Our Professionals
Tech@EY 多様なプロフェッショナルたちの紹介

サイバーセキュリティコンサルタントとしてのキャリア探求

サイバーセキュリティシニアコンサルタント

<経歴>
入社年:2019年1月
総合系コンサルティングファームにて、セキュリティコンサルティング業務に従事。
<担当領域>
官公庁、インフラ、金融機関、製造業などの幅広い業種に対してサイバーセキュリティ関連のコンサルティングサービスを提供。

1日の流れ

09:30    スケジュール確認

メールや社内コミュニケーションツールを確認し、スケジュールやタスクなどを把握。

10:00    オンライン内部ミーティング

プロジェクトメンバーと進捗の確認や作成資料に関するディスカッション。

10:30    資料作成

分析資料や報告書を作成しながら、メンバーとチャットや通話によるコミュニケーション。

12:30    昼食
13:30    インタビュー準備

オンラインでも円滑にクライアントミーティングを進められるよう、伝える内容や聞きたいことのポイントを整理。

14:00    オンラインでクライアントへインタビュー

オンライン会議により、画面上に資料を投影してクライアントへのインタビュー。

15:30    資料作成

インタビュー結果の取りまとめ、次回のミーティング資料の作成、議事録のレビューなどを行いながら、午前中と同様に、随時オンラインでコミュニケーション。

19:30    業務終了

主な業務内容

クライアントのニーズやプロジェクトの内容に応じて、サイバーセキュリティや情報セキュリティに関する案件を担当しています。技術的な案件では、侵入テスト、脆弱性検査、端末やセキュリティ機器のセキュリティ評価を実施。ガバナンス関連の案件では、情報セキュリティ外部監査や内部監査支援、インシデント対応体制の構築支援、外部委託先のセキュリティ評価などを行っています。また、グローバル企業の情報セキュリティ部門から依頼を受け、これらのコンサルティングサービスを通年支援で海外拠点向けに提供する案件にも携わっています。
シニアコンサルタントとして、クライアントの担当者とのコミュニケーション、インタビューの実施を行うほか、評価案件での診断作業の実施、コンサルタントへの指示出しやレビュー、会議資料や報告書などの成果物ドラフト作成など、プロジェクトのデリバリー面で中心的な役割を担うことが多です。

ランニングで頭をリセット

平日の朝や週末にランニングをしています。忙しい時期はプレッシャーやストレスを感じることもありますが、仕事のことを考えない時間を作ることで頭をリセットするよう心掛けています。とはいえ、気候によってはサボってしまいたくなるので、定期的に市民マラソン大会に申し込み、モチベーションを保っています。

クライアントも交えて考え抜けるのはコンサルティングならでは

クライアントが内部リソースのみでシステム内部監査やセキュリティ内部監査を行っていくための制度設計を行う、という案件に携わりました。具体的には、クライアント経営層からの要望で、当初予定していたリスクに関する評価に加えて、ITシステムがもたらすビジネスへの貢献度合いも評価できるような監査ツールの開発を行うこととなりました。
ITシステムの開発や運用には多額の資金を投じるもの。その効果を適切に測定し、今後の経営やIT戦略に反映させたいという思いは当然のことです。しかし、ITシステムの目的や機能、ITシステムが支えるビジネスの種類は多岐にわたることから、これらを標準のものさしで図るためのガイドラインや確立された方法論は存在しません。そのため、監査ツールの開発は困難を伴うものでした。チーム内で何度も議論してロジックを考え抜き、クライアントも交えてトライアルの内部監査を行いながら、半年近くかけて監査ツールの精度を改善させました。
セキュリティの仕事に携わっていると、経営層が思い描くゴールにたどり着く手段がなかなか見つからないケースもよくあります。この案件では、課題に対し、クライアントも交えてチーム全体で考え抜いて何かしらの答えにたどり着く、という、コンサルティングファームならではの業務を経験できたと思います。

グローバルに協力するのは当然という文化が根付いているEY

EYでは、クライアントにより良いサービスを提供するためにグローバルのメンバーファーム全体で協力することは当然である、という文化が強く根付いています。以前携わったEYドイツがリードするプロジェクトでは、ドイツのシニアマネージャーがプロジェクトマネジメントを、私が日本のクライアントに対するセキュリティ審査を、EY内で専門的なシェアードサービスを提供するGDS(Global Delivery Services)のインドチームが品質レビューをそれぞれ行う、という体制でした。時差はあれど社内のITインフラは基本的にグローバル共通のため、国の壁を感じることはほぼありません。他にも、インドの技術チームがテスト環境のインフラを構築して日本のクライアントにセキュリティ訓練のサービスを提供するコラボレーションも行っています。

これからの目標

私は、新卒で入社した前職のコンサルティングファームから一貫して、セキュリティコンサルティングのキャリアを積んできています。EYは成長過程にあることから、まだ日本国内では知名度の低いサイバーセキュリティ領域のビジネス拡大など、よりチャレンジングな経験ができると思い入社しました。サイバーセキュリティチームは、SIer、セキュリティベンダー、事業会社のセキュリティ部門などから転職してきている方が多く、私のようにセキュリティの中でも専門領域や業務経験を持たずにこの世界に飛び込んだ人は少ないかもしれません。しかし、EYでは、国内外問わず多岐にわたる業種のクライアントと関わり、サイバーセキュリティに関する幅広い経験を積むことができるため、点と点の知識や経験が線や面でつながっていくような成長を感じています。今後、一度携わったクライアントからは、サイバーセキュリティに関することはすべてEYに相談しよう、その窓口としてとりあえず自分に連絡しよう、と頼っていただけるように、サイバーセキュリティのジェネラリストとしての能力を高めていきたいです。今や企業や組織におけるビジネスの成長に、サイバーセキュリティは欠かせないものです。クライアントのビジネスを支えるために、さまざまな観点を踏まえてサイバーセキュリティに関する最善の助言ができるように貢献していきたいと思います。