ビジネスデザイングループに所属し、クライアントのDX推進におけるセキュリティコンサルティングを担当している岡本 奈穂子。教員をめざしていた彼女が、モンスターラボで働くまでの背景や仕事観を語ります。
DX推進上の“安心”を支援する
──まずは現在の担当業務について教えてください。
今はビジネスデザイングループに所属しており、クライアントのDX推進のための企画設計・戦略策定などをセキュリティ面で支援しています。いわゆるセキュリティコンサルティングですね。プロジェクトとしてはセキュリティアセスメント、つまり情報セキュリティ関係のリスクを発見し、分析・評価するものが多いです。
また、近年では企業へのサイバー攻撃が大きな問題となっていることもあり、インシデント発生を仮定したサイバーセキュリティ演習、社員の皆様へのセキュリティ教育なども提供しています。
──企業のDXやデジタル化が加速する中で、大きな需要がある領域ですよね。
トレンドマイクロが2021年に公表した「DX(デジタルトランスフォーメーション)推進におけるセキュリティ動向調査」によると、DX推進担当者の9割以上が自社のサイバーセキュリティ対策を懸念しており、3割は実際にセキュリティインシデントを経験しています。新たなテクノロジーの導入により開発環境や利用状況が多様化しているので、とても重要な領域の1つだと考えています。
──セキュリティアセスメントでは、お客様とはどのようなコミュニケーションをとっていくのでしょうか?
まずはお客様からお問い合わせをいただくところから始まります。インシデントが発生してからご相談いただくこともありますが、どちらかと言えば、セキュリティ対策に対する焦りはあるものの何から始めるべきかわからないというご相談が多いです。
──“焦り”というのは?
自社が一般的なセキュリティガイドラインをクリアしているのかわからないという声や、社内のシステムの管理状況を把握しきれていないという声もありますね。最近ではテレワークにおけるセキュリティ確保への不安の声も。
現状をしっかり分析・評価しないことには、どのようなアプローチが適切か、どのくらいのリソースが必要かも決められません。それがいっそう焦りを増幅させている側面もあると思います。
──なるほど。お客様はサイバーセキュリティの専門的知見がない方がほとんどだと思いますが、コミュニケーションで工夫していることは?
課題のヒアリングではISMS(※)にそって進めるのですが、わかりやすい言葉に言い換えたり、具体例を出しながら質問したりしていますね。そこからセキュリティ対策レベルを評価し、ロードマップを作ります。クライアントの状況、会社規模やリソースなどを鑑みて対策の優先順位をつけ、報告書にまとめていきます。
報告時の工夫としては、内容についてしっかり合意できており具体策に落とし込めていることはもちろん、担当者の方がセキュリティ予算を確保しやすいよう、たとえば社内周知しやすいような説明などを心がけています。
セキュリティは売上に直結するものではないため、肩身の狭い思いをしている担当者の方もいるのが現状なんです。そこをできるだけサポートし、担当者の方がセキュリティ業務を進めやすいような提案をすることも重要だと考えています。
※ISMS:情報セキュリティマネジメントシステム。情報の「機密性」「完全性」「可用性」を維持するためのマネジメントシステムを指す
──現在入社3年目ですが、岡本さん自身の業務としては?
2年目の終わりくらいから案件のプロジェクトリーダーを任せてもらえるようになり、クライアントとの連絡窓口のほか、メンバーのスケジュール管理や作業内容のレビューを行うようになりました。
3年目に入ってからは予算管理、スケジュール進捗管理、会議のファシリテーションなども担当しています。また、これまでのセキュリティコンサルタントとしての学びを活かし、2022年4月には新規サービスを立ち上げました。立ち上げ後は、マーケティンググループなど他部署と連携しながら拡散にも取り組んでいます。
──どのようなセキュリティサービスを立ち上げたんですか?
チェックリストを用いてリスクを可視化し、対応策を導き出すセキュリティ診断サービスです。1週間のスプリントを3回、つまり3週間という短期間で診断を行うので「セキュリティ・スプリント」と名づけました。チェックリストには国際規格「ISO/IEC 27001」で示されているISMSの内容と、DX企画時に考慮すべき内容を反映しています。
▲「セキュリティ・スプリント」の報告書イメージ。データ管理やクラウド活用におけるリスクなど、合計6パターンのリスクを特定し、費用対効果を踏まえた対応方針を最終報告する。リスク評価は、100点に近いほど情報セキュリティリスクが高いことを指す
私の場合、2年目の冬あたりに上司から「やってみないか」と声をかけてもらい、新サービスの企画を考えていました。DX推進支援と親和性が高く、活用されやすいものは何かという視点から、たたき台を作って何度もレビューしてもらったんです。
サービスはまだ始まったばかりですが、先月もセキュリティ・スプリントにご興味のあるお客様からお問い合わせをいただきました。煩雑化する事業の中で、セキュリティ対応が“モグラ叩き”状態になっていることに強い懸念を抱いていらっしゃったんです。
──重大なインシデントがいつ起きるかわからない、不安な状態が続いていたんですね。
お客様が安心してDXを推進する上で、情報セキュリティに関するリスク、影響範囲などをしっかりと把握し、コントロールできる状態を保つことは非常に重要です。ときには研修などを通じて、お客様のセキュリティ意識の向上などもサポートしながら、安全な事業・開発環境の構築に寄与できればと思っています。
「成長を支えたい」という想い
──モンスターラボに入社するまでのことを教えてください。
私は2020年4月に、経営・ITのコンサルティングサービスを行うIT BPO株式会社(以下、IT BPO)に新卒入社しました。入社後は、サイバーセキュリティ教育を行うグローバルセキュリティエキスパート株式会社(以下、GSX)様と長くご一緒しており、そのなかでセキュリティコンサルタントとしての経験を積んできました。
──モンスターラボは2021年6月、IT BPOを子会社化しました。その時点でモンスターラボの社員に?
はい。ただ、引き続きセキュリティコンサルティングを担当しているので、仕事内容は大きく変わっていません。GSX様ともご一緒しています。 モンスターラボとしても、GSX様とは2022年からセキュリティ領域での協議・協業を進めているので、今まで以上に強固な関係を築いていると感じています。
▲2022年7月27日開催のウェビナー『事例に学ぶ、アジャイル開発とセキュリティ強化の勘所』。開発プロセスの中にセキュリティを取り入れ、継続的に改善し続けていく「DevSecOps」やセキュリティ人材育成について議論した
──学生時代からサイバーセキュリティの分野をめざしていたんですか?
実は教師になりたいと考えていたんですよ。高校国語の教員免許も持っていますし、教員採用試験も受けました。ただ、教育実習の時点で想像以上に厳しい労働環境であることを知り、ワークライフバランスへの懸念があったんです。
私の価値観として、人生で仕事を最優先したくないという想いがありました。会いたい人に会って楽しい時間を過ごしたり、絵やデザインが好きなので美術館に行ったり。そのためのエネルギーが仕事によって削がれてしまうのは、私がめざす生き方・働き方ではないと思いました。
そこから秋採用をねらって再度就職活動を始めることに。軸となったのはワークライフバランス、そして人や企業の成長に寄与できるかどうか。教師をめざしていたのも、人の成長を支えたいという想いがあったからなので。
──コンサルティングはまさに企業の成長を支える仕事ですよね。
そうですね。お客様に寄り添い、課題解決へ導くことで企業の成長に寄与できると思いました。入社後はOJTと並行し、CND(※1)、CAPM(※2)の試験合格をめざして勉強の日々。私は文学部出身なので、そもそもシステムがどのように構築されているかもわからず、基礎からのスタートでした。
※1 CND:認定ネットワークディフェンダー。情報セキュリティとサイバーセキュリティの認定資格 「EC-Council」の1つ。組織のセキュリティについてどの部分をレビュー、テストする必要があるかを特定し、ネットワークのリスクを防止、軽減する専門スキルが身についていることを国際的に証明するもの
※2 CAPM:プロジェクトマネジメント(PM)に関する経験、教育、知識をはかり、プロフェッショナルであるかどうかの確認を目的として実施されている試験。米国プロジェクトマネジメント協会が資格認定を行う
──“文系セキュリティ人材”なんですね。将来性などの観点から、IT業界に興味のある文系学生も多いと思いますが、モンスターラボの職場環境についてはどのように感じていますか。
資格については、モンスターラボでもCAPMなどの資格取得が可能です。福利厚生の中に資格取得支援制度があり、50種類以上の資格が対象となっています。業務に必要なスキルアップは積極的に後押ししてくれるので、評価目標に応じて活用している社員もたくさんいます。
後は評価制度の目標設定、メンター制度、悩みをカジュアルに話せる1on1ミーティングなどもあるので、上長や先輩社員に『こういうことにチャレンジしてみたい』と相談しやすく、また、実現に向けてサポートを受けられる環境でもあると思います。私自身、モンスターラボに入社して『とてもフラットな職場だな』と感じています。
必要な資質としては、ITの知見・知識はもちろん重要なのですが、コンサルティングにおいてはコミュニケーション能力も同じくらい重要だと考えています。プロジェクトやステークホルダーのニーズを満たすためには、課題を正確に把握するための細やかなヒアリングや、一緒に棚卸しをしてもらうためのコミュニケーションが欠かせません。
ITに明るくないお客様もいらっしゃいますので、提案や報告をする際にも工夫が必要です。 このようなコミュニケーション能力、さらにそこから思考する力、課題解決力は理系・文系を問わない重要な資質だと思います。
とはいえ、とくに1年目は自分のことだけで精一杯でした(笑)。お客様との信頼関係についてちゃんと考えられるようになったのは、プロジェクトの進行管理などを担当するようになってから。コミュニケーションの重要性を痛感しましたね。
──先ほどの例にもありましたが、セキュリティのご相談はそもそもお客様が非常に不安な状態にあるケースも多いですしね。
そうですね。そのようなお客様の期待に応えるためには、プロジェクト下の円滑なコミュニケーションはもちろんのこと、チーム内でのコミュニケーションも考えなくてはなりません。多様で個性豊かなメンバーにどのような形で参加してもらうか──得意領域やコミュニケーションのスタイルも人によって当然異なりますよね。
そこを理解しながらメンバーとコミュニケーションをとるようにしています。2024年以降は、後輩の育成にも積極的に関わっていきたいと上長と話しています。
テレワークによる“ライフ”の充実
──ワークライフバランスを重視しているというお話がありましたが、モンスターラボでの働き方はどうですか。
私は残業はほとんどなく、繁忙期でも1〜2時間あるかないか。就活のときに大きな軸となったワークライフバランスに関して、理想的な働き方ができていると思います。
──ちなみに1日のスケジュールはどんな感じですか?
私はだいたい9時から勤務開始していますが、午前中はメールチェックに始まり、日中はプロジェクトメンバーやクライアントと打ち合わせをしたり、資料を準備したり。昼休憩はしっかり1時間とって、散歩がてらスーパーに買い出しに行くなど有効活用しています。1日の終わりにまとめて事務タスクを終わらせて、18時退勤という流れです。
──ほとんどテレワークですか?
そうですね。お客様のご要望に合わせてオフラインで打ち合わせをすることもありますが、出社は月2回程度。モンスターラボは以前からテレワーク文化が浸透しており、出勤日数の規定などもとくにありません。
──テレワークにともなうトラブル、たとえばコミュニケーション不足やサポートへの不満はなかったですか?
Slackでのコミュニケーションや情報発信が頻繁に行われているので、テレワークでも社内コミュニケーションが少ないと感じたことはありません。私自身も、若手メンバー向けのお悩み相談会やイベントを月1で企画していたんですよ。
Slackで連絡をとりあい、オンラインで集まって情報交換をしたり、一緒に気分転換をしたり。そういう動きは社内でたくさんあるので、テレワークだからといってコミュニケーションがドライになったり孤立したりということは少ないと思います。
──ありがとうございます。では最後に、今後の目標を教えてください。
モンスターラボにとって、DX推進におけるセキュリティコンサルティングはまだまだ伸びしろのある領域。コンサルタントとして引き続きクライアントを支援し、実績を積みながら、まずは新規のセキュリティサービスを成功させたいと思っています。
一方で、私は飽き性なところもあって(笑)。新しいことへの挑戦が既存業務のモチベーションにつながるところもあるので、今は個人的にUXの勉強をしています。
──先ほどデザインが好きと言っていましたしね。
いつかUI/UXの案件に携わってみたいなと思っているんですよ。今はGoogle UXデザイン プロフェッショナル認定コースを受講して、基礎知識を身につけているところです。長期的な目標としてはメンバー、そしてチームを成長させていきたいです。
売上への貢献はもちろん、プロジェクトの進捗管理・メンバー管理にやりがいを感じていることもあり、マネジメントにはすごく興味があります。学生時代に抱いていた「人の成長を支えたい」という想いをかなえる意味でも、いつか挑戦したいと思いますね。