pr

昨今のIT環境で、セキュリティを実装しないITは存在しない。ここ最近のセキュリティ案件は、グローバルシステムの構築、震災のディザスタ・リカバリ、クラウドサービスの利用など、新しい切り口での仕事がますます増えている。新しい技術要素が登場している昨今だからこそ、クライアントが“認知している”セキュリティではなく、クライアントに“認知させる”セキュリティの仕事が面白い。

		あらゆるプロジェクトに招聘されるセキュリティ専門チーム

　アクセンチュアに転職してから、ほぼ一貫してセキュリティに関する仕事をしています。

足利 俊樹氏 アクセンチュア テクノロジー コンサルティング本部 情報セキュリティ グループ シニア・マネジャー

　昨今のシステム・プロジェクトにおいて、セキュリティ要素が絡まないものはほぼありません。そのため、セキュリティ・チームは実に多種多様なプロジェクトに招聘されます。

　私の担当は主に、顧客企業の改革・変革に対して必要となるセキュリティ要素を見極め、実装にまで落とし込んでいく部分です。情報システムのリスク診断はもちろん、企業統合に伴うID・アカウント統合など、幅広く担当しています。特に、最近は企業統合が盛んなので、企業統合に伴うシステム統合は大きなトレンドの1つとなっています。

　そのため、アクセンチュアのセキュリティ・チームは、セキュリティ特化のプロジェクトに参画するのではなく、他の要素のコンサルティング案件に参画する場合がほとんどです。いかにもセキュリティ専門家らしい業務、例えばセキュリティポリシー作成といった業務の比重は、実はそれほど大きくありません。

		セキュリティは“対応”するのではなく、 システムに“埋め込む”

　アクセンチュアのセキュリティ系コンサルタントは、セキュリティ専門企業とはセキュリティへの関わり方が違います。

　専門企業では基本的に、「既存システムのセキュリティ対応」など、クライアントが認知しているセキュリティ対策においてでしか関わることができません。一方、アクセンチュアは「システム発案」などのビジネス・コンサルティング段階から関わっているため、新しい技術要素/ビジネス要件に対して必要な「セキュリティを強く意識した設計」ができます。

　クライアントがすでに認知している、世間一般のセキュリティ対応をするのではなく、新しい技術要素／ビジネス要件へのセキュリティをクライアントに認知させ、システムそのものに“埋め込む”のです。

　例えば最近、ある2社を統合するプロジェクトに参加した時のことです。インフラ統合でネットワークをつなげていく際、セキュリティをどう考えるか、2社のセキュリティポリシーをどう統合するか、2社のどちらに寄せていくのかといったことを、両社と時間をかけて調整し、設計に落とし込みました。両社ともこれまでこれがベストと考えて実装している仕組みですから、どちらが良い悪いという話ではなく、今後の拡張性や会社の方向性を視野に入れた上で、両社が納得できる対策を検討しました。

　こうした検討ではセキュリティの技術や知識をベースにしていますが、それだけでは足りません。両社の「落としどころ」を探って合意を取り、確実に実現可能な段階まで持っていくためには、コミュニケーション能力はもちろんのこと、クライアント企業のビジネスやITガバナンス、システム統合などの知識を総動員していく必要があります。

　そのため、アクセンチュアのセキュリティ・チームには「セキュリティだけを専門にしたい」人ではなく、「セキュリティを軸足にして、幅広い知識を身に付けたい」人が集まっています。

		セキュリティ専門企業では得られない経験

　かといって、誰もが初めから「セキュリティを軸足にして、幅広い知識を身に付けている」メンバーだったわけではありません。転職してきた人の多くは、自分の専門に近いプロジェクトから入り、新しい分野のプロジェクトへと活動の幅を広げていきます。

　私の場合は、ベンダでシステム構築を経験後、セキュリティ部門に異動し、そこでセキュリティの専門家として経験を積んできました。当時はそもそも、「セキュリティにお金を払う」という慣習が根づいていないような時代で、私がその部門への異動を志望したのは「技術的には新しくて面白そうで、ビジネス的には売るのが難しそう」と感じた好奇心によるものでした。そんな好奇心に動かされて、セキュリティ技術を学び、コンサルティングのような仕事も経験しました。

　アクセンチュアに転職したのも、実は同じような好奇心からでした。セキュリティビジネスはある程度の経験を積むと、同じことを繰り返す仕事が多くなり、「このままで自分のキャリアは成長し続けるのだろうか」と考えるようになりました。新しいサービスの立ち上げのようなこともしていましたが、何が正しいかも分からず、自分の経験だけに頼ってのキャリア形成に「井の中の蛙」状態ではないかという不安が芽生えたのです。

　そんな心境の中で出会ったのがアクセンチュアでした。転職した当時、アクセンチュアのようなコンサルティングとITを併せ持つ企業に行けば“未知の化学反応”が起こるのではないか、と思ったのです。

　また、当時はセキュリティ関連企業の競争が厳しくなり、普通のセキュリティ専門企業に居続ければ、価格競争の渦に巻き込まれてしまうという危惧がありました。その点、アクセンチュアなら、「セキュリティを使って新しい価値を生み出せるのでは」とも思いました。

　そして、今の私は実際に思ったとおりの仕事ができています。

		コンサルタントとして「伝える」ことに向き合った日々

　とはいえ、最初から自分のパフォーマンスを十分に発揮できたわけではありませんでした。入社した当初、「伝えること」の難しさに直面したことがありました。

　前職では当たり前のように通じていた単語が、アクセンチュアでは伝わらないことがありました。例えば、「基本設計書」という言葉で想起するイメージは、人によって大きく違うでしょう。仕事を進める上でも、まずは用語と実際のアウトプットイメージの確認から始める、ということが何回かありました。

　今振り返ってみれば、アクセンチュアのような多様性のある組織においては、「伝える」スキルが重要という、実にシンプルなことでした。アクセンチュアには多様なバックグラウンドを持ったエキスパートが集まっているため、ハイコンテクストな単語遣いが通じないのは当たり前のことだったのですが、慣れるまでは苦労したことを覚えています。

　結果として、最初の苦労は、テクノロジー・コンサルタントとしてのスキルを高める良いきっかけとなりました。お客さまは技術の専門家ではありませんから、当然、コンサルタントはお客さまにきちんと伝わるよう、言葉を吟味しなくてはなりません。

　また、私たちはさまざまな専門家の知見と技術を組み合わせて、価値を最大化させていきます。専門家としての最高のパフォーマンスは、自分の専門領域や知識を、他のメンバーにも分かるように伝えてこそ発揮できます。

　プロジェクトの質向上に貢献するには、「相手にきちんと伝わる言葉で伝える」スキルがベースとなるのです。

		社内メルマガで自分の専門＝セキュリティをPR

　もう1つ、私がアクセンチュアに入社して取り組んでいたのが「セキュリティ関連の仕事を生み出すきっかけを自ら作った」ことです。

　今でこそ、ほぼすべてのプロジェクトでセキュリティは必須と見なされていますが、当時は社会的にもそれほど認知は高まっていませんでした。

　そのため、セキュリティ・メンバーの先輩と一緒に、セキュリティをテーマとした社内ニューズレターを毎週作って配信し始めました。購読者は最初数十名ぐらいだったのですが、口コミで増えていって、300名ぐらいが購読してくれるようになりました。社内の人に「セキュリティで困ったことがあれば声を掛けてください」とアピールもしました。その結果、やがてセキュリティ関連の問い合わせをもらうようになりました。

　アクセンチュアはいろいろな分野の専門家がたくさんいるので、「得意な人に相談しよう」という文化が根付いています。そのため、「あの人は○○が得意」と認知されれば、いろいろな仕事の相談が舞い込み、さまざまな経験ができるとても楽しい会社だと思います。

		グローバルプロジェクト、震災関連…… 増えるセキュリティの仕事

　アクセンチュアでは、セキュリティの専門知識を持つ人はもちろんのこと、システム構築の実務経験も重視されます。

　アクセンチュアへのセキュリティ・ニーズはID統合プロジェクトなど、IDのバッチシステムを構築する案件などにも携わります。そうした場合、データ項目のマップ表作成から、パッケージでの設定、ジョブ実行などの一連のシステム開発案件の経験が必要になります。ファイアウォール設定、IDS（Intrusion Detection System＝侵入検知システム）設定、攻撃コマンド、といったセキュリティ知識や経験を持った上で、システム・インテグレータの経験を持つエンジニアなら、活躍の場は広くあるでしょう。

　特に最近多いのは、グローバルインフラのセキュリティの在り方を検討・実装するプロジェクトです。日本企業の多くが、リーマンショック以来、IT投資を抑制してきましたが、今はグローバル展開ということでIT投資を再び活性化させるモチベーションが高まっています。

　「世界に打って出るためにはIT投資が必要、当然セキュリティも必要」というわけです。

　グローバル関連の流れとしては、これまで各国の現地企業がそれぞれ別個にシステムを持っていたのを、コスト削減や投資効率を高めるために統合する動きがあります。海外拠点とより密にネットワークで結ぶ場合、セキュリティの観点からはどういうアクセスコントロールの方法を採用するか、ホワイトリストを採用するのかブラックリストにするのか、IDをどう採番するか、どういう権限を付与するか――こうした話がたくさん出てきます。

　その他に、日本国内でいえば、2011年3月11日の東日本大震災をきっかけに、BCP（事業継続計画）への関心も高まっています。セキュリティ専門家としてのアドバイスを求められる機会も増えました。

　最近も、対応していた顧客が、「311」をきっかけとしてDR（ディザスタ・リカバリ）環境を作ることになり、データセンターを遠隔地に別途作ることになりました。こういう種類の仕事は、通常のセキュリティ専門企業では手掛けられないものでしょう。

		セキュリティ専門家の活躍の場はさらに広がっていく

　今、アクセンチュア全体として、「セキュリティによりフォーカスしていこう」という動きがあります。

　そして、社会インフラに関わる案件でも、セキュリティ要素は欠かせません。スマートメーターやスマートグリッド、スマートシティといった構想を実現する上では、セキュリティの要素がかなり重要なファクターとなります。また、老朽化した社会基盤を見直す動きも出てきています。

　セキュリティ専門家の仕事はますます増えていきます。セキュリティ製品の設定やポリシー作成、リスク分析などオーソドックスなセキュリティ案件をこなしていくだけではなく、より大きなセキュリティの仕事をしたい人にとって、アクセンチュアには活躍の場が多く用意されています。

• アクセンチュア「セキュリティ・ソリューション」サービスについて
• アクセンチュア「IT戦略・トランスフォーメーション」サービスについて

他のインタビューも読む＞＞ テクノロジー・エキスパート・コンサルティングファイル INDEXへ

提供：アクセンチュア株式会社
企画：アイティメディア営業企画
制作：＠IT自分戦略研究所 編集部
掲載内容有効期限：2012年9月30日