「コンサル&監査法人」の協業でサイバーセキュリティ案件に臨む。「デジタルトラスト」に込められた、PwCの思いとは
2021/07/30

sponsored by PwCコンサルティング合同会社 description

昨今、大規模なサイバー攻撃や、それに伴う個人情報流出などの重大事件がたびたび報道されている。サイバーセキュリティは国家や特定企業だけにとどまらない重要な社会課題となった。こうした流れを受け、PwC Japanグループではメンバーファーム間の壁を超えて対策に取り組む「デジタルトラストチーム」を組成している。

PwCコンサルティング合同会社(以下、PwCコンサルティング)とPwCあらた有限責任監査法人(以下、PwCあらた)が連携する「異例の座組み」の下、多様な人材を集め、さまざまなプロジェクトに貢献。PwCはサイバーセキュリティにおいてどのような価値を提供しているのか。両社のパートナーである外村慶氏と綾部泰二氏に聞いた。

〈Profile〉
写真左/外村慶(とのむら・けい)
PwCコンサルティング合同会社 パートナー。
1991年、新卒で大手外資系コンピューター企業へ入社。ソフトウエアの開発、販売、役員補佐を歴任。その後、大手外資系セキュリティソフトウエア会社の日本法人COO(最高執行責任者)として、日本市場におけるセキュリティビジネスの戦略と実行を担当。IT業界における25年以上の実務経験と、情報セキュリティ市場に10年以上にわたり特化した経歴を持つ。2017年、PwCコンサルティングに入社後は、同社ならびにPwCあらたを含むPwC Japanグループのサイバーセキュリティビジネスを統括。
同右/綾部泰二(あやべ・たいじ)
PwCあらた有限責任監査法人 パートナー。
2000年、新卒で中央青山監査法人(現PwCあらた)に入社後、システム子会社へ出向し主にビジネスプロセスの変革などに従事。銀行や保険、証券、大手メーカー、大手通信、大手自動車など幅広い業種のプロジェクトを経験。現在はサイバーセキュリティやプロジェクト監査、ITガバナンス、システムリスク管理関連業務の責任者として多数のクライアントにサービスを提供し、インシデントが発生した場合の再発防止策検討や有効性評価の実績も多数。2019年7月よりPwC Japanグループのサイバーセキュリティ Co-Leaderを務める。


「コンサルティングファームは個人勝負」の誤解。PwCで知ったチーム戦重視の風土

――おふたりのキャリアについて聞かせてください。外村さんは外資系IT企業の出身ですね。なぜ、PwCコンサルティングへ転職したのでしょうか。

外村:約20年ITの世界に身を置いた後、サイバーセキュリティの専門会社に移り、クライアントの課題解決に従事しました。

サイバーセキュリティの世界では攻撃手段が巧妙化する一方で、守るための仕組みや部品も高度化しています。しかし、クライアントがそれらを使いこなせなければ、リスクが高まる中で取り残されてしまうという現実に課題意識を感じました。

そこで、この課題解決を支援できるのはコンサルティングファームだと思い、サイバーセキュリティに力を入れている、PwCコンサルティングを選びました。現在は専門部隊である「デジタルトラストチーム」のリーダーを務めています。

実は、かつて「コンサルティングファームで働くのは自分に合っていないかもしれないな」と思っていた時期がありました。なぜなら、チーム戦よりも個人戦を重視するイメージがあったからです。

しかし、入社してからは、それが誤解だったと気付きました。PwCコンサルティングはチーム戦をとても重視するファームであり、そうしたスタンスが事業でも大いに発揮されています。

description 外村氏

――綾部さんは監査法人でキャリアを長く積んでいます。サイバーセキュリティの責任者としてクライアントと向き合うことになったきっかけを教えてください。

綾部:私は、2000年にPwCあらたの前身である中央青山監査法人に入社しました。当時からサイバーセキュリティ部門が存在し、入社間もない頃からこの領域に関わっています。

キャリアの中で1度だけ、他の監査法人を経験しました。事前約束なしでもパートナーとフランクに会話でき、階層や入社年次にかかわらず意見できる、“Speak Up”という文化が根付いたPwCのフラットな組織・風土が私には合っているなと思い、PwCあらたに戻りました。2019年7月からはPwC Japanグループのサイバーセキュリティ Co-Leaderとして、クライアントの課題解決に取り組んでいます。

コンサルティングファームと監査法人の協業で、互いの専門性を発揮する

――サイバーセキュリティの分野で、PwCコンサルティングとPwCあらたの連携はクライアントにとってどんな存在といえるでしょうか。

綾部:サイバーリスクという課題を陸上のハードル競技に例えるなら、「コンサルティング」は常駐も含めてクライアントの近くで働き、ときにはクライアントに立ちはだかる高いハードルも一緒に飛び越えようとするアスリートです。それに対して私たち「監査法人」は、アスリートに対するトレーナーの立ち位置で、クライアントのアドバイザーとして存在しています。

――具体的な連携の実例として、プロジェクトベースで教えていただけますか。

外村:国際的大規模イベントのプロジェクトに向けて、2社連携で取り組んでいます。イベントを安全に開催するためには、サイバーリスクへの備えが欠かせません。

各種のウェブサイトはもちろん、イベント会場や電気、ガス、水道、鉄道、空港などのイベントを支える重要インフラ、さらには金融関連のシステムなど、さまざまな都市機能がサイバーリスクに対応できているかを広くアセスメント(リスクや脆弱<ぜいじゃく>性を事前に把握すること)し、改善すべきものは改善するプロジェクトです。

――日本経済を支えるさまざまな領域の企業サイバーセキュリティ体制の総点検が求められそうですね。

外村:はい。アセスメントの対象は数百社に上ります。私たちコンサルティングの部隊が直接やり取りをすることもあれば、監査法人の部隊が前面に出て、書面を通じて対象企業にお願いをさせていただくこともあります。両社のケイパビリティーを発揮し合わなければ実現不可能なプロジェクトです。

綾部:コンサルタントは、クライアントの中で明確になっていない課題を指摘し、解決に向けて推進する力が圧倒的です。一方で私たち監査法人は、公になっているルールやガイドラインに則ってクライアントの現状をつかみ、課題に対応します。それぞれ独立して業務を行う中で、こうした各々のスキルが発揮されているわけです。

よく知られたマネジメントプロセスに当てはめるなら、「PDCA」のうち「Plan」「Do」をコンサルティングファームが、「Check」「Action」を監査法人が担っているイメージです。

――多様な機能を持つ企業は競合にも多々存在しますが、こうしたコンサルティングファームと監査法人の協業は珍しいのでは。

外村:サイバーセキュリティはPwC Japanグループ全体でも重視しているテーマであります。前述のようにPwCは風土から組織間の壁が低いため、コンサルティングファームと監査法人、それぞれの専門家が連携して同じテーマに注力することが容易です。

綾部:人材ベースでのコミュニケーションや交流も非常に盛んです。サイバーセキュリティの分野は、特に各法人の壁を感じないメンバーがほとんどではないでしょうか。

なぜ、サイバーセキュリティチームではなく「デジタルトラストチーム」なのか

――サイバーセキュリティにおいて、PwCはどのような価値を発揮しているのでしょうか。

外村:私たちは、数百年残る橋やトンネルをつくっている建設会社のように、未来への遺産を築く責任を担っているのだと考えています。

現代ではサイバーリスクは避けては通れませんし、残念ながら一定頻度で実際に被害が発生しています。私たちはまだ被害がない状態から備えていくための仕事をしている一方で、大きな被害を受けてしまった企業や団体のサポートからスタートするケースもあります。

昨今サイバーセキュリティに関する報道が増えていますが、そのような案件に対し、私たちがサポートに入って動き始めるということもあるということです。

綾部:クライアントからは、「インシデントが起きた後の再発防止策を客観的に評価してほしい」という依頼も頻繁にあります。一度失ってしまった社会からの信頼を取り戻す、それも私たちの大切な役割です。だからこそ私たちは「デジタルトラスト」というチーム名を名乗っています。

description 綾部氏

――ミッションの本質は、セキュリティの戦略をアドバイスしたり実務を担ったりすることではなく、クライアントの「社会的信頼」そのものを支えることなのですね。

綾部:はい。私たちの存在が表に出ることは少ないですが、世の中における企業の信頼構築に深く貢献している自負があります。デジタル社会は、信頼の維持・確立が何よりも重要です。そのひとつの証左として、昔はインシデントが起きてもなかなか公表されませんでしたが、最近では企業自らが情報を開示するようになりましたよね。

外村:それはクライアントとの関わりの中でも実感します。最近では経営層がよりサイバーセキュリティ問題に積極的に取り組まれており、私たちへの期待度も高まり続けています。

デジタル領域の経験をシームレスに生かしながら、コンサルタントとして成長する

――今後の事業拡大を踏まえ、どのような人材に来てほしいと考えていますか。

外村:コンサルタントの素養とともに、テクノロジーの目利きができ、正しく扱える人材です。私たちはコンサルティングファームですが、中途で入社する人のバックグラウンドはコンサル経験者よりも異業種出身者が多いです。

なぜなら、「コンサルタントとしては一流でもテクノロジーが分からない」ようでは太刀打ちできないからです。逆に、テクノロジー領域の経験があれば、コンサル未経験でも素養次第で積極的に採用しています。こうして生まれる人材の多様性も重視しています。

綾部:こうしたスキル以上に重要なのがマインドセットです。社会課題の解決に向け、デジタルトラストの考えに共感して実現を目指してくれる人を歓迎したいですね。

専門性についていえば、人はある程度の期間、反復的に同じことを学べばほとんどのことは身に付けられるものです。テクノロジーのバックボーンを少しは求めますが、その専門性は入社後にも十分高められると思います。

――テクノロジー領域から飛び込んだ人は、実際にどのように活躍しているのでしょうか。

外村:事業会社でサイバーセキュリティ系の仕事に携わっていた人なら、クライアントのサイバーセキュリティの運用に際してダイレクトに経験を生かせます。SIer(システムインテグレーター)などでテクノロジーの実装を経験してきた人なら、クライアントの課題を聞いて、どのような体制を築いていくべきかをシームレスに提案できるでしょう。

ただ、そうした仕事だけではコンサルティングとはいえません。サイバーセキュリティの運用を開始した後に何が起きるのか。あるいは、実行に向けてクライアントが意思決定するためにはどんなプロセスを踏まなければならないのか。

稟議や企画書など、企業ごとに設けられているプロセスに段階を追って通過する経験を重ね、コンサルタントとして成長してほしいと思っています。

――今後のデジタルトラストチームとしての取り組みや展望も教えてください。

外村:私たちの取り組みは人に依存せざるを得ない部分があり、人の数でケイパビリティーの総量が決まってしまうことを課題視しています。そこで今後は、デジタルの活用でこの課題を乗り越えていきたいと考えています。人が動くだけではなく、部分的にプロダクトやシステムを活用して解決することも必要でしょう。

「人が書いて人が読む」という伝統的なコンサルティングビジネスのスタイルにとらわれず、人とデジタルのハイブリッドで価値提供するスタイルを追求していきたいですね。

綾部:デジタルトラストチームの活動を通じて日本の産学官連携のハブになっていきたいと考えています。PwCは「産」と「官」にはさまざまなサービスを提供していますが、「学」の取り組みはまだまだこれからです。教育分野でのサイバー人材育成にも力を発揮し、日本全体のデジタルトラストの底上げに貢献したいと思っています。

description 外村氏(写真左)と綾部氏

コラム作成者
Liiga編集部
Liigaは、「外資就活ドットコム」の姉妹サイトであり、現役プロフェッショナルのキャリア形成を支援するプラットフォームです。 独自の企画取材を通して、プロフェッショナルが必要とする情報をお伝えします。