情報セキュリティに対する旺盛な需要に人材育成が追いつかない。国内外の大手企業が身代金要求型のサイバー攻撃にさらされたり、コロナ禍でリモートワークの比重が高まるといった外部要因もセキュリティ需要を刺激する。高度な知識を持ったセキュリティの専門家によるコンサルティングを強みとするNRIセキュアテクノロジーズ（NRIセキュア）は、1社でも多くのセキュリティ需要に応えるため野村総合研究所（NRI）グループ事業部門との連携、社外のセキュリティベンダーとの関係強化を一段と加速させる。「セキュリティ業界を挙げて脅威に対処しなければならない」と説く柿木彰社長に話を聞いた。

セキュリティ人材の不足が課題

――米大手燃料会社、国内の大手製粉会社、ゲーム会社と立て続けに身代金要求型の手口のサイバー攻撃に遭ったり、リモートワークの比重が高まるなどしたことで、情報セキュリティに対する需要が一層増えたのではないでしょうか。

　企業・経済の活動にとってセキュリティを担保することはとても重要であり、セキュリティに対する需要は拡大の一途であることは間違いありません。コロナ禍で都市部の企業を中心にリモートワークへ移行し、リモート環境に適したゼロトラストネットワークの構築といった特需的な現象も起こりました。一方で攻撃の手口や技術的な水準は年を追うごとに高度化しており、それに対処できる知識をもったセキュリティ人材は、世界的に見ても常に不足している状態となっています。

　当社はITコンサルティングに強いNRIグループらしく、セキュリティ・コンサルティングを強みとするセキュリティ専門ベンダーです。専門的な知識を持ったコンサルタントを育成するには、どうしても時間がかかります。ここ数年、毎年10％ずつ売上高を伸ばす計画を立てていますが、結果として10％を超える勢いで推移しています。「健全な成長」の水準を大きく超えてしまうと、人材育成が間に合わなくなって、当社に期待されている高度なコンサルティングサービスを保てなくなる危険性すら考えられます。

――サイバー攻撃に対して課題を抱えているユーザー企業の需要がそれだけ多いということですね。旺盛な需要にどのように応えていくお考えですか。

　主力のセキュリティ・コンサルティングとは別に「DXセキュリティ」を専門とする事業部門を数年前に立ち上げています。ここでいう「DXセキュリティ」とは最新のデジタル技術を活用して新規事業を立ち上げる案件に特化したセキュリティ・コンサルティングサービスです。

　通常のコンサルティングがユーザー企業の既存システム、既存ビジネスのセキュリティ強度を高めることを主眼に置いているのに対して、DXセキュリティは新規事業が対象ですので、システムの設計の段階から最新のセキュリティ・アーキテクチャーを組み込み、開発・運用に際しても常に最新のセキュリティ対策へと更新する「DevSecOps」の考えをベースとしている点が大きく異なります。

　ここ数年、DXを掲げて新規事業を立ち上げるユーザー企業が増えていますが、未知の領域へ進出するだけにセキュリティも手探りになりがちです。そこでDevSecOpsを設計の段階から取り入れて、常にアップデートをかけていく手法を確立することで、結果的に人手をかけず、効率よくセキュリティ強度を高めることができます。

NRIデジタルとDXで横の連携

――DX系の案件を別のサービスとして切り出すことで、メンテナンス性がいいシステムに仕上げる支援をするわけですね。

　設計・開発の支援だけでなく、24時間体制でセキュリティの状態を監視するマネージドセキュリティサービス事業も手掛けるとともに、特権ID管理などセキュリティ強度を保つために役立つ自社製品も開発しています。

　セキュリティ分野は便利で使い勝手のいい製品が日々登場していますので、国内外から優れたツールを仕入れてセキュリティ強度を高めたり、運用負荷の軽減に役立てたりするといった提案にも力を入れています。直近では米国ベンダーが開発した多要素認証デバイス「YubiKey」の取り扱いを始めました。

――DXといえば、NRIグループでは業界に先駆けてDX専門子会社NRIデジタルを立ち上げています。先日、NRIデジタル会長CEOの増谷洋さんは、本紙のインタビューで、「NRIデジタルは設立5年にしてNRIセキュアとほぼ同じ従業員数の規模になった」と話しており、事業が急拡大している様子でした。

　NRIセキュアは設立から21年目で、直近の単体ベースの従業員数が約500人ですので、それを5年で達成というのはすごいですね。実は増谷さんはNRIセキュアの設立メンバーの一人で、かつ2代目社長も務めた経験をお持ちなので、NRIセキュアのことをよくご存じなのです。NRIデジタルは、ユーザー企業のデジタル技術を駆使した新規事業をビジネスの中心に据えており、当社のDXセキュリティ事業と非常に相性がいい。DXの専門家集団であるNRIデジタルと、DXセキュリティの専門部門は、車の両輪とも言えます。

　増谷さんはNRI本体の専務執行役員も兼務していますので、NRIの各事業部門と連携する上での要の役割を担っているとも言えます。当社ではNRIグループのさまざまな事業部門と積極的に連携することで、1社でも多くのユーザー企業にセキュリティのサービスを提供できるよう努めます。

――他のセキュリティ関連ベンダーからも「高度人材が不足している」という声が聞かれます。人材不足はセキュリティ業界全体が抱える課題ということでしょうか。

　サイバー攻撃を仕掛けてくる「敵」は、攻撃の手口を日々高度化させていますので、防御側もそれに合わせてスキルを高めていかなければなりません。攻撃側と防御側の文字通りの「イタチごっこ」なのです。私は今年4月1日付でNRIセキュアの社長に就いてから、社内外の組織や人材との「融合」や「連携」を説いてきました。セキュリティ会社が単独で活動していては、ユーザー企業を守り切れないと感じたからです。

三つの「融合」をキーワードに

――社内外の組織との融合、連携とは具体的にどのようなものを指しているのでしょうか。

　私は三つの融合を掲げていています。一つめは社内の各部門が密に連携すること。コンサルティング部門と運用面を支えるマネージド部門、自社製品の開発部門がシームレスに連携することでセキュリティ強度をより効果的に高められます。二つめはNRIデジタルなどNRIグループの事業部門との連携です。NRIグループは金融をはじめさまざまな業種・業態の顧客を抱えていますので、ここに当社のセキュリティ専門家の知見を織り込むことで、セキュリティサービスを届けるユーザー企業の裾野を広げ、セキュリティ強度の底上げにもつながります。

　三つめは外部、つまり同業他社との連携強化です。国内はもちろん米国やイスラエルといったセキュリティに強い国のベンダーとも良好な関係を保つことで、最新のセキュリティ商材をコンサルティングサービスのなかに取り入れる。彼らの製品やサービスを活用することでコンサルティングやシステム構築の期間を短くしたり、運用の負荷が軽減できればその余力や節約した時間でセキュリティのコンサルティングを必要としている別のユーザー企業にもサービスを提供できます。

――人材育成に関して、NRIセキュア社内でどのような施策を打っていますか。

　当社では営業日ベースで年間1カ月相当の時間を、人材育成の時間に割り当てるよう社員一人一人に求めています。より上位のセキュリティ資格を取得するため勉強に励むのもよし、コミュニティー活動に参加して知見や人脈を広げるのもよいでしょう。なかには、AIを欺いてAIの信頼性を損ねるような攻撃をテーマに研究を深めたいと、米スタンフォード大学に研究員として留学までしている社員もいます。また、今年は8回目となる学生向けのハッキングの競技会を開催するなど、セキュリティ人材の育成に力を入れつつビジネスを伸ばしていく方針です。
 

Favorite　Goods

　システム基盤を担当していた時期が長く、夜中にいつ呼び出されてもいいように肌身離さずポケベルを携帯していた。その延長でスマホが手放せなくなり、今では「顧客へのプレゼンもスマホですることが多い」と愛用している。
   

眼光紙背 ～取材を終えて～