sponsored by PwCあらた有限責任監査法人

PwCあらた有限責任監査法人（以下、PwCあらた）の、システム・プロセス・アシュアランス部（SPA）。顧客企業のビジネスリスクを徹底的に洗い出して事故を未然に防ぐ、“守りのコンサルティング”を提供するプロフェッショナルチームだ。ただし、守りといっても現代におけるセキュリティ領域は、国や企業が継続成長するために最も重要な基盤であることも間違いない。

攻めと守りは表裏一体であり、高まり続ける社会ニーズとは裏腹に、この領域のプロフェッショナルは業界内でも圧倒的に不足している。専門性と希少性の高さから、SPAへの相談や依頼が後を絶たない。そう語ってくれたのは、パートナーである川本大亮氏と、最前線で活躍中の熊坂翔太朗氏、瀧日結氏の3人だ。

※内容や肩書は2021年12月の記事公開当時のものです

ソサエティー5.0を早期に実現するためには、セキュリティの強化が絶対に欠かせない

――SPAチームが対峙している社会課題について教えてください。

川本：ここ数年、急速に世の中全体がデジタル社会に移行しつつあり顕著な変化を感じます。そこで大きなポイントの一つとなるのが、「デジタル空間とフィジカル空間の融合」です。物理的なフィジカル空間に“閉じていた情報”が、だんだんサイバースペースといえるデジタル空間に流れ込むようになりました。

そうすると、個々人の生活に密着したデータや極限までパーソナライズされたデータが、デジタルの空間に蓄積されることになります。これまで以上にone to oneでのマーケティングが実現できるとも考えられますが、詳細なデータを技術的に取得できるからといって、すべてを自由に解禁してしまえば、監視社会だという批判も高まるでしょう。そこで、そういったデータをどう取り扱うかが企業側の頭を悩ませる課題であり、生活者や社会にとってもプライバシー上重要な問題となっています。

このような、世の中になかった新しい課題に対して解決策を提示することが私たちSPAチームのミッションといえます。

――具体的にはどういったソリューションを提供しているのでしょうか？

川本：サイバーセキュリティ、クラウドセキュリティ、事業継続計画（BCP：Business Continuity Plan）、ガバナンス体制の構築支援など、サービス内容は多岐にわたりますが、基本的にはIT関連の「リスク」と「コントロール」の関係を第三者目線で洗い出し、対応策を考えるということです。そこにどんなリスクが潜んでいるのか、適切に対応できていないポイントはどことどこか。そういった調査からスタートすることが多いですね。

私は2006年にPwCあらたに参画したのですが、当時はJ-SOXが導入されるということで、企業のリスク管理体制を強化する機運が高まっている時期でした。そして今、政府が「ソサエティー5.0」を提唱し、サイバー空間とフィジカル空間が高度に融合する時代を迎えています。

ソサエティー5.0を迅速に実現するためには、いかに信頼性を担保するかというセキュリティの観点が絶対に不可欠です。15年前に当社に参画した時も非常にチャレンジングでしたが、今後さらに私たちの持つ専門性が必要とされる世の中になっていくことは間違いないでしょう。

――川本さんは、時代の流れや変化を感じて、PwCあらたに転職されたのですね。

川本：それ以前はIT系のベンチャー企業にいたのですが、スタートアップが次のフェーズにいくためには、内部統制やガバナンス、人や組織面を強化していかなければ難しいと肌で実感していました。そういった領域を学びたいと思っていた時に、ちょうどPwCあらたが次世代を見据えて“守りのコンサルティング”を強化していくと聞き、参画させてもらったという経緯です。

――守りのコンサルとおっしゃいましたが、現代はセキュリティが担保されていることでブランド力や売り上げアップにつながるような気もします。

川本：おっしゃる通りですね。私たちも便宜上守りという言葉を使っていますが、ITセキュリティは新しいサービスを世に出していく際の必須条件になっています。企業だけでなく一般消費者もどんどんセキュリティ意識は高まっていますから、ここが担保されていなければそもそも利用してもらえません。私たちのソリューションは、リスクを削減する守りの施策でもあるけれど、売り上げを伸ばしていくための重要な攻めのファクターでもあります。

詳細なリスクの洗い出しから、組織を一から生まれ変わらせるところまで

――瀧日さんと熊坂さんの入社動機もお聞かせください。

瀧日：学生時代から英語を使って働きたいと思っていたので、まずはグローバル企業を中心に会社選びを。その中でも、自分自身を高めることで価値を提供することに興味があり、コンサルティング業界に進むことを決めました。

最終的にPwCあらたのSPAを選んだのは、先ほど川本さんの話にあった守りのコンサルという側面が大きいですね。企業にとってのお医者さんみたいなイメージで、ここをしっかりしておく必要がありますよと助言をし、いちばん大切な基盤の部分を支える仕事であることに強く興味を持ちました。2018年に新卒で入社して、現在はクラウドセキュリティとITシステムレビューをメインで担当しています。

熊坂：私は2017年の新卒入社です。瀧日さんと同じくコンサルティング業界を見ていたのですが、現代は「コンサルタント」として仕事をしている人が非常に多い。その中に飛び込んでどうやって自分ならではの価値を出していけばいいのかと考えていた時に、当社と出合いました。企業のガバナンスや守りの部分にフォーカスしたファームは珍しく、専門性と希少性の高さに引かれて入社を決めました。

――攻めのコンサルには興味を持たなかったのでしょうか？

熊坂：いわゆる攻めの方が分かりやすくはありますが、みんな同じようなスキルセットなので逆に目立つことができないかな、と。それに、PwCは日本だけでなく世界中にネットワークを持っています。オープン・エントリー・プログラム（OEP）という制度があり、希望すればグループ内の別法人に異動することもできるんですね。もしもどこかで自分の志向が変わることがあれば、OEPを利用して新たな道に挑戦することができる。入社後のキャリア選択の幅が広いことも、PwCあらたに入社を決めた理由の一つです。

――これまで担当したプロジェクトの中で、印象深いものがあれば教えてください。

熊坂：大手インフラ企業さまの情報セキュリティ管理体制構築プロジェクトが印象に残っています。現状のリスクをご指摘しつつ、会社を作り変えるところを一緒にやりましょうということとなり、ご支援させていただくことになりました。

セキュリティポリシーやルール作りだけでなく、実際にどう全国の支社やチームに浸透させていくのか。組織づくりも一からご支援して、会社全体がガラリと変わったと評価をいただいています。また、プロジェクトによってセキュリティ訓練を行うこともあるのですが、before-afterで分かりやすく成果が出ているとやりがいにつながりますね。

川本：例えば何かセキュリティ面で事故が起きた際に、表面的にはテクニカルな設定を変更すれば直せたとしても、根本には別の課題が潜んでいるというケースは本当によくあります。運用ルールが適切でなかったり、リソースが足りていなかったり。本質を見つけ出してケアしなければ、別のところでまた同じエラーが起きてしまうわけです。私たちは応急処置だけではなく根本のリスクを取り除くというコンセプトなので、複数領域の専門家が力を合わせて顧客企業の組織変革に取り組んでいます。

瀧日：私は外資系のお客さまにセキュリティの評価支援をおこなった案件が印象深いですね。資料を読むのもディスカッションもほとんど英語で、自分の専門知識をベースにグローバルな方々と渡り合えたことは大きな自信につながっています。

難しいのはやはり、その会社にとって最適な方法を導き出すこと。ある一つの課題やエラーに対しても、原因は複数考えられますし、それぞれの原因をカバーする方法も一つではありません。複数×複数の選択肢から、お客さまの環境や事情に合わせてベストなやり方を考えていくことが求められます。教科書通りの回答に意味はないですし、すべてのセキュリティレベルをMAXまで引き上げるというのも、コストや利便性の観点から現実的ではない。一社一社にとってのベストを導き出すことが、この仕事の難しいところであり、同時にやりがいでもあると感じています。

ここで培った知見やノウハウを生かし、社会全体の仕組み作りにも貢献する

――セキュリティ評価について、監査法人が関与する国の制度がスタートしたと聞きました。

川本：世界、といっても欧米やアジアなどさまざまなので一概には言えませんが、日本は諸外国と比較するとクラウドサービスの活用において少し立ち遅れている部分があります。そういった状況を打破するために、政府は2018年に「クラウド・バイ・デフォルト原則」を打ち出して、今後のシステム調達ではクラウドを第一優先で使っていくと宣言しました。

しかし、国が取り扱うのはまさに国民の大切なデータなので、やみくもにクラウドなら何でもいいというわけではありません。安心安全なモノを選んで国民を守っていくことが求められます。そこで、クラウド事業者のセキュリティ面の評価をおこなうISMAP（イスマップ）という制度を作ることになり、2020年の秋から、正式にスタートしています。

――どのような形で運用されているのでしょうか？

川本：各事業者が監査法人の評価を受け、ISMAPの内容と照らし合わせて問題がなければ、ウェブ上でISMAPの認定サービス事業者として公開されます。政府はこの登録事業者からしかクラウドサービスを調達できないという仕組みです。

2人が経験したような個々の事業会社さまにソリューションを提供することに加え、そこで培った知見を生かして社会の仕組みそのものを作っていくような業務にも関与できる。この両軸で世の中に貢献できることこそが、PwCあらたのSPAで働く何よりの醍醐味（だいごみ）ではないでしょうか。

――これから入社してくれる人たちには、どんなことを期待しますか？

熊坂：自由な働き方を楽しめる、プロアクティブに動ける方がいいですね。SPAは機能や担当業界で組織が別れていないので、自分がやりたいことに自由に挑戦できる環境です。逆にいえば、言われた通りに何かをやることはほとんどない。自分から動くことを楽しめる方と一緒に働きたいと思っています。

瀧日：まったく同意見です。付け加えるなら自分の意見を積極的に発信した上で、チームプレーを大切にできる人に来ていただけるとうれしいですね。一人だけの力では、お客さま企業を本質的に変革することはできません。マネージャーやパートナーを含めて、さまざまな専門家とフラットに議論しながらプロジェクトを進めていけると良いのではないでしょうか。

川本：日本だけでなくグローバルで色んな人たちと連携しながら進めていくことが多いですからね。チームワークは重要ですし、そうしたプロジェクトを通して国内外の専門家から知識を吸収できる人であれば、かなりのスピードで成長することもできるでしょう。

SPAはITやリスクを専門としたチームですが、この領域は加速度的に社会からのニーズが高まっています。一方でニーズの拡大に人材育成が追い付いておらず、全世界的にプロフェッショナルが足りていません。私たちのチームにはかなりの数の専門家が在籍していますが、それでもまだまだ不足しているのが現状です。

ソサエティー5.0の実現に向けては、また新しい課題も出てくるでしょう。私たちのコンセプトに賛同してくれる仲間を増やして、課題をどんどん埋めていくことが、今後日本社会が継続的に成長していく上で非常に重要な要素だと考えています。

そのためには、若い皆さんの感性が欠かせません。まだ誰も答えを持っていない領域に対して、仲間やクライアントと一緒になって取り組んでいってほしい。少しでも興味を持っていただけた方は、ぜひ名乗りを上げてください。