岡田氏:私は金融機関向けのITリスク関連のアドバイザリーチームのリーダーを任されています。主な領域としては、システムリスクや情報セキュリティ全般になります。クライアントは、メガバンクをはじめとする銀行、証券会社、損害保険会社などが多く、こうしたクライアントは規制業種で社会的にも重要インフラであり、情報セキュリティやサイバーセキュリティに関して様々な要求事項があるため、管理態勢構築やシステムおよびセキュリティ監査という形で継続的な改善を支援しています。金融機関のクライアントは日常的に情報を収集されていますし、様々な製品の検証をされていたりもします。したがって、クライアントが我々に期待されていることは、問題の核心に迫ること、すなわち、クライアントのニーズや課題を早くつかんで、クライアントの先を見据え、どのようにアプローチするかを提示することです。我々もそのようなクライアントの期待に応えられるよう、セキュリティ開発やインシデント対応の実務経験のあるプロフェッショナルがアドバイスし、説得力のある言葉としてお伝えできるように心がけています。森島氏:私はもともとネットワーク屋であってセキュリティを専門としていたわけではありませんでしたが、会計監査からITコンサルティングに移った時にセキュリティに携わるようになりました。EYでは、サイバーセキュリティにかかるアドバイザリー業務に従事しています。具体的には、情報セキュリティマネジメントシステムやCSIRT、脆弱性管理態勢等の構築、情報セキュリティ対策に係る整備及び運用の外部評価、EYのマネージドサービスであるCyber-as-a-Serviceの導入支援等においてプロジェクトをリードする立場です。――前職までの経験は今どう役に立っていますか? また、どんな新しい挑戦が必要でしたか?岡田氏:私が入社した当時は、JSOXやCOBIT等システムリスクが主な領域で、私と上司の2名体制でチームが発足しました。たとえば、現在問題なく使っているシステムに対して、潜在的なリスクや脅威の具体例を示しながらクライアントとディスカッションするような場合は、SIerでの経験を大いに活かすことができました。セキュリティも同様であると考えます。また、クライアントのニーズや課題を理解し、それを具現化するわけですからコンサルティングの実務経験がないため最初は苦労しました。私の場合は、上司がコンサルティング経験の豊富な方だったので、プロジェクトを通じて、事実の本質を見抜き証明することを学びました。現在でも、クライアントがどんな悩みを抱えているかを意識するように心がけています。ここがぶれると満足いただける支援ができませんから。森島氏:教職時代に得たネットワークやOS、アプリケーションの知識と技能、公認会計士の業務を通じて得た経営や経営層の考え方、ガバナンスや内部統制、これらはすべて業務に直結していますね。サイバー攻撃は日進月歩、というのは我々もよく使うフレーズですが、その実、管理的にも技術的にも脆弱性というのはその多くが限られたパターンで説明できます。その意味で、今までの経験はすべての基礎として役に立っています。ただ、サイバーセキュリティの世界でも、しばしば法令の知識が必要になります。この点だけは、もうちょっと厚く学ぶ機会があればよかったなあ、とは思いますね。●コンサルタントの仕事はプログラマとよく似ている──グローバル・プロフェッショナル・ファームのコンサルタントは、すごい経歴を持った人しか入れないというイメージがあるのですが。(笑)
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/20559.jpg)
