こんにちは！人事の小高です。
現場メンバーにフォーカスしたパートナーインタビュー企画。

これまではセキュリティエンジニアのパートナー※にインタビューをしてきました。

今回のインタビューでは、セキュリティコンサルタントの髙橋さんにお話を伺いました。2021年4月にGMOサイバーセキュリティbyイエラエ株式会社（以下、GMOイエラエ）へ入社し、セキュリティスタッフ課にてセキュリティコンサルティングを行っている髙橋さん。営業からキャリアをスタートし、フォレンジック調査エンジニア、CSIRTを経てGMOイエラエに入社した髙橋さんのキャリアに迫ります。

※GMOインターネットグループでは社員のことをパートナーと呼んでいます

髙橋大喜（ディフェンシブセキュリティ部 セキュリティスタッフ課　課長）　※1番右
営業、フォレンジック調査エンジニア、CSIRTを経て2021年4月にGMOイエラエに入社。セキュリティコンサルタントとして、顧客のセキュリティに関する課題解決に従事。

「いいね、ぜひやろう」代表・牧田の言葉で決まった入社

―まず、自己紹介をお願いします。

現在はディフェンシブセキュリティ部セキュリティスタッフ課の課長として、4名の部下を率いながら、セキュリティコンサルティングにあたっています。お客さんのお困り事を具体的なタスクに落とし込むのが我々の役割で、顧客に対しセキュリティ領域での組織改善や運用改善が主な業務です。

GMOイエラエには、2021年4月に入社しました。キャリアのスタートは営業で、短大卒業後に地元の事務機器を販売する企業に就職しました。その後、1年間のフリーターを経て、SIer企業に転職しました。ITへの興味と、ITシステムに関するスキルを身につければ、今後20年ほどは食いっぱぐれないと考えたこと、そして文系出身でも入りやすかったことから、SIerを選びました。SIer入社当初は開発者になるつもりでしたがフォレンジック調査の部署に配属され、3年弱の勤務の中で、営業の他、エンジニア、カスタマーサポート、フォレンジック調査員、トレーニング講師などを幅広く担当。その後転職し、事業会社のCSIRTとして入社しました。そこで2年ほど勤務したのち、GMOイエラエへ転職して現在に至ります。

―2社目のSIer企業で携わられたお仕事について具体的に教えてください。

2社目での業務も営業がメインでしたね。製品を売ることに軸足を置いている企業だったので、7割が営業、残りの3割がフォレンジック調査でした。自分で案件のヒアリングから受発注処理、調査やアフターフォローまで行っていました。

実は新卒で入った会社でもセキュリティに関する製品を売っていたものの、その時に興味を持って少しリサーチしたくらいで、セキュリティのことはほぼ知らないままだったんです。基本的には売っているだけだったので、詳しいことは2社目でフォレンジック調査をやりながら学んでいきました。

―そこから再び転職を考えたのはどうしてでしょうか。

フォレンジック調査ベンダーの場合、携われるのは事故対応の中でのフォレンジック調査のみです。事故を防いだり、事故が起きる要因そのものを無くしたりするような改善活動はできませんでした。でも私はそこにアプローチしたかったため、転職を考えました。

そして、Twitter（現：X）にて「雇ってくれるところありませんか」と経歴を添えて投稿してみたところ、求人紹介も行っている日本ハッカー協会という団体から「うちに登録しませんか」とDMが。それをきっかけにその団体に登録し、転職先となる事業会社を紹介してもらいました。

前職への入社の決め手は、SaaSプロダクトを持っていたことでしたね。自社でサービスを提供しているからこそ、事故対応について考えるべきポイントが多くて面白そうだと感じて、入社を決めました。

―その企業での経験を経て、GMOイエラエに入社されたわけですね。たしかきっかけはリファラルでしたよね？

そうです。フォレンジック調査エンジニアをやっていた頃の先輩が、GMOイエラエのフォレンジック調査の部署の立ち上げメンバーとして課長を務めていて、その人に誘われて、GMOイエラエに応募しました。先輩だけでなく当時の同期もいたので、応募に対する心理的ハードルは低かったですね。

フォレンジック課の課長が設定してくれた会食の場で、「事故対応というよりも事故が起こらない組織にするための支援など、根本的な問題にアプローチしたい」と社長の牧田さんに伝えたら「いいね、ぜひやろう」「自分としてもそういうサービスをしたいと思っていた」とお返事をもらって、その場で入社が決まりました。

GMOイエラエなしでも、顧客がセキュリティ対策をできる状態を目指す

―GMOイエラエへの入社当時から、セキュリティスタッフ課は存在していたのでしょうか。

いえ、入社したタイミングでは セキュリティスタッフ課はありませんでした。入社3ヶ月後くらいで部署の構想ができていき、部署ができたタイミングで転籍しました。部署ができた当初は、当時課長も兼任していた部長と自分の2人体制でした。3ヶ月経った頃に知り合いに声をかけて入社してもらって3人体制に。そうして少しずつ人を増やしていって、現在の5名体制になりました。

―セキュリティスタッフ課の業務について、具体的に教えてください。

一言でいうと顧客のセキュリティに関するお悩みや課題を解決していくことが私たちの仕事です。顧客の半分は、自分たちでプロダクトを作る事業会社です。そうした企業の情報システム部門やリスク管理部門から依頼が来ることが主流です。「セキュリティ計画立案」「アセスメント」「事故対応」などのキーワードで検索し、GMOイエラエを見つけるお客様が多い印象ですね。

問い合わせ内容としては、「事故が起こった時に対応できるかわからない」というものが大多数を占めています。そもそも備えがなかったり、なんとなく対策はしたもののちゃんとできているのかわからなかったり。主要顧客である事業会社の場合は特に、自社プロダクトで事故が発生すると損害に直結するので、セキュリティの重要度を高く捉えていることが多いように感じます。そうしたお客様に対してアセスメントを行い、課題点を抽出した上で解決策を提案することがもっとも多いですね。 

診断がしたいと問い合わせがあったお客様でも、いざ話を聞いてみると診断をやるタイミングや何が起きたら診断をするべきかといったルール整備に課題を抱えていたり、そもそもの資産の重要度を把握できていなかったりすることもよくあります。そのため、何から取り組むのかから、取り組んだ後にどう活かしていくのかまでを一気通貫的に考えていきます。

場合によっては他部署とも連携しつつプロジェクトを進めます。一番多いパターンは、フォレンジック課で事故調査をしたお客様に、再発防止策や改善策をあわせて提案するパターンです。

期間は3ヶ月でご契約いただくことが多いですが、1年半などの長期で依頼されるお客様もいらっしゃいます。本当に顧客によってさまざまですね。長期的な契約を希望される場合は、困った時の相談役になってほしいとのニーズを持っていることが多く、月に1回ミーティングをしたり都度質問を受け付けたりと、壁打ち的な使い方をしている企業もあります。

―お客様に合わせて柔軟に対応しているんですね。

そうですね。というのも、「今こんな悩みがあるのですが、何か打ち手はないですか？」とサービスありきではない相談がほとんどなんです。そこから「それならこういう進め方でやってみませんか？」とお伝えして、具体的な提案に起こしていく。そのため、顧客ごとにサービス内容は全てフルカスタマイズになります。ゼロベースで営業活動から入ってコンサルティングまでを行うイメージですね。

そのため案件クローズもさまざまです。ドキュメント作成支援を依頼されて、ガイドラインなどのドキュメントの納品をして終わることもあれば、壁打ちを依頼され、Slackでの回答をもってプロジェクト終了となることもあります。

―想像以上にさまざまな業務があり驚きました。その中でセキュリティスタッフ課としては、何を目指してコンサルティングにあたっていますか。

部署のミッションは、セキュリティ担当者を支援すること。個人的にいつも言っているのは「セキュリティ担当者の胃痛を減らす」ですね（笑）。自社のセキュリティは大丈夫だろうかと不安を抱えることなく、「これだけのことをやっているから大丈夫だ」と自信を持てるようになっていただきたいです。

また、GMOイエラエは困った時の相談役として存在しているだけで、基本的に全てお客様自身でできる状態が理想だとも考えているので、ひとり立ちいただける状態を目指して日々コンサルティングを行っています。

―GMOイエラエのセキュリティコンサルティングの強みは何だと考えられていますか。

ガイドライン一辺倒ではなく、顧客に合った実現可能な方法でセキュリティの強化を実現できることがGMOイエラエの強みだと思います。極端な例ですが、ガイドラインでは事故対応チームは10人必要とされていたとしても、社内のリソース上1人しかいないことはよくあります。そこで「基準を満たしていません」とするのではなく、そうした実情を踏まえた上でアプローチを行っていきます。

セキュリティを数ある商材の1つとしている商社などの企業の中には、ガイドラインを元に作ったチェックシートでセキュリティを評価して、「これの改善にはこの商品です」と売っていく会社もあります。しかしこのやり方では、なぜその問題が発生したのかという本質的なアプローチを行うのが難しくなってしまうこともあります。その点、GMOイエラエは本質的な課題に向き合って、施策を打つか打たないかの判断から伴走しています。

特定の製品を担っていないからこれができているのだと思います。物を売っていないことが強みの1つでもありますね。また、他社製品でも特定の製品を勧めることはしていません。「こんな機能を持っている製品であればいいのでは」という検証観点のアドバイスをしたり、必要な機能のチェックリストを渡したりすることはありますが、具体的な会社やサービスを紹介することは一切していないんです。

お客様からも、こうした点が評価されているのではないかと考えます。また、これが決め手になっていることはほとんどありませんが、コンサルティングファームなどに比べて、はるかにリーズナブルに依頼できるのもメリットの1つではないでしょうか。

また、先ほど話したようにお客様の自立を支援するスタンスなので、作業の代行も行いません。お客様が自分達で手を動かして考えてもらった結果をGMOイエラエ側でレビューしたり、考える上でのヒントやアドバイスを提供する形式に留めています。これが低価格にも繋がっているし、且つ自分達でセキュリティをやっていけることを目指す企業には特に、支持していただいているポイントだと思います。

会社の根幹に関わることができるのがやりがい

―セキュリティコンサルタントの大変さとやりがいを教えてください。

大変なのは、抽象的なものを具体的に落とし込まなくてはいけないことです。お客様は何がわからないのかすらわかっていないところから進めていくことがほとんど。お客様に理解できるように説明しながら、具体的なコンサルティングの提案を進めていかないといけないので、セキュリティに対する深い知識を求められます。

また、知っておくべきなのはセキュリティやITに関わることだけではありません。何でも勉強対象になり得るのがこの仕事の特徴の1つです。例えば、外国での戦争やどこかの国の建国記念日がきっかけで事故が起きることも。こうした国際情勢なども含めて、セキュリティに留まらず幅広く情報収集を行う必要があります。

また、問題の根本原因がITやセキュリティに関わることではないこともよくあります。日々の運用でなんとなく続けられてきたものが実は非効率的で、そこに切り込まないといけないといったケースですね。こうした場合は業務フローを変えてもらったり、顰蹙を買うことを覚悟で「無駄なのでやめましょう」と言ったりすることも必要になります。これは人によっては心理的負担となるかもしれません。

一方、元々事故対応に3ヶ月かかっていたお客様が2週間で終えられるようになったなどの報告をもらうと、コンサルティングを行えて良かったなと感じます。このように自分たちの仕事を通じてお客様の不安を払拭できるし、場合によっては経営にアプローチすることもあるのは、大きなやりがいだと考えています。5件に1件程度の割合で、経営レベルの方と携わらせていただいています。

「セキュリティは経営課題」だと考えているために経営層が出てくる場合もあれば、会社規模が小さいために出てくる方がみんなハイレイヤーという場合もあります。また、時には現場の方に「経営会議に一緒に出て第三者的な立場で経営陣に物申してくれないか」と頼まれることも。パターンはさまざまですが、こうして会社の根幹となる部分に携われることには、とてもやりがいを感じますね。

また、上流から下流まで全体を俯瞰して見ながら、立てた計画をどう実現するかを施策レベルまで落とし込んでいくので、セキュリティだけでなく通常のITシステムを含めた、会社の利潤活動のすべてを見れます。その分知識は必要とされますが、これはやっていて非常に楽しい部分でもあると感じています。

―セキュリティコンサルタントには、どのようなスキルや経験が必要だと考えますか。

システム開発や運用の経験や知識があるに越したことはありませんが、それ以上に経営的な視点で上流工程を考えられるスキルの方が重要です。システム開発などの経験がなくとも活躍できるのは、セキュリティスタッフ課の魅力の1つだと捉えています。

私は中小企業診断士の資格を持っているわけではありませんが、考え方は中小企業診断士に近いような気がします。中小企業診断士は、経営全般に対してアプローチを取っていきますが、同じことをセキュリティに特化して行うのが、我々セキュリティコンサルタントだと考えています。セキュリティがどうビジネスに作用していくのか、そしていかにしてコストを削減し、どう利益を生み出していくのかと考えることは、扱うものは違えど似通ってるのではないでしょうか。

このように経営的なことも考えていくため、企業におけるお金の流れは特に知っておいた方がいいかもしれません。企業がセキュリティに使う予算は、IT予算の10%が目安と何年も前から言われています。しかし、それで足りるかというとそうではありません。いかにしてもっと予算をかけてもらえるか、予算をかけるべきセキュリティ課題は何かを考える上で、企業のお金の流れに関する知識は大きな味方になります。

また、顧客の話を聞けるスキルはマストです。「こうだろう」と決めつけずにしっかり顧客の話を聞いた上で、多方面から分析し、細かいタスクまで落とし込むことが求められます。顧客目線に立って考えられることも重要ですね。セキュリティのことだけ考えるとAという案がベストだとしても、状況的にそれを実行できないこともあります。その際に、顧客の状況を理解して話し合いながら実行できる案を考えられる人が向いているのだと思います。

実際に課内でも、営業経験があるのは自分だけであるものの、客先常駐の経験者やもと監査委員など、お客様と密にコミュニケーションを取ってきた人が多いです。そうした経験は非常に活きると思いますね。

私自身、飛び込み営業の経験がとても活きています。例えば提案のためのミーティングの場では、初対面の状態から情報を引き出して、その場である程度の提案を組み立てることが求められますが、これは飛び込み営業と同じです。また、事故対応支援には、フォレンジック調査の経験が役立っていますし、変なキャリアでよかったなと感じています（笑）。

―今後、髙橋さん個人、セキュリティスタッフ課それぞれで目指したいことを教えてください。

私には、「セキュリティをあまり難しく考えず、単純な経営課題の1つと考えてもらいたい」との想いがあります。確かに難しい部分もありますが、リスクを管理してアプローチしていき利益を最大化していくためにどうするか考えることは他のビジネス上の課題と変わりません。自分自身としては、セキュリティはビジネス課題の1つであることを周知して「セキュリティはハードルが高い」というイメージを取り去るための取り組みをしていきたいです。

部署としては、これからも顧客の課題に向き合って自立を支援するのはもちろんのこと、誰かこの部署を卒業して、他社のCISOになる人が出てきてくれると嬉しいですね。それがセキュリティスタッフ課のレベルの証明にもなると思いますし、いつかそんな日が来ることを待っています。

―髙橋さん、ありがとうございました！

セキュリティコンサルタントとして熱い想いを持ちながら、顧客に寄り添う姿勢が素敵だと感じたインタビューでした。

髙橋さんのようにこれまでの経験を活かして、セキュリティコンサルタントに挑戦してみませんか？少しでもご興味いただけた方は、ぜひ一度カジュアルにお話しましょう！