EN

NRIセキュア ブログ

「ここは任せて、先にゆけ」|DXセキュリティ事業のスローガンに込めた“挑戦”を支える意志

目次

    「ここは任せて、先にゆけ」|DXセキュリティ事業のスローガンに込めた“挑戦”を支える意志  一人一人の「挑戦したい」思いの尊重が、挑戦者・組織・事業の成長へ

    多くの企業や組織がデジタルトランスフォーメーション(DX)を進める一方で、サイバーセキュリティの脅威も高まっています。NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)では、2019年にDXセキュリティ事業部門を設立し、最先端のテクノロジーと長年の経験に基づく多様なセキュリティサービスを提供してきました。

     

    ニーズの高まり続けるDXセキュリティ事業が、これまでにどんな仕事をしてきたのか、これから先にどんな挑戦が待ち受けているのか―― 2021年度からDXセキュリティ事業をリードする2人の本部長が、これからのDXセキュリティ事業の在り方と未来のNRIセキュアメンバーへの思いを語りました。

    企業のDXをセキュリティで支えるNRIセキュア

    fig-9951

    ― お二人が担当しているDXセキュリティ事業について教えてください。
    観堂:NRIセキュアには4つのコア事業がありますが、その一翼を担うのがDXセキュリティ事業です。お客様のDXをセキュリティ面から支えることをミッションとして2019年に誕生し、コンサルティング、セキュリティ診断、クラウドサービス、セキュリティ教育・研修などを中心に幅広いサービスを提供しているのが特徴です。

    4コア事業

    観堂:

    DXセキュリティ事業には、二つの本部があります。一つは、私が管掌するDXセキュリティコンサルティング事業本部で、セキュリティ診断やテクニカルコンサルティング、攻撃者と同じ手法でシステムへの侵入を試みるペネトレーションテスト、開発工程にセキュリティ対策等を組み込む「シフトレフト」の実現に向けた支援などを行っています。

     

    もう一つのDXセキュリティプラットフォーム事業本部は足立が管掌しており、高度な専門性を学ぶためのセキュリティ教育、クラウドセキュリティ、SaaS型のセキュリティ評価サービスなどをお客様に提供すると共に、NRIセキュア全社のセールス・マーケティングも担当しています。

    DX_Security_all

    足立:DXセキュリティの組織は、多様な事業が一体となり構成されています。そのため、企業の事業規模や組織の成熟度、成長フェーズに合わせて、お客様にとって“ちょうどいいセキュリティ”となるよう、さまざまなサービスを組み合わせて提供できることが私たちの強みとなっています。サービスをご活用いただいているお客様も、官公庁や大手企業、スタートアップまで多岐に渡ります。
    ―DXに取り組む企業が年々増加する中、セキュリティに関するニーズは高まり続けています。この状況をどのように捉えていますか?
    観堂:

    さまざまな要因によって企業はアナログなやり方だけでは生き残れなくなり、日本でも2017年頃からDXに取り組む企業が増えました。しかし、新しいテクノロジーを活用して企業の競争優位性を高めようとする際には、ビジネスの得意領域ではない部分で、何かしらの考慮が漏れることがあります。そこで当社は、企業のDXをサイバーセキュリティの側面からサポートしてきました。

     

    さらに、2020年からは新型コロナウイルス感染拡大を受けて、リモートワークが普及し、インターネット経由で重要なデジタルデータをやり取りするケースが激増しました。便利になった一方で、攻撃者にとっては“攻撃できる領域(Attack Surface)”がものすごく拡大したわけです。その後、新型コロナのパンデミックは収束し、状況は随分落ち着きましたが、リモートワークでの業務をやめて以前のやり方に100パーセント戻す企業はありませんから、セキュリティニーズは依然として高いままです。

    足立:

    行政によるガイドラインの公開や格付けの開始などの法規制強化の流れも、セキュリティニーズが高まっている理由の一つかもしれません。2024年10月には、金融庁が『金融分野におけるサイバーセキュリティに関するガイドライン』を公開しました。2025年度には、経済産業省が企業のサイバーセキュリティ対策の評価・格付け制度を開始する計画になっています。

     

    これまで以上にセキュリティを網羅的に捉え、サプライチェーン全体でセキュリティ統制を行うことが、日本企業にとっては重要だと言えますが、セキュリティ人材不足は深刻です。あらゆる企業は「限られた少ない人員で、どのようにセキュリティ対策を実行し続けていくか」について頭を悩ませており、今後は、セキュリティ業務の取り組みを高度化させるだけでなく、セキュリティ業務の効率化やセキュリティ生産性の向上が必要不可欠になってきます。

    技術と経営をつなぎ、挑戦者の志を支える

    fig-9893

    ―NRIセキュアのDXセキュリティ事業部門は、どのようなことを目指している組織なのですか?
    観堂:DXセキュリティ事業は、経験や知識・スキルなど、さまざまな強みを保有するプロフェッショナルなチームによって構成されています。セキュリティに強みを持つコンサルタントやエンジニアだけでなく、セールスやマーケティングに長けている人も所属している多様さが、組織の“ウリ”でもありますが、各組織の事業の特性やカルチャーが全く異なるため、どのように一丸となるのかという点について検討する必要がありました。

    fig-03

    足立:観堂と私は、共に2021年度からDXセキュリティ事業を担当することになったのですが、その当時、私たちは「DXセキュリティの多様さを活かしながら、事業ごとの強みを発揮し、どのように結束していくべきか」について、頻繁に話し合っていました。そこで観堂からの発案により、2021年度の下期からDXセキュリティのMVV(ミッション・ビジョン・バリュー)の作成に着手することになりました。
    観堂:

    DXセキュリティという枠組みで、どのような価値観を土台として共有し、どこへ一丸となって向かうのか、時間をかけて議論した結果、DXセキュリティ事業のミッションとして「技術と経営をつなぎ、挑戦者の志を支える」という言葉を紡ぎました。これは私たちの信念であると言えます。

     

    セキュリティ業界に従事する人の中には、「攻撃に関する技術に興味はあるけれど、セキュリティについて詳しくない人に分かりやすく説明するのは苦手」という人が少なくないと思います。でも、私たちのやるべきことはその両方です。経営者やマネジメント層にセキュリティや技術のことを分かりやすく伝え、思い切り挑戦してもらえる環境を実現するために必要な対策をしておく――。それが私たちの競争力の源泉で、実現すべき姿だということを改めて明確にしました。

    足立:ミッションの「技術と経営をつなぐ」の他にも、ビジョンやバリューとして「どんな企業にも“ちょうどいい”」とか「ためらいなく挑戦できる日本」など、私たちらしいキーワードがいくつか生まれました。現在は、このMVVを組織に浸透させるべく、我々が目指す姿をDXセキュリティ事業全体で何度も共有しながら、さまざまな施策を試行錯誤して進めているところです。
    ―DXセキュリティ部門のスローガンである「ここは任せて、先にゆけ」も、姿勢や提供価値が表れているように感じました。
    観堂:

    このスローガンには、いろんな関係性が盛り込まれています。まずは、お客様と当社の関係において、「セキュリティを心配することなく、どんどん事業を先に進めてください」というメッセージです。企業のセキュリティ担当者は、「守って当たり前。守れなかったら責任を問われる」ポジションだから、孤独で辛い。欧米でCISO(最高情報セキュリティ責任者)の退職が続いていると言われますが、その理由の一つでもあるでしょう。

     

    でも、「ここは任せて、先にゆけ」と言ってくれるパートナーが居たら、企業のセキュリティ担当者はきっと心強いし救われるじゃないですか。また、社員が「○○もやりたいけど、△△があるから今はできない」と感じている時、同僚や上司が「△△はやっておくから、君は○○に挑戦してよ」と、挑戦者の背中を押してあげるようなチームの関係性を表した言葉でもあります。

    足立:

    すごく私たちらしいシーンですよね。多様性と個性に溢れる専門家同士が、MVVという共通価値観でつながっているのです。私は、一緒に仕事を進めるチーム間の信頼関係においても「ここは任せて、先にゆけ」があると思います。

     

    セキュリティ脅威がかつてないほどに高まっている現代では、自分一人の専門スキルや単一のソリューションだけでお客様の課題を解決することは困難です。でも、DXセキュリティ事業には多様な専門性やバックグラウンドを持った人が集まっていて、さまざまなサービスを提供できるからこそ、「こっちはやっとくから、そっちはよろしく頼む!」とお互いを信頼・尊敬して任せられるチームになっていると感じています。

    DXセキュリティ事業のMVV策定のキックオフ(2021/12/22)DXセキュリティ事業のMVV策定のキックオフ、策定に関わった同部門の部長陣と(2021/12/22)

    セキュリティ診断に依存した日本のセキュリティ文化に終止符を打つ

    fig-9977

    観堂:

    先日、大規模システムの公開を控えている企業から「他のセキュリティベンダーの診断を受けて問題はなかったが、念のためNRIセキュアでも見てほしい」とセカンドオピニオン的な脆弱性診断のご依頼をいただきました。それで当社でも診断をしたら、脆弱性や課題がたくさん検出されてしまったことがありました。

     

    そういう時、普通のセキュリティベンダーなら「これだけ問題が見つかりました。もう対策済みで問題ありませんので、安心してください」というようなスマートな対応をするかもしれません。そうすれば、きっと次の診断の時もお声がけいただけて、売上に繋がるでしょう。でも、当社のメンバーは違いました。「こんなに見つかるなんて、そもそも日頃のセキュリティへの取り組み方はどうなっているのですか?」と、お客様の経営層に苦言を呈しに行ったらしいんです。そこでセキュリティ・バイ・デザインの重要性についてプレゼンしてきたという話を聞いて、めちゃくちゃいいなと思いました。

     

    目先のビジネスの事だけを考えるなら、今後もセキュリティ診断し続ける提案をして、フィーをいただくのがいい。でも目先の売上だけにとらわれることなく、お客様が本当にやるべきことを伝えに行ったというわけです。

    足立:

    昨今、セキュリティ事件・事故の話題が絶えませんが、「セキュリティ=人の不幸で儲かるビジネス」ではなく、攻撃されて不幸になる人が増えないよう、未然に防ぐための本質的な対応も私たちがやるべきことです。

     

    歯科医だって、虫歯を治療する人が多ければ多いほど儲かるはずなのに、「効果的な歯磨きの方法」とか「デンタルフロスもしたほうがいい」とか予防観点からいろいろ教えてくれますよね。あらゆる仕事において、お客様の真の喜び・幸せが何かを問う視点・姿勢が求められます。

    観堂:

    セキュリティ診断を依頼するクライアントは、セキュリティ面の不安なく、事業やサービスを運営して、ビジネスを成長させることが主目的であり、決してセキュリティ診断そのものを欲しているわけではありませんからね。そうやって本質的な対応を進めた結果、従来のような「問題を見つけるためのセキュリティ診断」はなくなる日が来るかもしれませんけど、それで良いんです。セキュリティ診断で問題を見つけることを前提とするのはなく、さまざまな取り組みの結果、安全であることを確認するために脆弱性診断を使っていただけるようになった方が良いはずですから。

     

    「セキュリティ診断に依存した日本のセキュリティ文化に終止符を打つ」くらいの強い意志を持って、これからも攻撃技術を追い求め続けていくことが、セキュリティ診断において日本トップクラスのシェアをいただいている自分たちの使命だと考えています。

    足立:

    私がこの世界に入った20年以上前からセキュリティ診断という分野はありますが、近年はその定義や範囲が広がっていると思います。セキュリティ診断は、クラウド・自動車・宇宙・生成AIなど、あらゆる技術・分野において求められていますし、企画・設計段階からセキュリティを考慮・組み込んでいくシフトレフトやDevSecOpsも注目され、常識となりつつあります。

     

    セキュリティ診断を安全確認のために使っていただけるよう、私たちは新たなテクノロジーとそれに付随するセキュリティ脅威やリスクと向き合っていきます。

    挑戦を後押しする風通しの良い環境

    fig-9988

    ―DXセキュリティ事業のビジョンとして、「ためらいなく挑戦できる日本」というキーワードがあります。どのような思いが?
    足立:高架の高速道路にガードレールがなければ、両端に落ちるのが怖くて走ることを躊躇するでしょう。しかし、ガードレールがあれば「この内側は安全だ」と分かるので思い切って運転できます。お客様がビジネスにおいて新しい挑戦をしようとする時、お客様のビジネス環境におけるセキュリティリスクを把握し、事業規模やリソースに合わせた“ちょうどいい”セキュリティ対策を、ちょうどいい幅のガードレールのように設けることで、恐怖や不安を感じることなく挑戦していただける環境を実現することが私たちが支援すべきことです。
    観堂:挑戦するためには、恐怖や不安を取り除いた心理的安全性が必要不可欠ですからね。攻撃者の最新の攻撃手法をウォッチし続けて、脅威・攻撃動向に合わせた対策をしておけば、不安が減り、思い切って挑戦できるようになるはずです。
    ―社員にも挑戦を促していますよね?
    足立:

    観堂は「最初の挑戦をする場を作ろう」と、よく言っていて、小さな変化や挑戦を大事にしている印象があります。2024年11月に、世界トップクラスの専門家による日本発の情報セキュリティ国際会議である「CODE BLUE 2024」にNRIセキュアとして初めて協賛したのですが、そのきっかけは観堂が入社1年目の若手と1on1をした時に「CODE BLUEに会社として参加してみたい」と聞いたことでした。

     

    会社によっては、マネジメント層が若者の気まぐれや思いつきとして軽く受け流してしまう可能性もありそうな話ですが、観堂は真剣に受け止め、自分事として捉えて、社内で「CODE BLUEに参加したいという意見があるけど、どうする?」と、動き始めていました。

    観堂:NRIセキュアは社員一人一人が主役の会社で、昭和的なピラミッド組織ではありません。だから、「貴方はまだ1年目だから時期尚早だ」などとは言いませんからね。一人一人の「挑戦したい」という思いやWillを尊重することが、その人のみならず組織や事業の成長につながっていくという光景を何度も見てきました。
    足立:その人にとっては、志ある挑戦ですからね。必ずしも大きなイノベーションに繋がるような挑戦である必要はありません。挑戦が意味するものは年齢や経験によって異なっているからこそ楽しいのです。
    観堂:本当にそうです。山登りでもエベレストを目指す人もいれば、高尾山に登る人もいる。とにかく挑戦の大きさは関係なく、やってみることと、それによって得られる体験や実績が重要です。だから、本人が挑戦だと気付いていないような小さな取り組みであっても、「それは挑戦だよ」と伝えて、「自分は今、挑戦しているんだ」と自己認識してもらうようにしています。もし失敗したとしても、振り返りをすればそれは成功の種になりますから。
    足立:私たちの仕事は、挑戦者に成功体験を味わってもらうことです。もし成功しなかったとしても、挑戦したという実績は自信になって、次の挑戦を支えてくれます。どんな挑戦であっても繰り返していくことが大事だと思います。CODE BLUE2024で登壇した社員は、宇宙セキュリティをテーマに講演をしましたが、今もそのテーマで新たな挑戦をどんどん続けてくれていて、その動きに賛同・参加する社員が増えています。挑戦が組織内で連鎖していくのは、至極の喜びです。

     

    Codeblue

     

    観堂:自分の若い頃を振り返ってみると、社長や上司に守ってもらいながら、いろんな挑戦をさせてもらっていたなと思います。だからこそ、私たちもみんなの挑戦を後押しできるような環境を提供したいと考えています。MLBで活躍する大谷翔平選手が二刀流で大きな実績を残しているのも、当人の才能や努力はもちろんですが、その周囲に二刀流への挑戦を支え、信じ続けてくれた人たちがいることが大きいのではないでしょうか。
    足立:

    今、セキュリティ企業は世の中にたくさんありますが、セキュリティ人材はずっと売り手市場で、実力のある人ならどんな会社でも選べる状況です。そんな中で多くのメンバーがNRIセキュアで仕事を続けてくれているのは、日々成長できる場があり、やりたいことに挑戦できる環境があるからだと思っています。もともと社内ベンチャーとして始まった会社なので、今でもスタートアップのような風通しのよさがあるし、NRIグループ全体の知見も使えて、いろんな挑戦がしやすい。

     

    私もNRIセキュアに入社してからのことを振り返ると、「Will・Can・Must」の視点で色々な仕事がある中で、幸いにも「Will」に関連する仕事をさせてもらえることが多く、いろんな挑戦をさせてもらった実感があります。これからDXセキュリティ事業のメンバーになってくださる方にも、ぜひこの環境で思い切り挑戦をしていただきたいですね。

    異なる経験を、DXセキュリティに求められる多様性に

    fig-0010

    ―未来の仲間に対して期待することはありますか?
    観堂:

    これからキャリア採用でNRIセキュアに入って来てくださる方は、皆さん、他社で培ってきた経験をお持ちですよね。みなさんがお持ちの経験や視点から、私自身も組織も学ばせてもらいたいと思っています。

     

    若い頃、足立と私はコンサル事業部門で一緒に働いていたのですが、その後の約5年は全く異なる部門へ異動しました。足立は新規事業の立ち上げ部門へ、私は子会社であるユービーセキュアへ赴任したのですが、その時の経験や挑戦が、巡り巡って今DXセキュリティ事業での仕事にすごく活きている実感があります。

    足立:

    激しく同意します。あの時、劇的にキャリアチェンジしていなければ、私は井の中の蛙になっていたかもしれません。私が関わっていた頃のNRIセキュアのコンサルティングは、たくさんの引合いをいただけていたので、コンサル事業部門にいた頃には「全く売れない」という状況を経験したことがありませんでした。

     

    でも新規事業の立ち上げの際には、何もないところから自社サービスを作らなければならなかったし、リリースした後もまるで売れませんでした。そこから売れるようになるまで、お客様の声に耳を傾け、いろんな苦労をして、チームでたくさんの壁を乗り越えて、社内新規事業を育てるためのノウハウやGRITを身につけました。0を1にするために、粘り強く色々な取り組みをしたからこそ、DXセキュリティ事業で求められる多様性や、苦しい場面にも適応できている実感がありますし、さらなる新規事業の立上げにも関わることができています。

    観堂:

    私が行ったユービーセキュアも、NRIセキュアとは人もカルチャーも全く異なる組織でした。それまでのやり方では通用しないこともたくさんあり、そこでの経験を通じて自分自身の仕事のやり方や生き方を見直すきっかけにもなった。そして、その経験によって「自部門やNRIセキュアという枠を越境し、競合や他社も広く見て学ばなければ」と感じるようになりました。

     

    仕事をしていると、どうしても内向きになってしまうことがあります。でも、自分たちが常識だと信じて疑っていないことが、社会の非常識になっていないか?ということは、常に外を見て意識し続ける必要があります。お客様の課題解決をする時には、点でセキュリティ商材を提供するのではなく、複合的に点と点を線で繋いでいく必要があるので、自社や自部門だけではなく広い視点を持っていなければなりませんから。

     

    他社での経験をお持ちの皆さんがNRIセキュアにご入社されたら、いろんなギャップを感じることがきっとあると思うので、ぜひ感じたことを教えていただきたい。日本のセキュリティ文化を見直して、日本を変革していくような挑戦を、ぜひ一緒にしていきましょう。

    fig-03

    fig-04

    DXセキュリティ事業部門の社内表彰イベントにて

     

     

    NRIセキュアテクノロジーズ 採用情報