「攻め」のサイバーセキュリティで企業価値を高める――デロイト トーマツ サイバーの魅力

目次/Index

1. 「守り」だけでなく「攻め」のサイバー空間を担う
2. 日本のBIG4で唯一SOCを持つ独立したサイバーセキュリティ組織
3. サイバーセキュリティコンサルティングの市場は2030年に2兆円規模と想定
4. サイバー人員の不足に対応するため、サイバーアカデミーで育成に注力

「守り」だけでなく「攻め」のサイバー空間を担う

――デロイト トーマツ サイバー（DTCY）を立ち上げた経緯、桐原様がそこにかける思いを教えてください。

まず1つは、日本のデジタルビジネスを伸ばしたいという意図がありました。世の中のデジタル化が進むほどに、サイバーセキュリティを重要視する機会は増えていきますが、日系企業は対応が比較的遅れています。日系企業のサイバーセキュリティを支援することで、国際競争力を上げていきたいという思いがあります。

DTCYは、デロイト トーマツ グループのリスクアドバイザリー（DTRA）とコンサルティング（DTC）のジョイントベンチャーのような形で立ち上げ、両方から人が集まってできた組織であることが特徴的です。

会社名を「サイバーセキュリティ」にせず、「サイバー」にしたのには理由があります。「セキュリティ」と聞くとどうしても「守り」のイメージがありますが、今の「サイバー」はもう「守り」だけの時代ではありません。もちろんリスクやセキュリティの要素はありますが、サイバー空間をもっと上手く使って安心・安全にビジネスをするというポジティブな側面、「攻め」の姿勢を打ち出したかったことから、あえて「セキュリティ」を取って「デロイト トーマツ サイバー」としました。

――サイバーセキュリティ領域における「攻め」とは、たとえばどのようなことを指すのでしょうか。

企業が新しいデジタルビジネスを始めようとするとき、当然の前提としてサイバーセキュリティが同時にスコープに入ります。

例えばWebサービスで、ユーザーごとにパーソナライズした情報を表示する機能があるとユーザビリティが上がり、ユーザーの満足度も高まる──そういう場面では、ユーザーの情報を取得する必要があります。その情報が漏れないよう「守る」ことを考えるわけですが、逆にいうとセキュリティ対策なしにその機能は実現できないともいえます。

そのように、サイバー攻撃からシステムを「守る」だけでなく、サービスや製品の価値を高める、つまり「攻め」の裏付けとなるサイバーセキュリティをわれわれが担うという意味合いです。

――DTCYはグループ内ではどのような立ち位置で、何が求められているのでしょうか。

位置づけとしては、グループガバナンスを担うデロイト トーマツ合同会社直下の会社です。「リスクアドバイザリー」や「コンサルティング」などの主要法人と同列なので、連携がしやすい立ち位置ですね。

デロイト トーマツ グループ全体のビジネスがデジタル色を強めてきているため、われわれがそれを裏から支えることや、ビジネスをスムーズに連携する触媒としての役割への期待は非常に強いものだと思っています。

日本のBIG4で唯一SOCを持つ独立したサイバーセキュリティ組織

――他社ではファームの中にセキュリティ組織を持っていることが多いと思いますが、貴社のように独立した会社となっていることでどのような優位性があるのでしょうか。

サイバーという名前のついた会社をつくったことで、採用マーケットにおける認知度は高まりましたし、同様にクライアントからも何をしている会社なのかが分かりやすくなったということが1つあります。

日本のBIG4において、われわれだけがセキュリティを監視するSOC（Security Operation Center）を8年前から持っています。サイバーセキュリティの技術的なケイパビリティをわれわれが有していることの裏付けであり、お客様企業からも「デロイトは本気だ」と評価されることが多いですね。

大きな組織の中にいた方が、その組織の中でコラボレーションしやすいという考え方があるかもしれません。ただ、われわれは組織としては独立していながらも、グループ内でコラボレーションが促進される仕組みを整えているので、連携という意味では問題ありません。今やお客様企業からすると、デジタルビジネスに挑む時にサイバーセキュリティへの対応は必須のものとなっています。マーケットからの期待は大きく、自ずとグループ内での連携がなされる構造になっています。例えば、DTCのコンサルタントとわれわれが一緒にクライアントを訪問して、新規ビジネスの中からサイバーセキュリティ関連の案件が出てくることも多々あります。

また、DTCYは1つの独立した法人なので、サイバー人員やそれをやりたい方が好む人事制度や報酬体系、研修などの仕組みを独自につくりやすい点は、会社組織としてのメリットだと考えています。

――桐原様から見てDTCYはどのような組織カルチャーをおもちだとお考えですか。

今、DTCY本体の社員数は約450名、関連会社も含めると650名ほどの組織規模になっており、急拡大の最中にあります。加えてコロナ禍の時期に設立したこともあって社員同士あまり直接会えていないため、カルチャーはこれから醸成していく段階です。

ただ目指すところとしては、クライアントフォーカス、タレントハピネスという点は重視しています。また、「守りだけでなくビジネスを成長させるようなサイバーをやろう」という意識は、皆が共通してもっていると思います。

サイバーセキュリティコンサルティングの市場は2030年に2兆円規模と想定

――サイバーセキュリティ領域のマーケットの現状と今後の展望をどのように見ていますか。

お客様企業のビジネスもそうですし、皆さんの日常生活もそうだと思うのですが、体の半分くらいはサイバー空間で生きているような状況が珍しくありません。こうした環境の活用は今後さらに促進していくでしょう。日本のリアルの街中は安心・安全が保たれていますが、体の半分がいるサイバー空間はあまり治安がよくありません。ですからわれわれが、サイバー空間の治安を守っていきたいと思っています。

われわれはガートナーと市場調査を実施していますが、現在の日本のサイバーセキュリティコンサルティングの市場規模は、およそ1兆円です。これが2030年には恐らく2倍ほどになると予想されており、急激に成長しています。中でも、これまでIT（インフォメーション・テクノロジー）中心だった市場が、工場やR&DなどのOT（オペレーション・テクノロジー）に移っていくのが1つの大きなトレンドとなりつつあります。

また業界ごとに見ると、現状は金融業界や政府系が中心となっており、それは恐らく2030年頃まで変わらないでしょう。しかし、OTやIoTが進展するのにともなって自動車を含む製造業が大きく市場を伸ばしていくと考えられます。

特にIoTについては、サイバーセキュリティに関するさまざま規制を各国が設けており、それに対応しなければ製品が出荷できないような状況になっています。今後はその規制がさらに厳しくなると想定できますが、その規制をギリギリの線でクリアするのではなく大幅な余裕をもってクリアすることが、高品質の証明にもなっていきます。そうした規制対応の機会を通じて、企業がどのようにマーケットへ訴求していくかが問われる時代になるでしょう。

――今後3〜5年の間で注力すべき業界や領域があれば教えていただけますか。

エマージングテクノロジーと言われるような、AIやweb3、メタバースといった技術領域は主な投資対象だと思っています。

また、われわれは「オペレート」という言い方をしていますが、本来お客様企業が内部で対応する機能をわれわれが肩代わりするサービスを始めています。そのニーズが非常に高い状況です。

そうなっている背景には、サイバー人員が不足している現状があります。われわれがどんなにお客様企業にアドバイスをしても実行できないケースもあります。そのため、仕組みを構築する部分までわれわれが担ったり、構築した後の日々の運用をわれわれが代行したりするケースも発生しつつあります。

――今後サイバーセキュリティにまつわる新しいトピックとしてどのようなものがありますか。

1つは「宇宙」でしょうか。今あるIT系のインフラには人工衛星などを使っているものもありますので、宇宙にある設備をいかに守るかという課題は今後クローズアップされていくと思います。それ以外にも「経済安保」や、先ほどお話ししたいろいろな新しいレギュレーションが出てきていることも大きなトピックです。

あとは「投資家」。企業がサイバー攻撃を受けると株価が多大な影響を受けるため、投資家はセキュリティを非常に気にしています。ここ数年は、PEファンドが企業を買収して企業価値を高める施策の重要な1つが「サイバーセキュリティのケイパビリティを上げる」ことになっているほどです。

また、企業の製品のユーザーにとっても同じことがいえます。セキュアな製品とそうでない製品があったとしたら、コンシューマーは当然セキュアな方を選びますよね。つまり、セキュリティ自体が品質やブランドの価値に直結します。ですから、サイバーセキュリティはもはやテクノロジーだけの話ではないのです。

サイバー人員の不足に対応するため、デロイト トーマツ サイバーアカデミーで育成に注力

――先ほどサイバー人員が著しく不足しているというお話がありました。それに対応する施策がデロイト トーマツ サイバーアカデミーになるわけですね。どのような方に受けてほしいとお考えですか。

デロイト トーマツ サイバーアカデミーは、サイバー人員を育成するためにわれわれがつくった教育プログラム・組織です。IT職種の人も、そうでない人も含めてサイバーセキュリティの知識ゼロの状態から業務ができるレベルまで育成する内容になっています。

本音を言うと、日本の全国民に受けてほしいくらいの内容です。というのも、皆さん当たり前にサイバー空間に体が半分くらい入っているわけですよね。であれば、そこで生きるための最低限の知恵はリテラシーとして持っているべきだと思うからです。

実際はサイバーに関する知識は何層かレイヤーがあります。誰もが持つべき最もベーシックな知識の上に、社会人・ビジネスパーソンとしてサイバー空間を使って仕事をする人が知っているべきリテラシーというものもあります。その上にIT・デジタルの仕事に関わる人が持つべき知識があり、最上位にサイバーセキュリティの専門家としての知識があります。それをすべてカバーするのが、サイバーアカデミーです。

――桐原様の視点で「こういう人と働きたい」という人物像はありますか。

これからサイバーセキュリティは社会の中でより重要になってきますし、今はまだない視点も恐らく出てくるでしょう。そこに対してわれわれはインパクトを与えていきたい。私はメンバーに「われわれはコンサルタントだけれど、みんなスーパーヒーローになろう」という話を常々しています。世の中の変化をリードしたり、攻撃から企業や人を守ったりするヒーローになれたらいいと思います。

エンジニアである必要は全くありません。われわれの組織には、戦略や企画をやっている人もいれば、業務の設計、組織の設計をしている人もいます。もちろんエンジニアもいますが、多様な専門性を持つ人が集まっています。今後もいろいろな経験をお持ちの方に参画してほしいと望んでいます。

また、サイバーセキュリティの仕事は恐らく30年後にもなくなりません。それどころか、もっとニーズが増えてきます。いわゆる「手に職を付ける」ような形で、自分のキャリアを作っていく上で価値ある経験を積み、知識とスキルを身につけることができます。

これから日本には100万人単位のサイバー人員が必要になりますが、現状は20〜30万人ほどしかおらず、全く足りていません。ですから今から始めると、この領域の第一人者とはいえないまでも、1〜2周目の人財にはなれます。そういった意味で、まだまだキャリア開発の伸びしろが大きい職業だと思います。

――貴社に入られた方は、将来的にどのようなキャリアパスを想定されているのでしょうか。

人によって違いますが、会社としても多様なキャリアパスを想定しています。ビジネス戦略・企画系コンサルタントになるルートや、コンプライアンスやリスクアドバイザリーなど「守り」のコンサルタントになるルート、もっとテクニカルな方面に特化したルートもあります。また、サイバーセキュリティという領域の中でも、ITに強みをもつ方向性もあれば、OTの専門性を尖らせていきたい人もいますので、かなり柔軟に設計しています。

DTCYには、良い意味で“わがまま”な人が多いですね。でもそれは悪いことではありません。どの方面でも供給より需要が大きいですから、本人が方向性を変えたいと思ったら変えやすい状況ですし、そういった“わがまま”に、会社としても可能な限り柔軟に対応していこうという考えです。

――最後に、DTCYへの入社を検討されている方にメッセージがあればお聞かせください。

サイバーセキュリティは、本当に楽しいアジェンダだと思います。そしてニーズもある。これほどクライアントから期待されている業界は他にないのではないでしょうか。急成長している業界ですから成長しやすいですし、ここで経験を積むことで市場価値は間違いなく高まります。

この領域が未経験の方でも、これまで仕事として経験してきたことが生きないことはないくらいサイバーセキュリティのスコープは広大です。サイバーアカデミーで知識面はアドオンしていただけますので、いろいろなバックグラウンドの方に来ていただきたいと思っています。