「技術者との壁は越えられない」と悟り、発想を転換

「セキュリティ業務を続けたい」

私がコンサルタントへの転向を志した動機は「セキュリティ業務を続けるため」でした。元々、私は技術者ではなく、セキュリティ業界に関わることとなったのも、英語が話せるという理由で採用された外資系セキュリティベンダーへの入社がきっかけでした。

その後、ISMSや事業継続などリスクマネジメント監査を得意とする外資系の審査機関へ転職し、官公庁への出向や、所属するNPO団体の活動を通じ、志が高い多くのセキュリティ技術者（以下「技術者」）や関係者と出会うことで、私自身も「彼らのように、サイバーセキュリティという社会課題に貢献できる人材になりたい」と思うようになりました。

セキュリティ業務への意欲が高まっていたのですが、在籍していた企業の意向でセキュリティとは異なる業種の担当になることを通告されてしまい、「セキュリティ関連業務を続けられないのであれば」と転職活動を始め、PwCコンサルティングに入社するに至りました。

専門家に求められる技術的知見という壁

私は、いわゆる一般的なコンサルタントではなく、サイバーセキュリティおよびプライバシーに関する「リサーチを主要業務とするコンサルタント」として採用されました。セキュリティに係るリサーチ業務は幅広く、技術的要素をさほど必要としない法規制や制裁に関する動向調査だけでなく、新しいサイバー攻撃手法やインシデント、対策などの動向調査、モニタリングツールを利用した脆弱性情報の調査、ダークサイトにおける攻撃キャンペーンの情報収集など、技術的な知見が求められる業務が数多くあります。

私は英語が使えるという理由でたまたまセキュリティ業界に迷い込み、そして魅了された文系の人間です。新卒で入社したベンダーでは、販売するセキュリティ製品の導入に係るシステムについては深く学びましたが、私自身にはセキュリティ専門家といえるほどの技術的な知見、例えばハッキング技術や暗号、認証技術などの得意分野があるわけでも、システムセキュリティの全体像を把握できる能力があるわけでもありませんでした。

そのため、リサーチ業務を担当するものの「私の技術的知見やこれまでの経験は、技術コンサルタントと比較した時に未熟すぎはしないか」との不安を漠然と感じていました。

国際資格取得でセキュリティ技術の全体像を把握、自身の目指す「セキュリティ専門家像の定義」を改める

PwCには技術的知見を高めるためのさまざまな勉強会や支援制度があり、私はその漠然とした不安を解消するために積極的に活用しました。入社後、特に知見の向上につながったのは、国際的なホワイトハッカーによる実際の攻撃コードを使用したチーム内CTF（Capture The Flag）への参加や、国際資格取得支援制度を活用したCISA^*1やCISSP^*2の取得でした。

この他、社外の勉強会へ参加することで多くの技術者と意見交換し、おおよそセキュリティ技術の全体像を把握することができました。しかし、セキュリティ専門家を目指す私にとって不安は深まるばかりでした。当たり前ですが、勉強すればするほど、1つのセキュリティ技術領域に長年携わる技術者と自身の知識の差が明確になり、彼らの技術的知見には到底追いつけないことを思い知らされるばかりだったからです。

勉学に励み、それでも「技術者との壁は越えられない」と悟り、ようやく発想を変えることができました。「技術者ではないからこそできることを探すしかない」と。実際、世の中の多くの組織において、セキュリティ戦略や予算の決定権を持つ経営者や役員、財務担当者などには、技術者ではない方が大多数を占めます。現在は公的機関や団体が経営層に向けたさまざまなガイドラインを発行していますが、これらの技術者ではない経営層の方たちへ「セキュリティの必要性」を説く難しさを感じる技術者はたくさんいます。さらには、セキュリティ戦略の設計や実装時に経営方針や最適な予算を考慮することや、法規制、ガバナンス、コンプライアンス、BCPなどのリスクマネジメントの観点を踏まえることに苦手意識を持つ技術者も少なからずいます。

このことから、技術者ではない方に対しては「セキュリティに関する情報を分かりやすく説明し、セキュリティリスクを経営課題の一つとして向き合う機会」を提供すること、技術者に対しては「法規制、経営戦略などに沿ったセキュリティ設計の重要性」を伝えることが、私自身の目指すべき「セキュリティ専門家像」ではないかと考えるようになりました。

これまで専門的な知識を備えた技術者に囲まれて働いていたため、「セキュリティ専門家とは、技術を深く知る研究者でなければならない」と信じ切っていました。

しかし、「セキュリティ専門家」にはさまざまな形があってよく、技術者に限らず、セキュリティという社会課題解決に専門的に取り組むのであれば、専門家と呼べるとの考えに至りました。これまで漠然と抱いていた「専門的な技術的知見なくしてセキュリティ専門家になれるのか」という「不安」を、ようやく解消することができたのです。

直接社会に問題を提起、それが最大のやりがい

私は2017年12月にコンサルタントとしてPwCコンサルティングに採用されましたが、2019年より、デジタルトラストナレッジセンターにて正式に「リサーチャー」の肩書で、サイバーセキュリティに関する全般的な調査業務を行っています。入社時より担当していた脅威動向レポートの執筆やダークネットモニタリングなどの調査業務の他、コンサルタント業務であるインシデント対応訓練、リスクアセスメント、規程体系の整理に関するプロジェクトも経験しました。

現在は、CISOやセキュリティ責任者らを対象とするサイバーセキュリティやプライバシーに係るプロジェクトにおいて発生する調査依頼や専門的な質問などに対応しており、コンサルタントの業務効率向上に貢献しています。また、これとは別に「ゼロトラスト実態調査」など、社会課題をテーマとしたインサイトの執筆も行っており、最大のやりがいとなっています。なぜなら、そこは私が直接的に社会へ問題提起できる「場所」であり、私が理想とする「セキュリティ専門家」へ近づく道のりだと確信しているからです。

*1：公認情報システム監査人（CISA）

*2：Certified Information System Security Professional (CISSP)