuki

サイバーセキュリティはガバナンスとテクノロジーの両方に精通する必要があります。ガバナンスだけしか知らないと、運用に落とし込んだときにどう運用すればいいか分からないし、テクノロジーを知っていても会社の方針や人の動きについて知見がないなら、会社が回らない仕組みをつくってしまう。だから両方極めてほしいですが、そういう人はまずいません。今のメンバーの多くは何らかの分野で強みを持っていて、足りない部分を入社後に伸ばしています。
例えばMahefulaitiさんはインドやフィリピンのチームとの調整を担当していましたが、彼らは私たちとカルチャーが違い、出るべきものがなかなか予定通りに出てきません。Mahefulaitiさんはスケジュールをコントロールできる仕組みを考えたり、コミュニケーションの方法を工夫しており、物事を前に進めるための突破力があると感じました。
向上心が強く積極的に提案し、フィードバックを受け止めて成長の糧にする人材が非常に多く、今後もそういう人に入ってきてほしいです。