セキュリティコンサル歴17年、なぜ外資ベンダーではなく国内ベンチャーファームでセキュリティチームを新設したのか？/デジタルアーツコンサルティング株式会社CISOチーム トップインタビュー

今回はデジタルアーツコンサルティング株式会社（以下DAC）の中でも「セキュリティ」に特化したコンサルティングサービスを提供するCISOチームの統括部長 吉田卓史 様、シニアコンサルタントの堀野大紀 様、コンサルタントの神戸文香 様へのインタビューです。

Big4系セキュリティファームを経て、外資セキュリティベンダーのコンサル組織立ち上げを複数任されたセキュリティ領域一筋の吉田様が、なぜ他の大企業のコンサルポジションを辞退してDACに入社したのか。転職動機や、吉田様率いるCISOチームの特徴、ソリューションやキャリア面での大手ファームとDACの違いなどについてお聞きしました。

※記事内容は2020年2月時点のものです

セキュリティ歴17年、McAfeeなど外資ベンダーでのコンサルチーム立ち上げを経てDACへ

長谷部
最初に、吉田様が立ち上げられたCISOチームはどのような組織なのかお話しいただけますか。

吉田様
CISO＝Chief Information Security Officerという、組織の中のセキュリティ責任を持つ役員などをサポートするための組織です。

吉田卓史 様

長谷部
CISOチームを立ち上げるまでの吉田様のご経歴についてお伺いしてもよろしいでしょうか。

吉田様
私は2003年に新卒でNTTデータに入社いたしました。それ以来セキュリティのコンサルティングをなりわいとしております。2010年には、より専門的にセキュリティコンサルティングを経験するため監査法人トーマツに転職しました。この2社では、ガバナンスや監査、マネジメントコンサルを中心に経験していました。

その後、セキュリティコンサルティングチームを作るというミッションをうけて、外資セキュリティベンダーであるMcAfeeに転職しました。McAfeeではセキュリティ機器のログを集約してセキュリティ侵害の兆候を検知したり、実際に侵害が起こった際にそれを調査分析したりするSIEM（Security Incident & Event Monitoring）を取り扱い、企業全体への攻撃を監視するセキュリティセンターの設立もリードしました。McAfeeでは前職と異なり、テクノロジー系のコンサルティング経験が積めました。

次に、ファイヤーウォール系のソリューションを提供している、Palo Alto Networksに転職しました。そこではMcAfee在籍時と同様に、セキュリティのコンサルティングチーム構築に4年半携わりました。たった1人で0から始め、4年目には最終的に5億ほどの売上を上げる組織になっていました。

長谷部
前職から転職された理由をお伺いしてもよろしいでしょうか。

吉田様
転職したきっかけですが、前職のPalo Alto Networksは本社がUSにあるということもあり、ソリューションの提案やマネジメントの運営方針への関与など、できることに制限がありました。その中で4年以上勤め、自分のやるべきことはすべてやり尽くしたと思ったからです。

長谷部
そのような背景の中で、どうしてDACを選ばれたのでしょうか。

吉田様
実は、DACに転職する前に、誰もが知っている米国のクラウドサービス事業者（以後、CSP）に入社が決まっており、すでにオファーレターにサインまでしていました。CSP にはコンサルで採用される予定だったため、「セキュリティ×クラウド×コンサル」のケイパビリティを伸ばせる魅力的なポジションであったことは確かです。ただ、同社はグループ35万人を超える超大企業で、前職以上に大きな組織です。そのため、前職の延長線上で仕事をするイメージがあり、3年程度で再度転職してしまうのでは？という危惧もありました。

そのようなことを考えていた折に、DACの社長から「0からセキュリティのコンサル部隊を企画してほしい」という、非常にありがたい、裁量のあるポジションへのオファーをいただきました。この話をいただいた時、ちょうど人生におけるキャリアの後半を迎えようとしていた時でした。「DACに入社するからには、『3年いればいいだろう』ではなく、ここを最後の会社にしよう」というくらいのポジティブな思いで、マネジメントとしての新しいチャレンジができるのではないかと考え、最終的に入社を決意しました。
私のことをよく知っている人たちには「某CSPに行きます」とメールを送っていたので、いざあいさつに行ったら「名刺が違うじゃないか」と言われることが続きましたね。

親会社の「信頼」や「資金力」があるからこそ採用も前倒しで進められ大手企業とも取引ができている

長谷部
御社に入社し、どのような点に働く面白みを感じていますか。

吉田様
入社した時は私1人しかおりませんでした。今では部下を含めCISOチームとして10名を超えるまでに拡大しています。
採用面談やリファーラルのリクルーティング活動もすべて1人で行い、組織を大きくしてきました。さらに、今年度末にかけてチームメンバーは15名にまで増える予定です。自分で思い描いた組織戦略を実現するための活動に制限がないため、自由に施策を打ち出せる点が非常に面白いと考えています。

また、豊富な資金力がある点も魅力的ですね。立ち上げから3年、10名程度の規模の会社が、1年間で一気に15名以上もの人材を採用するというのはとんでもないことです。
立ち上げたばかりの一般的なベンチャーファームで、これほど一気に人件費を増やすのは非常に困難です。そこは親会社のご協力もあり、チームのトップとして好きにやらせていただけています。

長谷部
組織運営という面に関して、堀野様、神戸様はDACだからこその面白みを感じる機会はございますか。

堀野様
たとえば、新サービスの開発や、中途人材育成のプラン、研修コンテンツ作成などについて、立場に関係なく自分発信で提案し、関われます。また、その取り組みの成果も直ちに現れます。大企業よりはるかに速いスピードで進む組織運営は、成長途中の組織であるDACだからこそ味わえる面白みだと感じています。

堀野大紀 様

神戸様
毎月の経営会議は全員参加です。前職では、社長は雲の上の存在で、経営方針や施策に関する意向を直接聞く機会はほぼありませんでした。DACでは経営状況や各チームの進捗についてトップに直接聞けるので、組織運営への責任感や連帯感が生まれ、「会社を作る」という視点にぐっと現実味が増したと感じています。

神戸文香 様

長谷部
セリングや実際のコンサルティングのフェーズではいかがでしょうか。

吉田様
親会社のブランドイメージは非常に高いものがあります。i-Filterは、フィルタリングというカテゴリーにおいて日本で最も知名度のあるソリューションです。そのため、親会社の紹介でなくとも、私どもがお客様や知り合いに対して「デジタルアーツコンサルティングです」とあいさつをしに行くと「ああ、 i-Filterの！」と言っていただける。そこはお客様に対する最初の印象・信頼感という面では非常に良い効果があると感じます。

たとえば、大手企業に「ベンチャーを立ち上げたので直接取引をしてください」とお願いしても、契約まで至るのはなかなか難しいと思います。しかし、デジタルアーツという冠がついていることにより、通常なら弊社のようなサイズの企業と直契約しないような巨大企業と直契約を結べています。そのような点は親会社に感謝しているところです。

長谷部
御社も親会社が大手セキュリティメーカーですが、転職時に懸念されていた”しがらみ”という点ではいかがでしょうか。

吉田様
もちろん、親会社のソリューションも広められるのが1番ですが、それよりも親会社のソリューションがカバーできていない範囲に対して、さまざまな先進的ソリューションを組み合わせることにより、総合的にお客様を支援することが私どもには求められています。そのため、DACはさまざまなパートナー企業とアライアンスを結んでいます。お客様が最も必要とする部分に対してアプローチできるツールを選べる自由度にも魅力を感じています。

長谷部
堀野様から見てもソリューションの自由度を感じるケースはございますか。

堀野様
吉田の話にもありましたが、DACはさまざまなパートナー企業と提携を結んでいます。これにより、お客様の課題を解決するために最適なソリューションを見極め、導入を支援することが可能となります。何らかのソリューションありきではなく、お客様の課題ベースで議論できる場面や、最新のソリューションを選択肢として考えられる場面では、この自由度を感じます。

大手ファームのセキュリティ経験者や40代エンジニアが中核、一方で現在は若手のセキュリティ未経験層も増えている

長谷部
定量的に見た際にはどのようなご経歴の方がいらっしゃいますか。

吉田様
コンサルティングとエンジニアリングのケイパビリティがある方で構成されています。コンサルティングに関して言うと、バックグラウンドは多種多様です。以前は大手ファーム出身のメンバーが多くを占めていましたが、今はそうではありません。
また最近は、セキュリティ領域について未経験であっても、意欲の高い方を採用しているので、年齢層もばらばらです。マネージャーも私以外に1名採用しました。年齢は30代と20代が半々くらいでしょうか。

エンジニアは若干年齢層を高めにしています。これは、チームの立ち上げのタイミングでは、セキュリティ領域を1人でリードできるメンバーを採用しなければならなかったためです。年齢層としては、40代半ばが中心になっています。そのメンバーが中心となり、現在は若手エンジニアを採用し、育てている段階です。

長谷部
本当に年齢層であったり前職の企業規模であったり、ご経験もみなさん多種多様なバックグラウンドなのですね。

神戸様
社会人2、3年目ぐらいの方も積極的に採用しています。社会人2、3年目ではプロフェッショナルと言える領域は少ないと思うのですが、「一緒にセキュリティ分野を盛り上げていきたい」という当チームのパッションに賛同いただいたり、「”セキュリティ”という得意分野を手に入れたい」と思っていただいたりしている方なら大歓迎とのことで、積極的に採用されています。本当にいろいろなバックグラウンドの方と仕事ができ、学ぶことが多くあります。

長谷部
堀野様、神戸様はどのようなご経歴を経てDACに入社されたのでしょうか。

堀野様
私は、大学卒業後にNTTデータ経営研究所に入社し、そこで情報セキュリティの分野に携わり始めました。当時はセキュリティの分野以外にも金融業界の調査研究や人材領域などのコンサルティングにも幅広く携わっておりました。その後、セキュリティ分野の専門性を高めたいと思い、監査法人トーマツのリスクアドバイザリーに転職しました。ここでは、サイバーセキュリティをはじめ、BCP策定や個人情報保護対応、国際規格対応なども含めた、リスクマネジメント分野でのアドバイザリー業務を行っておりました。 その後、海外のセキュリティソリューションに関する先進的な取り組みを通じて、セキュリティコンサルタントとしてのスキルをより一層高めるべく、吉田に引き抜かれる形でDACに転職いたしました。

長谷部
神戸様はいかがでしょうか。

神戸様
私は新卒でNTTコミュニケーションズに入社し8年半在籍しました。入社後6年間は子会社のNTTPCコミュニケーションズに出向し、プリセールスSE兼プロダクトSEとして、法人向けネットワーク商材の提案、設計、検証、構築を行い、その過程で得た顧客の声を開発サイドにフィードバックするなどの開発支援を行っていました。プロジェクトによっては保守設計までさせていただき、提案から保守まですべてのフェーズに携われました。この6年間で、一社会人として、また、一エンジニアとして大きく成長させてもらえました。
その後、この現場で得た知識や経験をサービス開発という立場で活かしたいと思い、親会社に戻りました。しかし、2年ほど携わる中で「社内でサービスを作る作業より、お客様のそばで、お客様のさまざまな課題を解決する立場でありたい」と気づきました。そして、お客様にどのフェーズでも関わり続けられて、お客様の課題をきちんと解決できるような、そんな仕事を求めてDACに転職いたしました。
コンサルティング事業をうたっている会社で、コンサルから構築、運用まで携われる会社は少ないのですが、触れ込み通り、どのフェーズにも携われている現状に、転職して良かったと感じています。

長谷部
全社的にはどのような理由で転職される方が多いのでしょうか。

吉田様
私どもはPalo Alto NetworksやSplunkなど、業界の最先端をいくソリューションを取り扱っています。やはり、堀野のように新しいソリューションを通してスキルアップをしたいという理由で弊社を希望する人が多くいる印象です。その他にも、今、セキュリティ領域が市場の中でもホットであるという印象を実際に肌で感じている方もかなりいらっしゃると感じています。コンサルやSEとしてやってきた方の中でも、「よりセキュリティの色をつけたい」、「マーケットでセキュリティ領域の価値を上げたい」というモチベーションの人が多いと感じますね。

長谷部
思い描いたキャリアを描けているのでしょうか。

神戸様
自分の意志でキャリアを描きやすいと思います。もちろんプロジェクト次第ではありますが、吉田や他のマネージャーも、メンバーの希望に沿うようにアサインを配慮してくれています。入社してから私が携わっていたのは、セキュリティの中でもガバナンスの領域でしたが、「現在のお客様と作り上げたガバナンスをシステム上で実現する構築フェーズにも携わりたい」、「その際にはプロジェクトマネージャーという立場で貢献していきたい」という思いをくんでいただき、現在のプロジェクトでは構築のPMを任せていただいています。初めてのことも多く、毎日四苦八苦していますが、それ以上のやりがいと自身の成長、そしてお客様の課題を1つ1つ解決していっている達成感をひしひしと感じています。

長谷部
吉田様は、アサインの方針は今までのご経験を活かして決定しているのでしょうか。

吉田様
私どもはチームメンバー採用時に、「セキュリティコンサルに特化したCISOチームのメンバー」と明確にして採用しています。
もちろん、これには一長一短あります。
大手ファームでは、若手のメンバーに対してプール制を敷くケースが多く見られます。これには、「汎用的なスキル・ナレッジが身に付く」、「専門性の選択の自由がある」というメリットはあるものの、「どのようなプロジェクトにアサインされるか選べないことが多いため、思い描いたキャリアを築きにくい」というデメリットもあります。
私がNTTデータを辞めたきっかけも、NTTデータ経営研究所への出向が終わるタイミングで、「NTTデータのセキュリティ組織に戻りたい」と相談したのですが、会社の都合上戻せないと言われたのが実際のところです。NTTデータ時代の同期を見ても、17年間続けてセキュリティの仕事に関わっている人は2名ぐらいしかいないので、仮に私がNTTデータに残ったとしても、セキュリティの道を歩めた可能性は確率的に480分の2です。

「若手のうちから将来のキャリアに専門性をつけたい。それがセキュリティだ。」という明確な指針を持っている方であれば、CISOチームは最適な環境を提供できると思います。私自身、社会人経験17年でセキュリティしかやってこなかった、なかなか変なキャラクターなので、若い頃からスペシャリティを身に付けたいという気持ちもよく分かります。そのため、個々のキャリアの希望に沿ったプロジェクトにアサインするようにしています。

外資ベンダーとのコネクションゆえに、最新のセキュリティソリューションの取り扱いや情報提供も可能

長谷部
一言に「セキュリティコンサル」といえども、ソリューション、そして抱えるプロジェクトもさまざまです。まずCISOチームが目指す方向性について教えていただけますか。

吉田様
私どもはどちらかと言うとセキュリティ業界では後発ですので、次世代の技術を使ったテクノロジーのコンサルティングを推し進めていきたいと考えています。そのため、セキュリティの分野でも非常にホットなキーワードである「自動化」や「AI」、そのようなソリューションをお客様に対して提供していくことを主軸に推し進めていきたいと思っています。

ただ、テクノロジーだけでコンサルティングがうまくいくかと言うと、そうではありません。より上位の概念であるガバナンスやマネジメントの観点で、しっかりお客様と合意し、お客様が何を目指しているのか、どのようなセキュリティの体制で、どういうものを守っていきたいのか、という戦略部分をきちんと考えた上で、戦術レベルに落とす。サイバーセキュリティのコンサルティングはその戦略部分が重要なので、「戦略」と「戦術」をうまくつなぐことができるメンバーを集めて、お客様に貢献したいと考えています。

長谷部
クライアントの規模感はいかがでしょうか。

吉田様
今までセキュリティ業界で築き上げた関係性や実績、また親会社が有名企業であることから、幸いにも大手ファームと比較しても遜色ない、売上高数兆円規模のビッククライアントも多くいます。仕事をしていく上で、誰もが知っているような大企業をお客様としてコンサルティングできることは、ひとつの魅力です。

長谷部
セキュリティコンサルと一言で言っても、大手クライアントに対して戦略を立てるところからテクノロジーにつなぐ業務、組織をどう変えていくのかまで一貫してサポートされているイメージですね。
お話の中にあった新しいテクノロジーの活用事例があれば、お伺いできますか。

吉田様
今取り組みが始まったばかりではありますが、セキュリティのイベントを監視するセキュリティオペレーションセンターに自動化技術を導入しようとしています。
これまでの監視は人の目に頼る場面がかなり多くありました。たとえば、大きなセキュリティオペレーションセンターでは1次切り分け・2次切り分けという言い方で業務が分かれています。1次切り分けをする人だけでも10名いるような規模です。自動化を取り入れることで、1次切り分けをする人員をすべて削減できるような、ドラスティックなソリューションを導入しようと考えております。

長谷部
今のセキュリティというマーケットにおいて御社が求められる理由や、御社だから提供できるサービスをお聞かせいただけますか。

吉田様
外資セキュリティベンダーとのパイプがあるため、セキュリティ領域で日本の一歩先を行く最新の技術を取り扱っている点が強みだと思います。
Palo Alto NetworksやMcAfeeで築き上げた信頼関係があるため、最新の技術情報も積極的に提供してもらえたり、一緒に組んで仕事をしようと声を掛けていただいたりすることもあります。

また、堀野もそうですが、セキュリティに関する経験値が非常に豊富なメンバーをそろえていますので、大手外資コンサルティングファームと遜色ない質のサービスを提供できると自負しています。まだ30人規模ですが、その分余計なコストを省き、非常にリーズナブルな価格で、お客様に付加価値の高いものを提供できていると自信を持って言えます。
また、コンサルティングサービスを提供するのみで、「ソリューションは自分たちで調達してください」というスタンスの会社も多い中で、私どもはソリューションもお客様の希望に応じて商社的に仕入れてお納めすることもできます。トータルでサービスを提供できるところが私どもの強みだと思います。

セキュリティ業務を”こなす”ではなく、未経験でもセキュリティの最先端で前例のないサービスを作りたい方を求めている

長谷部
CISOチームでは現在どういったマインドセットやスキルの方を求めているのでしょうか。

吉田様
今は、指示待ちになるような人員ではなく、自ら動ける、自らやりたいことに飛び込んでくれるような方を中心に採用しています。
先ほど申し上げたように、私どもは業界のかなり最先端を行くソリューションを扱っています。自分のスキルアップをしたい方や、今までシステムエンジニアとして経験を積んできた方でも、よりセキュリティの色をつけたい方を求めています。

反対に、残念ながらご縁がなかった方々の特徴としては、ある程度できあがったサービスラインに乗ってセキュリティの業務をこなす志向の方です。
今、私どもがやらなければいけないことは、サービスを作ることや、新しい技術を使って前例のないものにチャレンジしていくことです。定型的な業務や、決まったソリューションを回したセキュリティならできます、というような人はあまり適していません。
組織を拡大するステップに応じて、たとえば2〜3年後はそのような方も必要になってくるのではないかと思います。ただ、今の立ち上げ期では、やはり意欲を持って自分から飛び込んでいけるような方を集めたいと考えています。

長谷部
ただ単にオペレーションを回していた方よりも、能動的に課題や効率化を進められてこられた方や、そういったマインドセットをお持ちの方がフィットするのですね。

吉田様
そうですね。能動的なマインドであれば、セキュリティ未経験でも私は良いと思っています。
弊社のバリューで「Think Big」と言っている部分に通じますが、今までやってきたことを継続したいと考えるのであれば、弊社でなくてもいいと思います。やはり、既存の枠にとらわれないことに挑戦したい方が弊社にフィットするのではないでしょうか。

長谷部
最後にメッセージをいただけますか。

吉田様
一言で言うと「業界の雄になろう」と私どもは考えています。
大手ファームではあくまでも業務改善やPMがメインストリームである一方、私どもはセキュリティ“を”なりわいにしている会社ですので、弊社に入ればセキュリティがメインストリームです。セキュリティコンサルの業界の中でも、「DACはとがっている」というイメージを与えられるところまで大きくしたいと思っています。

さらに、将来的には親会社同様に上場を目指していますので、会社が大きくなる過程を一緒に味わえることも魅力になるでしょうか。
自分自身の成長が会社にオーバーラップしていくことは今しか味わえない体験なので、チャレンジしたいという人材とともに「業界の雄」になっていきたいと考えています。

吉田卓史 様

2003年-2010年：NTTデータ
2010年-2013年：有限責任監査法人トーマツ
2013年-2015年：McAfee（Intel Security）
2015年-2019年：Palo Alto Networks
2019年5月-：デジタルアーツコンサルティング

17年間にわたり、一貫してサイバーセキュリティに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。DACにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

堀野大紀 様

2009年-2013年：NTTデータ経営研究所
2013年-2019年：有限責任監査法人トーマツ
2019年8月-：デジタルアーツコンサルティング

サイバーセキュリティをはじめとして、個人情報保護やBCP策定、国際規格対応、ガバナス整備、CSIRT構築支援などを含む、リスクマネジメント分野でのコンサルティングに関する幅広い経験を有する。現職においては、現場でのプロジェクト推進の他、サービス開発や採用活動、社員研修などにも携わり、CISOチームの中心メンバーの一人として活動している。

神戸文香 様

2011年-2017年：NTTコミュニケーションズ（NTTPCコミュニケーションズへ出向）
2017年-2019年：NTTコミュニケーションズ
2019年11月-：デジタルアーツコンサルティング

通信キャリアにおいて、要件定義からネットワーク設計、構築、保守までネットワーク導入における全工程に携わり、ネットワーク導入・サービス開発などのプロジェクトを多数経験。
現職では、ISO 27017やNIST SP800-171などの国際規格準拠支援プロジェクトのプロジェクトマネージャーを務め、顧客のガバナンス設計からシステム構築・運用までワンストップなコンサルティングを行っている。

デジタルアーツコンサルティング株式会社

サイバーセキュリティ対策で確かな実績を築くデジタルアーツ社(東証一部上場)の子会社として2016年に設立。経営部門に対する事業戦略、IT戦略策定から実行までの支援を得意とするコンサルティングサービスと、20年以上にわたるサイバーセキュリティ対策の実績に裏付けられたノウハウを活用したセキュリティコンサルティングサービスを提供する。クライアントが抱えるあらゆる課題に対して、戦略立案から実行までをワンストップで支援。先進的且つ高品質なサービスの提供により、クライアントのビジネスの加速・拡大に寄与している。

アクシスコンサルティング

アクシスコンサルティングは、コンサル業界に精通した転職エージェント。戦略コンサルやITコンサル。コンサルタントになりたい人や卒業したい人。多数サポートしてきました。信念は、”生涯のキャリアパートナー”。転職のその次まで見据えたキャリアプランをご提案します。