セキュリティー・コンサルタントとして、脅威からお客様を守る

記事をシェアする:

社員が語る「キャリアとIBM」では、社員のキャリアや仕事内容をインタビュー形式でご紹介します。今回は、セキュリティー・コンサルタント、H.I.さんのインタビューをお届けします。

Q.現在の所属部署と入社時期を教えてください。

IBMコンサルティング事業本部でセキュリティに関するサービスを取り扱う部門に所属しています。職種はセキュリティー・コンサルタント、入社は2021年4月です。

Q. 「セキュリティ一筋」のキャリアを歩んでいるのですか？

いえ、そうではありません。最初は自衛隊です。大学を卒業後、自衛官になりました。

Q. 詳しく教えてください。

大学は、自衛隊の幹部自衛官を教育、養成する大学に通いました。卒業後に自衛官になったのですが、怪我を機に、民間の企業に就職することにしました。

その大学には、一般の大学で学ぶような学科もあり、私は情報工学を専攻していました。民間企業への就職の際にITを選んだのは、馴染みがある業界だったことが大きな理由です。システムエンジニアリングサービスを提供するベンチャー企業をはじめ、複数のIT企業を経験し、セキュリティに関わったのは前職からです。

Q. IBMとの出会いを教えてください。

荒川で行われたマラソン大会で、IBM社員の方に誘われたのがきっかけです。

Q. 詳しく教えてください。

人脈作りのために、様々な集まりに顔を出していた時があります。美味しいものを食べる会、日本酒を飲む会等色々と行きましたが、その1つに、荒川で行われたマラソン大会がありました。打ち上げの席の何気ない会話の流れで、キャリアのことやCISSPの資格を取得したことを話題にしていたら、たまたま近くにIBMの方がいて、「うちに来なよ」と誘われたのがIBMを考えたきっかけです。

Q. 「マラソン大会後の飲み会で誘われたからIBMを考えた」当ブログ開設以来初めてのパターンです。

確かに珍しいパターンかもしれません。当時私は、セキュリティ・ソフトウェアの会社で、営業的な仕事をしていました。今後のキャリアを考えた時に、自分でサービスを提供する仕事、コンサルタント的な仕事を経験しておきたいと思い、その方に誘われたのかをきっかけに、IBMの面接を受けることにしました。

Q. これまでのキャリアで大事にしてきた点を教えてください。

正直にお伝えすると、「どうすれば今よりも良い待遇を得られるか」という点を大事にしてきました。ですが、自分が持っている手札、知識、経験から、どのような選択ができるかは限られてきます。ですので、地に足をつけて、今持っている能力をどうすればより伸ばすことができるか、どのような経験を積み重ねていく必要があるか、それはどこで培うことができるかを常に考え、リサーチするようにしています。IBMとの出会いは偶然でしたが、今後のキャリアを考える上で、「ハマった」という印象です。

Q.入社前のIBMの印象を教えてください。

日本市場において非常に存在感がある会社という印象を抱いていました。セキュリティだけを見ても、X-Forceをはじめ、脅威インテリジェンスや関連するサービスを提供している。セキュリティー・オペレーション・センター（SOC）を、最初期から日本で提供している。自社でセキュリティに関連した製品も保有している。かつ、IBMのお客様は、大企業のお客様が中心で、非常に存在感がある会社、という印象を抱いていました。

Q.入社前に抱いていた「不安」や「期待」を教えてください。

不安も期待もありました。

IBMは非常に大きく、グローバルな会社であることから、自分が入って組織の中で価値を発揮できるのか、という不安を抱いていました。優秀な方が多い印象もあり、気後れではありませんが、大丈夫かなという漠然とした不安もありました。

自社で様々な製品を持ち、サービスのポートフォリオが広く、自分が携われる領域、選択肢が多いことには、期待を寄せていました。技術のトレンドが海外から入ってくる流れは、他のIT同様、セキュリティの世界も同じですので、技術的にも、キャリア的にも、グローバルのメンバーと一緒に仕事ができることに期待を抱いていました。

Q.現在の仕事内容、役割マップ^*を見ながら解説ください。

^{*役割マップ
＝「社員が何を行なっているのか」「誰と仕事をしているのか」「期待の大きさ」を視覚化したもの}

AP Squadと呼ばれるバーチャルチームで活動しています。このチームは、Associate Partnerの方がリーダーになり、お客様の課題に基づき、ビジネスデベロップメントや、新規オファリングの開発を行なっています。

Q.お客様は今、どのような課題感をお持ちなのでしょうか？

課題感をお伝えする前に、今、お客様が置かれている状況をお伝えします。

お客様が処理すべき情報量は、それ以前と比べて圧倒的に増えています。DXへの取り組みだけではなく、コロナ禍におけるリモートワークへのシフトも大きな要因です。ここ数年、お客様は、システムのクラウド化を推進し、あるいはワークスタイルを変革するための設備を整えてきました。それまでのIT環境に大きな変化が起きています。変化が起こると、全てが整理されている状態、きっちりと綺麗に守られている状態ではない状態、成熟度が高くない状態で新しいことに挑戦をしていく必要が出てきます。

セキュリティは、「守る」のが役割だと言われます。守るということは、攻めてくる側がいるということです。攻めてくるサイバー犯罪者側も、成果を得たいがために、変化に対応しています。直近だと、生成系のAIを活用しながら巧みに攻撃を仕掛けてくるケースが報告されています。お客様側の環境の変化は、それに伴う攻撃者側の攻撃手法に新たな変化をもたらしています。

その中でお客様が困られているのは、新しい環境に対応しつつ、どのように自社を守っていくのか、という点です。

リモートワークやクラウド化により、攻撃者が攻撃してくる接点が増えている傾向にあります。それまでは、インターネットの口は1つしか用意せず、内部をある程度見ていれば良かったかもしれませんが、今はそうではありません。様々なところに端末が存在し、サーバーやサービスが散らばっています。攻撃者にとっては、攻撃をする場所が多いことを意味します。それぞれをどのように守っていくのか。業務が滞りなく行えるようにするには、何が必要なのか。手を変え、品を変え、様々な手法で攻撃してくる「新しい攻撃スタイル」に、どのように追随していけば良いのか。そのような点にお客様は課題感を感じておられます。

Q.そのような課題感をお持ちのお客様は、IBMにどのような期待を寄せてくださっているのでしょうか？

グローバルを含めた体制が整っている点に、多くの期待を寄せていただいています。最新の知見や、諸外国の実例をベースに、対応方法の話ができるIBMの能力に対する期待です。また、IBMはセキュリティだけではなく、ビジネスを一緒に推進しつつ、セキュリティも頼れる存在である点をご評価いただいています。

製品の観点で見ても、いくつかあります。広範なセキュリティ・ポートフォリオを有していること、さらには、ベンダーロックインではなく、取り扱う製品やサービスがオープンであることも、ご評価いただいている点です。オープンな製品だからこそ、他のパートナー様とタッグを組み、お客様が必要なサービスを届けることができています。

これらが相まって、「IBMに相談すれば」という期待を感じます。

Q.「セキュリティー・コンサルタント」の業務内容を教えてください。

セキュリティと一口に言っても、例えば「サイバーセキュリティ」「情報セキュリティ」「物理セキュリティ」のように、セキュリティの世界は多様で、幅広い領域があります。セキュリティと名のつくもの全てに対応するのが、私たちセキュリティー・コンサルタントです。

IBMセキュリティーの特徴は、領域に捉われずに、お客様にソリューションをお届けできることです。先ほどご紹介したX-ForceやSOCをはじめ、幅広く様々な領域のセキュリティ製品を有しているだけではなく、セキュリティに関する国内外の取り組み事例をご紹介できることが、大きな強みになっています。特に、海外に通じていることは、IBMの大きな特徴であり、強みです。脅威の多くは、海を超えてやってきます。海外では何が起きていて、どのような対策を施しているのか。こういった情報は、お客様を脅威から守るために必要不可欠なものだと思います。

相談は、今までお付き合いのあるお客様から直接いただくケース、社内の別の担当チームから持ち込まれるケースと様々ですし、お客様の状況も様々です。やりたいことが具体化されているお客様もいらっしゃれば、やりたいことが明確ではないお客様もいらっしゃいます。「こういうことがやりたいが、どのように進めれば良いか」の方法論のご相談をいただくケースもあります。

ご相談をいただいた際に、まず私たちセキュリティー・コンサルタントが実施するのはお客様にお話を伺うことです。お客様の、何を守らなければならないのか。それに対して、どのような脅威が考えられ、脅威に対して、どのような対応を施しているのか。「既に何かが発生し、被害を受けておられるのか」それとも「予防目的なのか」によって、必要な取り組みが変わってきます。これらを整理し、お客様に必要な施策を提言するのが、私たちの重要な役割になります。これら一連の活動のために、インタビュー、分析、思考、ドキュメンテーションやプレゼンテーションのスキルが必要になってくるのは、セキュリティ以外の領域のコンサルタントと共通なのかもしれません。

また、「絵を描く」だけで終わらないのも、IBMのセキュリティー・コンサルタントの特徴です。IBMは、セキュリティのソリューションだけではなく、様々なテクノロジー、ハードウェアやソフトウェアを取り扱っています。それらをお客様にお届けするチームとも連携を図ることで「点」ではなく「面」でお客様に必要なセキュリティ施策をお届けしています。

Q.セキュリティー・コンサルタントは、どのようなスキルが求められるポジションですか？

直接的にセキュリティに関するものよりも、「お客様が守りたい対象の知識」が必要だと思います。

例えば業務アプリケーションのセキュリティを例に挙げると、そもそも業務は何を行う必要があり、システムとの接点はどこで起きるのか。そのシステムはどのようなアーキテクチャーで動いており、どのようなコンポーネントを持っているのか。インフラのセキュリティだと、インフラには、どのような構成要素があるのか。それらの知識が前提となり、次に、それらをどう守れば良いのか、という考え方に繋がっていくのだと思います。

Q.IBMでキャリアを重ねる意義を教えてください。

「やりたいと思ったことは、なんでもできる」ことだと思います。これは、「やればできる」という根性論の話ではありません。実際に遂行できる能力が組織として用意されているのが、非常に魅力的です。IBMのセキュリティチームには、実際の案件やプロジェクトのデリバリーはもちろん、知識を得たいという意欲があれば、様々な機会が用意されており、それを活かさない手はありません。

IBMセキュリティーは2023年にIBMコンサルティング事業本部の一員となりました。IBMコンサルティング事業本部は、IBMの中でも特にお客様のビジネスに近い所でサービスを提供しています。これは、今まで以上にお客様のビジネスに対して一気通貫に最適なセキュリティサービスを提供できる形態に変化をしたということを意味しています。

私にとってIBMセキュリティーは、お客様のビジネスに常に最適な形で貢献できる環境であり、自己成長も実現できる最高の居場所だと考えています。

Q.キャリアを通じて、成し遂げたいことを教えてください。

グローバルで通用する人材を目指しています。自分の存在をテコにして周囲の力を引き出し、お客様にサービスを提供する、お客様に還元できる存在になりたいと思います。自分が入ることにより、より多くの価値を届ける、その1つの方法が、グローバルを利用することだと思っています。いつか、グローバルで仕事ができる人材になれるよう、目の前のお客様にしっかりとサービスを提供していきたいと思います。

---