サイバーセキュリティを通じてより良い社会の構築を目指す:ガバナンスからテクノロジーまで経営課題をワンストップで解決するプロフェッショナル 【EYSC サイバーセキュリティユニット パートナー森島氏、マネージャー石田氏、石井氏】
2025年10月29日更新
企業紹介
EYは、世界150カ国以上の国と地域に展開する総合プロフェッショナルファームです。EYストラテジー・アンド・コンサルティング株式会社は、コンサルティング業務を提供するEYのメンバーファームであり、あらゆる業界に精通する専門チームや最新のテクノロジー、グローバルのネットワーク、これまで培ってきた知見を通して、企業の長期的な成長・発展や課題解決を支援しています。同社のサービスは、戦略、M&A、テクノロジー、人材など、経営課題や社会アジェンダを幅広くカバーしていますが、その中でもサイバーセキュリティは最も重要な経営課題の1つとなっている領域です。本日は、この領域でサービスを展開するサイバーセキュリティユニットの森島氏、石田氏、石井氏に、同社の特徴と魅力についてお話を伺いました。
インタビュイー経歴
話し手
森島直人氏
EYストラテジー・アンド・コンサルティング株式会社
サイバーセキュリティユニット パートナー
日本におけるインターネットの黎明(れいめい)期から、学術的かつ実践的なアプローチで情報技術に携わる。プログラミングやネットワークおよびサーバーの構築および運用、プログラミングなど、テクノロジー領域で豊富な経験を持つ一方で、公認会計士として会計監査や内部統制監査に携わるなど、ガバナンスやマネジメント領域のプロフェッショナルでもある。2017年にEYに参画し、一般事業会社から政府機関に至るまで、幅広いクライアントに対して、サイバーセキュリティ対策を支援。
話し手
石田悠氏
EYストラテジー・アンド・コンサルティング株式会社
サイバーセキュリティユニット マネージャー
システムインフラエンジニアとして外資系企業やクロスボーダーの案件に従事した後、2020年に帰国し、EYに入社。入社後はサイバーセキュリティユニットのコンサルタントとして、サイエンスコミュニケーションに関するアカデミックなバックグラウンドと、それに裏付けられた持ち前のコミュニケーション能力を生かしたクライアントに寄り添うコンサルティングサービスを提供。
話し手
石井都登氏
EYストラテジー・アンド・コンサルティング株式会社
サイバーセキュリティユニット マネージャー
2021年に新卒でEYに入社。ACG(プール制組織)にてさまざまな領域の案件を経験した後、2023年よりサイバーセキュリティユニットに所属。SOCの構築および展開に係る支援等の経験を経て、現在は、主にガバナンスやマネジメント領域において、サイバーセキュリティ戦略の立案等各種施策支援を担当。
目次
全部見る
経営とテクノロジーをつなぎ、サイバーセキュリティ領域の経営課題を包括的にサポートする
──はじめに、自己紹介からお願いします
森島氏 サイバーセキュリティユニットのパートナーの森島です。EYには2017年に参画し、まもなく9年目に入ろうとしています。それまでは、ネットワーク領域の研究者というアカデミックかつ技術的なバックグラウンドと、公認会計士というビジネスサイドのバックグラウンドを経験しています。 あとからご紹介する通り、EYではガバナンスやマネジメント領域からテクノロジー領域まで一気通貫でコンサルティングサービスを提供しています。私は前述のような背景から、ガバナンスやマネジメントに係る領域とTDR(Threat Detection and Response)というテクニカルな領域をリードしています。
石田氏 サイバーセキュリティユニットのマネージャーの石田です。私は2020年にシニアコンサルタントとしてEYに入社し、以降、5年間にわたりサイバーセキュリティ領域においてコンサルティングサービスを提供してきました。前職では、ITインフラエンジニアとして、主に外資系企業や国をまたぐ案件を担当していました。EY入社の直前まで米国のダラスにて勤務しており、転職をきっかけに帰国しました。
石井氏 同じくサイバーセキュリティユニットのマネージャーの石井です。2021年にEYへ新卒入社し、4年目となります。EYでは、新卒メンバーはACGやTCGと呼ばれるプール制の組織に所属し、さまざまなプロジェクトを経験します。私もそのような経験を経て、サイバーセキュリティユニットに所属することを選びました。
──サイバーセキュリティユニットの概要について教えてください
森島氏 サイバーセキュリティと言うと、とても技術的なイメージをお持ちの方も多いかと思います。EYは総合ファームであり、歴史的にビジネスサイドのサービスを主軸としてきました。そのためか、「EYがサイバーセキュリティを提供しているのですか?」と聞かれることも少なくありませんでした。
しかし、いまやテクノロジーなくしてビジネスを成立させることが難しい時代です。このことから、EYのコンサルティングサービスラインでは、ビジネス領域からテクノロジー領域まで一気通貫でサービスを提供しています。経営戦略と実務の整合性を維持しながら経営課題を解決するために最も重要なことだからです。例えば、テクノロジー領域でサービスを提供する場合であっても、テクノロジー自体が目的ではなく、経営課題を解決するためにテクノロジーを選択している、といったスタンスです。
経営課題を解決するはずのテクノロジーですが、テクノロジーにはサイバーリスクという新たな経営課題が付きまといます。サイバーセキュリティユニットでも、ビジネス領域からテクノロジー領域まで一気通貫でサービスを提供することによって、お客さまのサイバーリスクの水準が合理的な水準にとどまるようなお手伝いや、サイバーリスクを過大評価してビジネスにブレーキをかけないようにするお手伝いをしています。
例えば、ガバナンスやマネジメント領域では、サイバーセキュリティ戦略の立案支援、サイバーセキュリティ態勢の構築、ISMS(情報セキュリティマネジメントシステム)の構築、CSIRT(Computer Security Incident Response Team)の構築、SSDLC(Secure Software Development Life Cycle)の構築、グループサイバーガバナンス態勢の構築、ベースラインアプローチやリスクアプローチによるサイバーガバナンス態勢評価、TLPT(Threat-Led Penetration Testing)によるインシデント対応態勢評価などを提供しています。
一方、テクノロジー領域では、サイバーセキュリティソリューションの導入支援、SOC(Security Operation Center)およびSOAR(Security Orchestration, Automation and Response)の構築、CTI(Cyber Threat Intelligence)の提供、技術面での現状評価(脆弱(ぜいじゃく)性診断やペネトレーションテスト、トラフィック分析、スレットハンティング)などを提供しています。また、SOCやSOAR、CTIなどについては、EYにおいて24時間365日で監視や初動対応を実施するマネージドサービスでの提供も行っています。
このように、2つの領域に分けてご説明しましたが、実際にはこのようにきれいに分けることができるわけではありません。ガバナンスやマネジメント領域であっても、CSIRTやSSDLC、TLPTでは間違いなく技術的な知見が必要不可欠ですし、サイバーガバナンス態勢評価においても実効性のある評価を提供するためにはやはり技術的な理解が必要です。一方、テクノロジー領域についても、サイバーセキュリティソリューションの導入支援やSOCおよびSOARの構築、CTIの提供では、周辺の関連する業務プロセスの構築まで合わせてご支援しなければ実効性のあるものとなりませんし、現状評価も発見事項が生まれた本質的な原因に迫れなければ経営課題を解決したとは言えません。
先ほど、ガバナンスやマネジメント領域からテクノロジー領域まで「一気通貫」で、という説明をしました。しかし、今お話ししたように、これらは一次元の直線上に、左がガバナンスやマネジメント領域、右がテクノロジー領域、というふうに並んでいるわけではありません。どちらかと言うと、縦軸がガバナンスおよびテクノロジー領域、横軸がテクノロジー領域として、各サービスがその掛け合わせでできている、そういった二次元上の平面で、構築、評価、マネージドサービスまで全方位的な支援をご提供している、とイメージいただけるといいかと思います。
──石田さんがEYに転職された経緯について教えてください
石田氏 先ほど、前職はITインフラエンジニアだったと説明しましたが、実際にはお客さまの運用やシステム導入の困り事を一緒に検討し、対応策や方針案を提案するといった業務を主として担当していたため、一般にイメージされるITインフラエンジニアとは異なった経験を積んでいたことになります。その中で、ITの専門家と非専門家、国内担当者と海外担当者など、異なるバックグラウンドや立場の人々の間を取り持ち、課題解決をサポートすることに大きなやりがいを感じるようになりました。このような背景から、ITインフラにとどまらない広い世界で課題解決を通じた価値提供をしていきたいという思いに至り、コンサルティング業界への転職を決意しました。
転職先としてEYを候補としたのは、転職の直前まで米国ダラスに出向していたのですが、米国ではEYがテクノロジー分野で第一人者の地位を確立しており、グローバルでの組織連携も強く、幅広い分野で重要なお客さまを持つ点に魅力を感じたためです。そして実際にEYの面接にエントリーしたのですが、最終的にEYに決めた理由は2つあります。
まず、面接を受ける中で、サイバーセキュリティユニットのリーダーの、一見温和だけれども熱い情熱を秘めた、その人柄に引かれたことです。さらに彼は米国での勤務経験を持っていたこともあり、そういった点でも共感できる点が多く、「広い世界で課題提供を通じた価値提供」をしたいという自分の思いを実現できそうに感じました。
もう1つは、実際に、サイバーセキュリティユニットのビジネスの方向性と自身の関心が合致していたことです。私は大学院時代にサイエンスコミュニケーションを専門領域として学び、科学技術導入に伴う社会へのリスク評価や異なる利害関係者間での意思決定プロセスの形成に強い関心を持っていました。ITインフラエンジニアのキャリアに進んだ後も、サービスの導入時のリスク評価や低減策に始まり、検討から意思決定においてのコミュニケーションの在り方への関心は継続して持っていました。本来、サイバーセキュリティはITシステムを正しく導入するだけでなく、外部からの脅威に対する高度な対策の構築、評価基準を設定する意思決定プロセスに至るまで、幅広い検討が必要とされる領域です。この点、EYのサイバーセキュリティユニットは、先ほど森島が説明した通り、ガバナンスやマネジメント領域からテクノロジー領域までシームレスにサービス提供することを基本的な方針としており、技術的な側面と並行するコミュニケーションに対する私の関心が存分に生かされるのではないかと感じたのです。
──石井さんは、プール制組織でさまざまな経験を積まれてからサイバーセキュリティユニットに所属されたわけですが、サイバーセキュリティを専門領域とした理由を教えていただけますか
石井氏 1つ目は、サイバーセキュリティ領域に将来性を感じたためです。私にとって、専門領域を見定める上で、領域そのものの将来性や今後の拡張性は重要な要素でした。この点、サイバーセキュリティリスクが経営課題のトップを占めるようになったのはまだまだ最近のことで、それ故に対策に苦労されるお客さまも多いと実感しています。また、サイバーセキュリティリスクは他の多くのリスクと異なり、意図的にリスクを顕在化させようとするサイバー攻撃者が存在しており、これがリスク自体を急速に「深化」させる要因となっています。このようなことから、この領域は当面重要な経営課題となるであろうこと、それに伴い私自身のコンサルタントとしてのキャリアも形成しやすいと考えたためです。
もう1つは、サイバーセキュリティユニットに自身が成長できる居心地の良さを感じたためです。どの領域に所属するかを考えた時に、その領域における人とのマッチングも重要な要素でした。この点、サイバーセキュリティユニットが主体の案件では、若手から実力に応じてさまざまな機会が与えられるとともに、上位者のフィードバック、日頃のコミュニケーションの頻度や取り方などの距離感が絶妙で、気持ち良く成長できる居心地の良さを感じました。
このように、領域自身が持つ将来性と、サイバーセキュリティユニットに所属する人たちと一緒に働きたいという気持ちが掛け合わさり、サイバーセキュリティを専門領域とすることに決めました。
サイバーセキュリティ領域における組織内コミュニケーションの架け橋になる
──サイバーセキュリティユニットにおける具体的なプロジェクトについて教えてください
石井氏 いま参画しているプロジェクトでは、それこそガバナンスやマネジメント領域からテクノロジー領域まで、さまざまな内容の施策が同時並行で進んでいます。私はガバナンスやマネジメント領域に軸足を置いており、お客さまのグループ全体および個社のポリシー整備やアセスメント業務、サイバーインシデントが発生した際の対応プロセス設計、すなわちCSIRTの整備などをご支援しています。ただ、どの領域を担当するにしても、ガバナンスやマネジメントだけ、テクノロジーだけ、というわけではありません。
以前、SOCの構築とグループ会社への展開という案件に携わっていたことがありました。すなわち、グループ全体の共通基盤としてSOCを整備し、グループ内各社に展開していくということですが、この展開のフェーズでは、グループ会社の皆さまに本施策の意義を理解いただくことが大変難しく、お客さまと伴走しながら一緒に進めていくことになりました。SOC自体は技術的な要素が色濃い分野ですが、グループ会社への展開という文脈では、お客さまと一緒にグループ会社へ適切なコミュニケーションを取り、グループ全体の態勢強化に貢献できるように推進することが重要でした。本質的な意味で経営課題を解決する、という観点で、非常に学びのある経験となりました。
石田氏 入社以来、一貫してセキュリティ関連施策の導入と維持管理のプロジェクトを担当しています。お客さまの組織内でお客さまと同じ立場に立ち、日々の業務のご支援やお困りになっていることの検討改善をお客さまに最も近い場所で行っています。そのため、一言でセキュリティ関連施策の導入と維持管理と言っても、その時々でさまざまな業務を行っています。直近では、ビジネス部門が行うシステム開発において、シフトレフト、すなわち、企画設計段階からセキュリティ対策を検討するプロセスの導入設計をご支援させていただきました。また、これに関連して、ビジネス部門のご担当者さまからシステム構築に係るサイバーセキュリティに関するご相談、例えばサイバーリスク評価や運用設計に関するご相談への助言や取りまとめなども行っています。
──石田さんは入社から一貫して同じプロジェクトをご担当されていますが、そのようなケースがサイバーセキュリティユニットでは多いのでしょうか
森島氏 EYではお客さまに寄り添って価値を提供するため、アカウントにフォーカスしています。すなわち、提供側が作った価値を多くのお客さまに提供するのではなく、お客さまの経営課題に対してEY全体で総力を挙げてご支援させていただくという考え方です。ですから、EYとして同じお客さまに広く長くご支援させていただくことも少なくありません。そういった意味で、もちろんお客さまとご相談の上でということにはなるのですが、ご支援の内容と担当者の成長具合や意向に併せて、あるコンサルタントが同じお客さまを長期間担当させていただくこともありますし、さまざまなお客さまのご支援をさせていただくということもあります。
石田は現在のプロジェクトに長く携わっていますが、先ほども本人が説明していたように、現場のお客さまと同じ立場で一緒に業務に当たっています。日々の業務においてお困りになることは色々と出てきますから、具体的な業務内容もさまざまです。ただ、それらの業務に通底するのは、技術とコミュニケーションの課題と向き合うものであるということです。特に、サイバーリスクの専門家ではないビジネス部門のご担当者さまと円滑にコミュニケーションを取っていくということは、組織全体としてサイバーセキュリティ対策の水準を向上させ、態勢を強化していくためには極めて重要です。石田はこういった技術とコミュニケーションの課題に関心が強く、ご支援内容の特性と本人のキャリア志向のマッチングを考慮した結果、現在に至るまで同じプロジェクトで力を発揮してもらっているということです。
多様なキャリアプランを描けるダイナミックな成長環境で自己を磨く
──EYで得ることができるコンサルタントとしての成長環境について教えてください
石井氏 成長にはインプットとアウトプットを繰り返すことがとても重要で、そのためにはどれだけOJTが充実しているかが鍵になります。コンサル業界の一部では、職位に応じて割り当てられるタスクがある程度決まっている、例えば、コンサルタントは部分的な資料作成まで、シニアコンサルタントは内部のディスカッションまで、などといったケースもあると聞きます。この場合、どうしてもアウトプットの機会が限られることとなり、成長速度が鈍化してしまいます。
この点、EYには、職階や経験年数によらず、個人の成長度合いを見て仕事を任せてもらえる風土があります。コンサルタントであっても、部分的な資料作成で十分な品質を出せるようになれば資料全体の作成を任されたり、内部でのディスカッションが十分にできるようになればお客さまに説明する役割を任されたり、上位者の十分なサポートの下でどんどんステップアップを図ることができます。実際にやってみることで難しさや課題を認識し、それに基づきインプットをし、次のアウトプットにつなげていく、こういった成長スパイラルを自然に描くことができる環境があることはとても魅力的です。
石田氏 今OJTとアウトプット機会の話がありましたが、インプットについてもコンサルティング基礎スキルに関する研修だけでなく、独自コンテンツやUdemyなどの外部コンテンツを利用したeラーニングが充実しており、専門的な知識について自習できる環境が提供されています。また、サイバーセキュリティなどをはじめとする専門領域について一定の学習をしたことの証しとなる、EYバッジという仕組みもあり、学習意欲をかき立てられます。EYに所属する40万人超の専門家について、この人はこのEYバッジを持っているのでこの領域の専門家か、といったことがわかったりもしますね。
また、幅広い経験ができる点も挙げられると思います。特定の領域に偏ることなく、キャリア志向に合わせて幅広いお客さまや経営課題に向き合うことができることは、グローバルファームであるEYの強みです。幅広い経験という意味では、一緒に働ける人の多様さもあります。前職、海外で働いていた時から、多様なバックグラウンドや価値観の方とコミュニケーションを取り、一緒に働くことを楽しんでいました。EYではさらに共通資料を英語にする必要があるほどバックグラウンドや専門性、ナショナリティなど、さまざまな観点で多様な人材が集まっています。他国のEYのネットワークファームと一緒に仕事をすることも日常的に行われており、こういった環境で多様な価値観に触れることができるのは、人間的な成長という意味でとても魅力的なことです。
“Building a better working world ”という理念の下、サイバーセキュリティに係る経営課題の解決を通してより良い社会の構築を目指す
──サイバーセキュリティユニットが求める人材について教えてください
森島氏 まず、ガバナンスやマネジメント領域とテクノロジー領域の両面に興味を持っていることです。サイバーセキュリティはとても広大な領域であり、したがって全てにおいてスペシャリストになることは現実的ではありませんから、基本的にはその中の特定の分野に軸足を置いて専門性を深めていくことになります。ですが、その軸足を置いた分野でのデリバリーに深みや付加的な意味を持たせ、経営課題の本質的な部分にアプローチするために、全方位的な理解を持っていただいた上で、その分野の位置付けを理解し、その専門性を高めていけることがとても重要です。
それから、お客さまや社会に対してまっすぐ向き合う姿勢です。EYは「Building a better working world(より良い社会の構築を目指して)」というパーパス(存在意義)を掲げています。お客さまへのご支援を通じて、お客さまはもちろん、社会をより良くしていく。サイバーセキュリティという領域を通じて自分たちに何ができるのか、あるいはサイバーセキュリティという領域を超えてどのような経営課題、社会アジェンダがあるのか。常に周りを見渡して世の中に目を配れる、広い視野を持つこともまたとても重要なことだと思っています。
──最後に転職候補者さまに向けて、メッセージをお願いします
石田氏 コンサル未経験でコンサルティングファームに転職した私は、自身がそれまでのキャリアで培ってきた経験やスキルをどのように業務に結び付けるか悩みました。特に、コンサルティングワークに常に付きまとう「思考」は非常に体力を消耗するので、慣れていない間は一日が終わると疲労感が残る毎日でした。今でも試行錯誤を続ける日々ではありますが、一方で「思考」が習慣化するに伴い、見える世界がどんどん変わってきているのを感じます。今まで見えていなかった社会の仕組み、組織の構造、人の行動、それぞれの課題。そして、色々な要素が歯車のようにかみ合い、全体が動いているのを感じます。
同じようにコンサル未経験でチャレンジされる皆さんも、事業会社との働き方の違いや「思考」するという基本的なスキルの獲得に苦労されるかもしれません。ですが、努力は必ず成果に結び付き、見える景色が変わり、人生の選択肢が増えます。ご自身の未来の幅を広げたい方には頑張りがいのある業種だと思いますので、ぜひトライしていただきたいです。
石井氏 コンサルタントの成長には限りがありません。どこまで行ってもどの職階になっても、常に成長が求められます。ですが、成長する「こつ」もあります。それは「できる人をまね」することです。サイバーセキュリティユニットには、まねする上で理想的な上位者や近い職階、年代の方が多く所属しており、そうしたロールモデルを設定しやすい環境にあります。私もサイバーセキュリティユニットの案件に参画してから、常に周りの人を観察し、いいところを取り入れ、順調にスキルアップできていると感じています。最初は不安もあるかと思いますが、「できる人をまね」しながら、着実にスキルアップできる土壌がありますので、思い切ってチャレンジいただければと思います。
森島氏 メンバーに成長していただく土壌や環境があるだけでなく、EY自体、それからサイバーセキュリティユニットもメンバーと共に大きく成長し続けています。これに合わせ、お客さまやステークホルダーの声に耳を傾け、サイバー攻撃のトレンドにアンテナを張り巡らせ、規制当局の動きを注視し、最先端のソリューションを取り込みながら、経営課題や社会アジェンダを解決するためのサービスを立ち上げています。皆さんもぜひ、「より良い社会の構築を目指して」一緒に頑張ってみませんか。
──ありがとうございました。
