セキュリティー・コンサルタントとして、お客様の変革に伴走する

記事をシェアする:

社員が語る「キャリアとIBM」では、IBM社員のキャリアや仕事内容をインタビュー形式でご紹介します。今回は、セキュリティー・コンサルタント、T.I.さんのインタビューをお届けします。

Q.現在の所属部署と入社時期を教えてください。

現在はIBMコンサルティング事業本部のセキュリティチームに所属しています。職種はセキュリティー・コンサルタントです。2008年4月に新卒で入社しました。

Q.これまでのキャリアを教えてください。

入社時の職種は、営業です。サーバーやネットワークといったインフラ系のサービスの営業を経験した後に、セキュリティのチームに移り、途中からコンサルタントに職種を変えました。

Q.サービスの営業から、セキュリティのコンサルタントに変わった経緯を教えてください。

新しい分野をやってみたいと思ったからです。

Q.詳しく教えてください。

2010年代の初頭ぐらいから、セキュリティの被害に遭う企業が話題になり始めました。ちょうどその頃、IBMがセキュリティの組織を大きくする話がありました。当時はまだセキュリティを担当している方がさほどいませんでしたし、新しい分野でやってみたいと思ったのが、移ろうと思ったきっかけです。

セキュリティに移って数年後、組織の拡大に合わせて、新たなロールを作る話が持ち上がりました。お客様に寄り添い、会社全体として何をするべきかをお客様と一緒に検討し、ご提案を行い、かつ、プロジェクトを進めていくというロールです。ソリューションや、製品の提案に留まらず、実際にお客様と一緒にプロジェクトを進めていく仕事のやり方に興味があり、職種を変えることにしました。

Q.現在の仕事内容、役割マップ^*を見ながら解説ください。

^{*役割マップ
＝「社員が何を行なっているのか」「誰と仕事をしているのか」「期待の大きさ」を視覚化したもの}

セキュリティー・コンサルタントとして、プリセールスからプロジェクトのフェーズまで担当しています。プリセールスのフェーズでは、セキュリティの課題をお持ちのお客様と会話をし、お客様にとって何が一番必要なのかを見出した上でご提案を行い、次のプロジェクトフェーズに繋いでいます。プロジェクトのチーム構成で一番多いのは、同じサイバーセキュリティのコンサルタントが2〜3名で体制を組み、プロジェクトを進めるケースです。また、私たちコンサルタントがいわゆる上流の要件定義のフェーズを担当し、エンジニアの方々に、後続のシステム設計を行ってもらうというパターンも多くあります。

それ以外にも、お客様向けセミナーでサイバーセキュリティ・リスクや、サイバーセキュリティの最新状況を共有し、何が問題になっているのかをお話しすることがあります。また、チームのリーダーとして、チームのマネジメントを担当しています。

Q.セキュリティー・コンサルタントは、予防と事後、どちらに関わるのですか？

IBMのセキュリティ組織には、実際に起きてしまったインシデントの解決を担当するチームがありますが、私たちはどちらかというと、「予防」を担当しています。インシデントが起きないようにするためには何が必要なのかを考え、ソリューションを提供するチームです。人やポリシー、業務プロセスの話だけでなく、ユーザーの方々に負担を掛けない仕組みをどう作るかを議論しています。また、攻撃されていることに気が付きにくくなっているので、システムやネットワークのログからどのようにサイバー攻撃を発見するか、監視や検知の仕組みの話になることもあります。

Q.お客様は、どのような課題感を持たれていますか？

「どんどん技術を高めてくる攻撃者から、どのように自分の会社や組織を守るのか」という点に頭を悩ませておられるお客様がいらっしゃいます。

Q.詳しく教えてください。

犯罪者は、より発見されにくい形で組織のネットワークに入り込もうと日々技術を高めており、また、金銭的な報酬を狙い、攻撃を仕掛けてきています。以前は、「マルウェアが入ったメールを開いてしまった結果、パソコンの挙動がおかしくなった」というように、局所的な被害だったのが、今はさらに大きな被害が出るようになっています。システムが稼働しないと企業経営ができない実態に付け込み、企業データを不正に暗号化し、復元のための金銭を要求されたケースが新聞やニュースで報道されています。このような脅威から自分の会社をどう守るのか、今の対策で大丈夫なのか、何をしたら良いのかにお客様は頭を悩ませておられます。

Q.お客様は、IBMにどのような期待を寄せてくださっているのでしょうか？

パートナーとして、かつ、セキュリティの専門家として、製品を提供するだけではなく一緒に取り組みを進めることを期待されています。

というのも、表面的な、例えばシステムの設定を変えただけでは防げない脅威が出てきています。ルールやポリシーを整備して、新たな攻撃に備える。それらを組織に広め、浸透させていく。セキュリティに対する企業文化を醸成する。セキュリティ対策は決して一過性のものではなく、継続的な取り組みが必要になっている中で、そのための活動をお客様と一緒に行い、システム面だけではなく、企業文化としてもセキュリティに強い企業に変革していくための伴走が、期待されていることです。

また、IBMがお客様にご評価いただいているのは、何を実装すれば効率的に、効果的に組織を守ることができるのかという知識を持っていること、セキュリティソリューションを持っていることだと思います。

Q.セキュリティー・コンサルタントとしての腕の見せ所を教えてください。

お客様を理解し、ソリューションを作り上げるところが、難しさであり、腕の見せ所です。

製品やサービス、ソリューションをお客様にご紹介するだけではなく、お客様の組織やチームの考え方、セキュリティ担当者や現場でシステムを運用されている方々が見ておられる範囲を鑑みた上で、どのソリューションの、どのような機能を使い、お客様がやりたいことを実現するのが一番良いのかを常に考えています。

セキュリティの攻撃を受け、システムが停止してしまった原因を紐解くと、様々な要因が浮かび上がります。セキュリティにどこまで社員の方々が関心を寄せているのか。ルールが存在しているのか。それは守られているのか。日々の業務で忙しい現場の方々が運用できるプロセスになっているのか。また、それまでサーバーで運用していたシステムをクラウド化する際には、何に気をつければ良いのか。ネットワークやアプリケーションはどうなっているのか。システムの設定だけではなく、会社のカルチャーや仕事の進め方に至るまで、実に様々なエリアに、サイバーセキュリティへの取り組みが求められます。お客様の現状を把握し、何が必要なのかを見出すところが、私たちの腕の見せ所です。

また、漏洩時のインパクトが大きい情報資産が何かを把握し、それが現在どのように扱われているのかを踏まえた上で、適切なソリューションを作り上げるようにしています。

Q.チームの特徴を教えてください。

新卒、中途、セキュリティ経験者、未経験者、バラエティーに富んでいるのが特徴です。
新卒で入社し、それ以来セキュリティを担当している方、コンサルティングファームから転職してきた方、セキュリティを他の会社で経験してきた方、ネットワークのエンジニアや、プロジェクト・マネージャー出身の方もいます。バックグラウンドが異なるからか、多様性を受け入れる素地がみなさんある印象です。

IBMのセキュリティチームは、ソリューションの幅が広く、プロジェクトのテーマが多岐に渡ることから、経験を積み重ねることで、セキュリティー・コンサルタントとしての幅を広げることができるチームだと思います。色々なことに興味を持ち、新しい分野であっても積極的に吸収し、自分の糧にするマインドがある方に向いていると思います。

Q.IBMでのキャリアを通じて成し遂げたいことを教えてください。

お客様にとって、一番良い形の「パートナー」は、お客様が置かれている状況によって異なり、様々な外部環境の変化によっても変わり続けるものだと考えています。どのようなパターンであっても対応可能な柔軟性を持つこと、また最適なパートナー関係を、変化させることも含めて、適宜ご提案できるだけの経験と実績を積み重ねていきたいと思います。

インタビュー・執筆：根本 亮
Talent Marketing Specialist