雑用が生んだスペシャリスト。セキュリティという「大義」に懸ける

2019/9/19
2017年12月、アクセンチュアはサイバーセキュリティに特化した専門部隊「アクセンチュア セキュリティ」を発足させた。企業のシステムを遠隔から守る「サイバーフュージョンセンター」を立ち上げ、その急成長を支えているのが、同部門CTOの坂根康之。約20年、サイバーセキュリティに関わる屈指のプロフェッショナルだ。
IT業界の中でも市場規模は小さく地味。そんなイメージを持つ人もいるかもしれない世界に身を投じた坂根にどんな思いがあるのか。口数は少なくどこか怪しげ。メディアのインタビューにもあまり応じない坂根が自身のキャリアを振り返り、この分野の有望性とサイバーセキュリティに懸ける想い、「大義」を語る。

「雑用係」が見いだした活路

──最近、サイバーセキュリティ人材の獲得に力を入れる企業が増えてきましたが、必要なスキルセットがイメージできません。坂根さんはどのようなキャリアを歩んできたのか、振り返ってもらえますか。
坂根 私にそのスキルセットがあるか、参考になるのか、正直に言って分かりません。
 振り返れば、大学のときにはあまりビジネスには使えない近代米文学を学び、大学を出た直後は、若気の至りと言いますか、好奇心任せにアメリカに行って3~4年フラフラしていて……。社会に出ようと思ったときの僕には、売れるスキルは何もありませんでした。
 あると言えば、同世代のやつらは社会ですでに数年の経験を積んでいて、完全に取り残されているという劣等感くらいだったでしょうか。
 ただ、英語だけは話せた。だから、英語力を生かして、海外ITベンダーのテクニカルサポートの職に就き、そこから少しずつITエンジニアに必要なスキルを身につけていったんです。25年くらい前のことです。
──ちょうどインターネットが広がりつつあるころですね。当時のIT業界は就職先としても人気で、中でも花形だったのは、ネットワークも含めたシステムのグランドデザインや設計だったと思います。
 当然、あこがれました。でも、先ほど話したように、僕にはビジネスパーソンとして数年のビハインドがあったので、日本でまともに就職して経験も積んだ人たちが見向きもしない、残り物のような仕事しか残っていませんでした。だから、ひたすら人がやっていない雑用を見つけてはこなしていました。
──ユーティリティプレーヤーですね。
 雑用係です。でも、雑用って良く言い表せば、少し離れて俯瞰(ふかん)できる立場なので、設計上の不備や製品選定のミスを冷静に見つけられるんです。
 特に企業活動の中心となる基幹系システムに、設定ミスやセキュリティホールがたくさんあった。セキュリティに着目し始めたのは、このころです。
 セキュリティは地味なこともあって、誰もやりたがらない領域です。ビハインドのある僕は「自分が進む道は、これしかない」と決め、業界の将来性など考えることもなく、セキュリティに活路を見いだしていったんです。
 このときも、英語に助けられました。日本語で専門情報に触れるのは難しい時代でしたし、当時あまり知られていなかったAmazonの米国サイトで書籍を取り寄せたりして、まだ日本で紹介されていない情報を先取りすることでちょっとずつ存在価値を高めていったんです。

「丸投げループ」という根深い問題

──居場所を求めてたどり着いたのがセキュリティだったのですね。そのセキュリティの現状ですが、「日本企業はセキュリティ対策が遅れている」と指摘されます。以前はアメリカのセキュリティベンダーで経験を積んだそうですが、アメリカと比較していかがですか。
 日本がセキュリティ後進国だというのは、紛れもない事実だと思います。
 その根底には、企業体質と言いますか、組織の構造的な問題があるのは間違いありません。サイバーセキュリティをIT部門に丸投げし、インシデントが発生しても経営層が立ち入ることがない体質になってしまっている。
 あわせて、経営層からIT部門に丸投げしただけではなく、そのIT部門からITベンダーへの丸投げも闇深き問題だと思います。
 ITベンダーはひとつのセキュリティソリューションのひな型のようなものをつくり、それを複数企業に適用しがちなのですが、それがすべての企業に有効だとは限りません。
 各社各様の潜在的なミスや脆弱(ぜいじゃく)性があることは雑用をしながら目の当たりにしてきましたが、それに、必要なソリューションも各社各様に異なると感じていました。
──なるほど。「丸投げのループ」が根底にあるということですね。
 そうです。ただ、だからといって経営層だけの責任にしてはいけない。本来は「自分ごと」として経営層がしっかり対応すべきですが、身近にいるITベンダーがきちんとフォロー、場合によってはユーザー企業を教育できていないことも大きな問題です。
──ベンダー任せになってしまうのは、「付き合い」や「楽をしたい」という気持ちが働くからでしょうか。
 それもありますが、日本は目的より手段が先という発想が強いのも理由でしょう。
 どんなソリューションを買うかに気を取られてしまい、目的が見失われていることも珍しくありません。買って安心して、それで終わりにしてしまう。
 しかし、攻撃側とのいたちごっこに終わりがないうえに、どんなに対策を施しても事件が起きるときは起こります。ソリューション導入をゴールにはできません。
 一方で、アメリカは目的が明確で、手段にはこだわらない。経営直轄で外部からCISO(Chief Information Security Officer=最高情報セキュリティ責任者)のようなプロフェッショナルを招いたり、外部機関による監査評価の仕組みを積極的に取り入れたりします。
 そうすると、新しい風が入ってくるし、形骸化したセキュリティ運用組織はどんどん潰され、体質が改善されていきます。

セキュリティプロバイダーの限界を超える

──そんな根深い課題感がある中で、アクセンチュアはセキュリティビジネスに本腰を入れて部門を立ち上げました。
 一般的には「MSSP(Managed Security Services Provider)」と呼ばれるセキュリティ専門家による運用サービスが主力で、その提供母体として「CYBER FUSION CENTER(サイバーフュージョンセンター)」という施設とチームを私が立ち上げました。
写真提供:アクセンチュア
 お話ししたように、単純なシステム上の対策だけでは限界があります。アクセンチュアは経営、組織、システム開発、運用など企業経営を全方位的に支援しているコンサルティングファーム。さまざまな分野の専門家がグローバルでコラボレーションするハブとしても機能することで、一般的なMSSPの限界を超えた価値を提供しているのが特徴です。
──アクセンチュアならではの価値は、具体的にどのようなことでしょうか。
 手前みそですが、特に魅力的だと自負しているのは、お客様の経営層にリーチできること。先ほど話したように、経営層に理解してもらえなければ、セキュリティは変わりません。だから、セキュリティベンダーとしてではなく、ビジネスパートナーとして経営層にアクセスできるパイプがあるアクセンチュアは強い。
 そして、自社製品を持たない、どんな色にも染まっていない無色透明の立場だからこそ、公平な提案をできるのも強みです。
 もう一つ言えば、お客様が私たちに「丸投げさせない」「一緒に歩んでいく」ことにこだわっていることです。
──「一緒に歩む」は、よく言葉としては使われますが。
 例えば、毎月レポートをお渡しするのですが、どれぐらいの枚数になると思いますか。
──まったく想像できませんが、1日1枚として、30枚ぐらいでしょうか。
 われわれの場合は60枚で、さらに増えつつあります。そして、内容を説明するために3時間ぐらいお付き合いいただいています。他社だと数枚が一般的で、1枚のところもある。
 極端に言えば、何も起きていないなら「こうした対策を施しました。何もありません」と言えば、お客様も安心するし、時間も取られないからお客様も楽だし、ベンダー側も楽できますよね。
 ただ、それだとお客様のセキュリティに対する意識は変わらない。私たちは、毎日幾多のセキュリティインシデントが起きる中で、どのようなサイバークライシスが登場しているのか、それを防ぐためには何が必要なのか。
 アクセンチュアは何をしてきたのかをしっかりとご説明し、お客様のセキュリティに対する意識を高め、知識を高めていただいているんです。だから、レポートにも差が出るんです。
──企業側も大変ですね。
 そうなんですが、だからといって情報がコンパクトならいいというものではありません。サービスがより熟成する過程で、お客様にもレベルを上げていっていただきたい。そのためには、いつも新しい論点や気づきを提供すべきで、われわれとしても技術開発や新しい取り組みを常にご紹介しています。

求められているのは「聞く能力」

──ITの専門知識がない状態からキャリアをスタートさせて、雑用を通じて見いだしたサイバーセキュリティの道。坂根さんは異質だと思うんですが、サイバーセキュリティにはどのような素養が必要なのでしょうか。
 端的にいえば、「聞く能力」です。
 状況をよく観察して把握する能力の高い人は、この分野に向いています。セキュリティの知識とかテクノロジーなんて分かっていなくていい。
 サイバーセキュリティの領域は、問題が起こる前提で対策を進めるので、お客様にとってはウェットな領域です。心でつながり、会社の実態や考え方を本音で語ってもらえる関係を築けなければ、本当に必要な対策が見えてきません。
 そうすると聞く力が必要ですし、柔軟な発想、モラル、責任感といったベースが不可欠です。
 また、サイバー空間や社会の声を聞く力も欠かせません。例えば、バックグラウンドにX国がいる犯罪グループが、特定の企業や国家を狙い撃ちしているとします。
 その攻撃手法を学び、その手法が使われたとき世界でどのようなアラートやログが残るのかを事前に把握しておき、次の攻撃をプリディクト(予見)できる力がないと後手後手になってしまうわけです。
──それは、20年前から変わらないことですか。
 以前は問題が起こってから、攻撃経路と手法がどのようなものだったか分析することが中心でした。まず起点となるのはプログラムの解析で、そのためのエンジニアが求められていました。
 ところが現在のサイバー犯罪では、不正なプログラムを特定企業に送り込むことが当たり前になっています。A社を攻撃したいなら、A社が使っているシステムの特徴や脆弱性を調べて、それを突くためにカスタムマルウェアを作成します。
 巧妙化しているので、それが本当にカスタムマルウェアなのか判別するのも難しく、それ故に攻撃者と動機そのものが突き止めにくいため、後続の攻撃を防ぐのがより困難になっています。
 なぜ狙われているのか仮説を立ててプロファイリングできないと、根本的なプリディクトは不可能です。こうした背景から、エンジニアだけではなく、状況を読む力を持つ人材が求められています。
──文系出身でもできる仕事だと。
 有望なのは文系出身か理系出身かというのは、あまり意味のある議論だとは思いませんが、私自身がそうであったように文系の人が持つ能力が花開く領域なのは確かです。実際アクセンチュアでは、元為替トレーダーなど門外漢だったメンバーもたくさん活躍しています。
 逆に、ただデータを解析できるだけの能力では物足りません。データはただの文字列であって、そこに意味付けして情報化し、さらにナレッジ化しないといけない。ナレッジだからこそ、お客様にとってもわれわれにとっても財産になるんです。解析し、仮説ストーリーを作るだけでなくて、誰にでも分かる状態にしないと、意味がないのです。
 分析業務などはできるだけ機械化や自動化を進めますが、最終的に知識へと変換してお客様に伝えることは、人間にしかできないと思っています。だから、文系的なセンスを持つ人には可能性があると思います。

無法者たちと対峙する能力を、ここで磨け

──外資系企業での経験が豊富ですし、国内企業の実態も間近で見てきたと思います。アクセンチュアで1年間を過ごした感想やギャップを教えてください。
 入社して間もなく、一人でサイバーフュージョンセンターを立ち上げ始めたのですが、心配するぐらい誰も何も言ってこなくて(笑)。これは職位やロールに関係なく同じ方針で、任せた限りは100%任せきる会社です。
 サイバーセキュリティは常に新しい攻撃手法と対峙(たいじ)していくわけですし、犯罪者はルールの通用しない無法者。教えられるままではなく、自分で解決していく必要があります。
 だからといって、すべて自己完結できないのもサイバーセキュリティの世界。分からないときには分かる人に聞けばいいし、世界中の拠点のあらゆる分野のスペシャリストにコンタクトできます。サイバーセキュリティ対策の能力を磨くには、とても居心地のいい環境です。
──会社としても度量が大きいですね。
 チャレンジさせる覚悟がありますね。そして、プロジェクトや多彩なタレントとの関わりが、自分の小さな世界を壊してくれる。想像していなかったことなので、びっくりしています。
 僕が20代後半のころは、セキュリティの世界を志したものの、その後のキャリアや成長モデルを具体的に描けていたわけではありません。
 最近の若い人には先々を描いて、その通り進もうとする人が多くて、すごいなと思います。ただ、50歳近くなって分かるのは、自分の想像していないことが起きるのが人生だということ。
 自分で想像できる範囲って、本当に限られているし、狭い。だから、今描いているキャリアや世界観が本当にいいものなのか、ちょっと疑ってみてほしいし、ぶち壊して何枚も皮がむけるチャレンジをしてもらいたいと思うんですよ。
 アクセンチュア・セキュリティのマネジメントの一人として、メンバーが想像できなかった領域でチャレンジできる場を用意するのが、お客様のセキュリティを下支えするパートナーであり続けるとともに私にとって重要なミッションです。
 セキュリティは一見地味で有事のときにしか注目されない黒子的な存在かもしれません。ただ、デジタル化が進めば進むほど、重要度は増します。社会、企業、暮らしに必要不可欠な存在なんです。
 だから、私はこの領域にいる自分を誇りに思いますし、この大義にやりがいを感じている。だから、そう感じてもらえる仲間をもっともっと増やしたいと思っています。
 特殊な領域だからと、尻込みする必要はありません。だって、雑用係だった私が今こうしているのですから。少しでも「守る」ということに興味を持っている人は声をかけてください。
(取材・編集:木村剛士、構成:加藤学宏、撮影:竹井俊晴、デザイン:黒田早希)