【セキュリティ経験者必見！】NEC セキュリティコンサルの魅力・特徴とは？

お気に入りに追加

ゲストの経歴紹介

中川：
本日はインタビューのお時間をいただきありがとうございます。
早速なのですが、皆様の略歴についてセキュリティ関係の時代背景や、その変遷を踏まえて教えていただければと思います。

吉府様：
私は、新卒からNEC一筋で、入社して30年になります。1991年に入社し元々は研究所に所属しておりました。セキュリティに携わり始めたのは2000年からで、セキュリティ歴は約20年となります。

NECでセキュリティの専門部署ができた背景としては、当時政府機関等のWebサイトがサイバー攻撃を受け、サイバー攻撃対策のニーズが高まることや、政府機関の調達要件としてISO15408というセキュリティの国際標準の適用が検討されるなど、セキュリティコンサルティングがビジネスとなる機運が高まったということがあります。私自身2000年から4年間ほどセキュリティの第三者評価機関に出向し、NECに戻ってきてからセキュリティコンサルタントとして従事しておりました。その後、社内の情報システム部門でお客様向け製品・サービスをセキュアに開発・運用するための全社セキュリティ推進業務を担当しましたが、2010年当時は、各事業部に対してセキュリティの推進を提案しても、中々取り組んでもらえない状況でした。しかし最近ですと、サイバーセキュリティをやるのが当たり前という状況になり、事業部の人たちにもセキュリティの認知度がかなり上がったように感じます。

その頃から、NECだけでなく、お客様もセキュリティ関連で困っている方がいるのではないかと考えるようになり、4~5年前よりセキュリティコンサルティングに携わるようになりました。

中川：
NECのセキュリティの外販ビジネスにおける歴史についても教えて下さい。NECはもともとネットワークのベンダー様でもありますので、ネットワーク発想でのセキュリティ、セキュリティのプロダクトを提供していくサービススタイル、あるいはISO・ISMSまわりの企画に準拠していくスタイルの3パターンに分けられると思うのですが、今現在に至る変遷などを教えていただきますでしょうか。

吉府様：
セキュリティ関連のプロダクトですと、1990年代後半から2000年代前半にかけて作られるようになりました。そこからセキュリティに関して世の中的にも力をいれなければという流れになり、NECそれぞれの事業部でセキュリティに関する製品が作られ始めました。今であれば、セキュリティ全体を統括するような部門が各事業部を管理すると思いますが、当時は司令塔もいなく、それぞれの事業部がお客さまのニーズに応じてプロダクトを作っていました。一方で、私が2000年に異動した部署はセキュリティコンサルティングをしている部署でもありましたが、ISOなどのベースとなる規格に紐づくコンサルティングなどにも携わってきました。それぞれの事業部がそれぞれの思惑で製品に取り組んできたというのが、現在に至るまでの経緯になります。

中川：
ありがとうございました。
神谷様お願いいたします。

神谷様：
私は1993年にNECに入社しました。最初は研究開発部門で通信関連の研究開発に従事しておりました。2000年頃に通信事業者向けの迷惑メールの量をコントロールする装置を開発し、そのあたりからネットワークセキュリティの観点で、セキュリティに関する業務を行うようになりました。その後、ネットワークが広範囲に広まりネットワークの仮想化という技術が出てきた中で、弊社でも事業化したSDN（Software-defined Networking）の製品開発の技術開発を研究所で担っていました。そのような経緯もあり、2016年に研究部門から事業部門に移り、SDNの製品開発を担当している部門で、事業部の部門長として製品開発担当をしていました。それから事業部において、IoTのセキュリティに関する新製品企画、セキュリティ製品の事業主幹をいくつか務めておりました。

その後、社内のサイバーセキュリティ戦略本部に合流する形で異動し、現在セキュリティコンサルタントとして従事しております。

中川：
お二人とも研究所出身ということで、現在のコンサルティング部門に移るにあたり様々な変遷があったと思いますが、今の部門に移る前と後で変わったことはありますか。

吉府様：
研究所ですと、どうしてもお客様と距離が遠いなとは感じていました。研究所時代はダイレクトにお客様と会話する機会というのはあまりなかったと思います。
事業部に移ってからは、直接お客様にコンサルティングをする、お客様の声を聞きながら自分の活動を改善するような機会が多々あり、お客様の存在が近くなったと感じずにはいられませんでした。

神谷様：
研究部門で話す相手となるのは、社外でも同じ研究領域の方々や大学の教授といったような方々が中心でした。事業部門に移ってからは、ビジネスとしてのお話をする機会が増え、話の話題となる分野が広がったと思いますね。特にセキュリティ領域ですと、業種を問わず様々な業界の方々のご相談を受けるようになりました。

また、お話をするお客様のお立場も多岐に増えたなと感じています。セキュリティマネジメントを推進するためには経営層の理解を得なければならないので、経営層の方々とお話する機会も増えました。それぞれの責任者の方々とお話するようになり、色々なお立場の方々に納得していただけるような提案をするためには、研究所時代とは明らかに違うスキルセットが求められていると思いますね。

NEC セキュリティコンサルティングの特徴

中川：
具体的なところも伺えればと思います。例えばIoTセキュリティを例にあげると、様々なコンサルファーム・ベンダー企業が入っていて、かなり錯綜している状態だと認識しております。その中でNECはどのような立ち位置を目指しているのでしょうか。

神谷様：
IoTに関しては、システム構築からサービスを提供するまでに、非常に多岐にわたるステークホルダーが必要となると考えています。色んな情報を収集するデバイスのレイヤーもございますし、情報を分析するためにデバイスからクラウドにあるコンピューティングリソースまでどうやってデータを運ぶか、というところでインターネットのような広域ネットワークも必要です。その中で稼働するソフトウェアも用意しなければならないなど、それらをすべてNECの自社製品で提供することは難しいと考えています。様々なベンダーと共同でシステムを提供する中で、NECとしてはエッジの領域でセキュリティを提供できることを目指しております。

かなりフォーカスを絞って製品を提供しつつ、お客様にIoTのシステムを提供できるよう日々頑張っております。

中川：
セキュリティコンサルティングチームの中でご活躍されている方の特徴を教えていただけますか。

吉府様：
セキュリティメンバーは私達を含めほかに2人いるのですが、1人はセキュリティの製品事業を担当していた者です。その後私達たちのチームに合流したのですが、事業部門でセキュリティの製品を作るだけでなく、国際標準に準拠した活動をしていたこともあったので、レギュレーションに準拠してコンサルティングする必要もあるため経験を活かせているなと思います。

また、私達のコンサルティングのメニューの中には、開発プロセスをセキュアにするためのコンサルティングも含まれていますので、セキュリティを考慮したものづくりをしてきた方だと、その経験を活かしてお客様に対してセキュアな観点で助言ができますので、そのような経験者の方々は活躍できると思います。

神谷様：
NECの内部でも製品開発者やシステムエンジニアといったメンバーにセキュリティ・バイ・デザインの考え方を浸透させる活動が長年続いています。その中で、実際にセキュリティ・バイ・デザインを意識して製品を開発するエンジニアが増えていることは、実態に裏付けられたセキュリティの重要性をわかっている人材が増えていることにもなります。その方たちが、開発時の経験などをお客様に語ることが、コンサルティングの最初の一歩なのではないかと思います。

セキュリティの重要性を理解しているメンバーが、よりコンサルティングを専門にする意思があれば、我々の部門で活躍できると思います。また、それに類するような経験をNEC以外の会社で経験していらっしゃれば、高いポテンシャルを持っている方になるので、そういった方は我々としては非常に魅力的に見えます。

中川：
今のお話を聞く中で、セキュリティの重要性を理解したうえで手を動かすことができる方々が社内に多くいらっしゃる点が、NECの提供価値の核になる部分なのかなと想像しました。ここはやはり他社とは大きく差別化されるところでしょうか。

吉府様：
そうですね。私達コンサルタントがお客様にNECの強みを紹介するときは、まずは、自分たちが実体験してある程度成功を収めていることを説明しております。NECが成功したものをお客様に提供するので必ずお客様も成功します、と説明します。私達が時間をかけてパッケージ化したものを、お客様は短時間で実現できることがNECの強みのひとつなのかなと考えています。

また、自分たちがサイバーセキュリティの製品部門だったりと、セキュリティに関する様々な立場の人達が周りにいるということもあり連携は行っていますし、サイバーセキュリティ本部というコーポレートのセキュリティを管轄しているところにも、優れたセキュリティ技術者がいます。何かあれば相談できるので、私達が実施するコンサルティングの価値を高められることも強みだと思います。

NECのこれからと人材ニーズについて

中川：
今後の成長戦略、注力していく事業など展望はありますでしょうか。

吉府様：
私達セキュリティコンサルタントは、以前所属していた部門では、営業を通じてお客様からセキュリティコンサルティングの相談があってはじめて提案活動を行ってきました。現在、私達が所属しているDX戦略コンサルティング事業部はDX戦略策定など超上流のところから入っていく部門です。

DX推進においてサイバーセキュリティは不可欠ですので、DX関連のコンサルティングを行っているお客様に対してセキュリティの重要性を訴求し、セキュリティコンサルティングの規模を拡大していきたいと思っています。

中川：
セキュリティコンサルティングチームが求める人材像を教えてください。

吉府様：
1つは即戦力です。年齢は30代から40代の方で、コンサルティングファームの役職で言うと、マネージャーからシニアマネージャの方となります。セキュリティ・バイ・デザインといったもので開発を行ってきた経験や、コーポレート側でセキュリティの推進統括などを事業会社で経験されてきた方、もちろんセキュリティコンサルティングの経験がある方もウェルカムです。

懸念点としては、公的なセキュリティ資格を持っているかというところです。資格を持っていることは知識の保証とお客様に対してもアピールポイントになるので、一定資格も重視しています。

もう1つはポテンシャル採用です。こちらに関してはセキュリティ業務経験の有無は問わず、IT技術者・開発経験がある方かつ、セキュリティコンサルティングでの成長を求めている方が採用要件となります。

中川：
資格のお話がありましたが、取得すると有利になる資格はありますか？

吉府様：
会社で推進している資格としては、海外ですとCISSP、国内ですと情報処理安全確保支援士の2つです。もし資格を持ってなくても、これから資格をとっていきたいという意欲があれば問題ありません。

中川：
セキュリティコンサルタントの人材育成について教えて下さい。

吉府様：
人材育成について、ポテンシャル採用ですと、セキュリティコンサルティングの経験がない場合でもプロジェクトには参画していただき、基本的にはOJTで、セキュリティコンサルティングの進め方を学んでいただきます。

コンサルティングの経験者の方は、提案活動から入り、案件が取れたらプロジェクトリーダーとして大きい案件もお任せし経験値を積んでいただきます。

社内でもセキュリティ人材を全社あげて育成しようということで、様々な教育プログラムを用意しておりますので、そのような研修も受けていただいてセキュリティのスキル強化をしていただければと思います。また、資格に関しては支援制度がありますので、どんどんチャレンジしていただきたいです。

NECへの転職を希望する方へのメッセージ

中川：
最後に候補者様へのメッセージをお願いいたします。

吉府様：
セキュリティ領域は連日のようにサイバー攻撃が報道され、お客様自身もセキュリティを強化したいという要望がかなりある状態です。先程のDXの話から、セキュリティの強化はこちらからも推奨していかなければならないということもあり、私達自身もこれから組織を大きくしていきたいと考えております。現在DXコンサルティング事業部のセキュリティ担当はまだ数が少ない状況ですので、スピードアップでチーム拡大、メンバー強化に取り組んでいます。

NECの魅力としては、お客様にコンサルティングを提供するだけでなく、コンサルティングサービスそのものの開発にもチャレンジすることができます。
様々な分野のお客様にセキュリティの知見を発揮し、セキュリティで安心・安全な DX 社会の実現に貢献したいと考えられている方は、ぜひご応募ください。

神谷様：
NECには、優れたセキュリティの有識者がいますので、彼らと切磋琢磨しながら、新しいスキルを身につけることもできます。
我々の業務は一種社会貢献の側面もあると思っていまして、セキュリティの面から安心安全な世の中を作ることを、お客様に近いコンサルタントの立場から作って行くことができます。社会をより良くしていきたいという意志を持った方に、ぜひ入社いただきたいと思います。

中川：
吉府様、神谷様、本日はありがとうございました。