コンサルティング事業本部に異動してから最初の仕事は「企業における情報セキュリティ実態調査」だった。この調査はNRIセキュアが2002年から毎年実施しているもので、規模の大きさやデータの継続性などから社会的な注目度も高い。セキュリティコンサルタントとして調査・分析を行い、成長する機会の多いプロジェクトだ。メンバー5人のチームが担当し、私がリーダーに指名された。
アンケート調査では、その年のトレンドとなる事象、たとえばこの時はWindows XPのサポート終了といったトピックがあったが、それらに関する新たな設問を追加した。「何をどう聞くか」が、得られる回答の質を左右する。設問を考え、そして700社近い企業から寄せられた回答の分析を進めながら、いまセキュリティに関して企業や社会が何を課題にし、どう対応しようとしているのか。どこに課題感を持っているのかということを俯瞰しながら探った。報告書が完成した後は記者発表を行い、私も登壇して報告した。内容はネットの記事で取り上げられ、自分の視野の広がりやセキュリティ分野で社会に確かな影響力を持っているという実感があり、充実感があった。
おそらく、コンサルティング業務には2種類があるだろう。1つは最先端の知識・技術を駆使して、次に来るものをいち早く示すこと。もう1つは、ベーシックな知識・技術の普及を進め、社会全体の意識の底上げを図ることだ。コンサルといえば前者のイメージが強いが、それだけではないことを知った。同時に、自分には後者の「底上げ」が似合っているのではないかとも感じた。自分なりのコンサルタント像が見えてきた時期だった。

調査の仕事に一区切りを付けたあと、私のコンサルティング事業本部での主な仕事は、顧客の事業システムのパッチマネジメント対策の推進だった。パッチマネジメントとは、顧客のシステム構成を把握したうえで、構成要素ごとに関連する脆弱性情報をいち早く検知し、影響範囲の特定とリスクの分析によって適用の緊急性と対応の要否を判断、判断結果をもとに迅速に行動する、という一連の業務を指す。顧客先に単身で常駐。他の顧客はいっさい担当せず、この1社に深く関わった。
セキュリティが破られ、機密情報や個人情報が漏洩すれば、企業の社会的信用は失墜し、場合によっては企業としての存亡すら危ぶまれる事態となる。常駐コンサルタントの任務は重大であり、言ってみれば私は「最後の砦」である。日々、セキュリティの世界で起きている事象を追跡し、新たな理論や技術を学び、自分のスキルを向上させ続けなければならない。ここまでの知識で良いということは、セキュリティの世界では通用しない。1年目の「ヘルプ」は文字どおりお手伝いだったが、ここでは言い訳の許されない真剣勝負だった。辛いけれど、かけがえのない経験ができ、顧客との関係も深まった。2年間の常駐で、私と顧客企業の担当者の間に、同じ任務担当者としての一体感が生まれた。顧客側でユーザー業務を実施し、共に学ぶことでユーザー視点でのコンサルティング業務を理解できるようになり、さらなる成長につながる経験となった。

入社9年目となった今、私はセキュリティアプライアンスの新規導入支援案件のプロジェクトマネージャー（PM）を務めている。チームは6～7名の規模で、いわゆるＶ字開発モデルに則り、上流工程の要件定義から順次設計を進めている。プロジェクトのゴールまで戦略を立て、チームメンバーと議論しながら着実に案件を前進させていくという業務に手応えを感じる一方、技術的には新しい分野の製品を導入しながら、今までにない新しい考えを取り入れたシステムの全体を設計するという取り組みとなり、難しさを感じる。現行運用システムへの影響も考える必要があり、既存の社内ネットワークの再検討、PCにインストールされているソフトウェアの入れ替えといったことも検討事項となる。これら全体像を設計書としてドキュメントに落とすことが必要で、なかなか手強い。従来私が担ってきたコンサルティングの範疇を超える取り組みであり、実際チームには他本部のメンバーも加わっている。ローンチまでにはまだ年単位の取り組みが必要だが、その中でこれまでのコンサルティングのキャリアやスキルに加えて、開発全般に関わる知識やチームマネジメントに関するスキルを身に付けることができる機会になっていると思う。また、そうしなければならない。コンサルタントとしての飛躍のチャンスを得るには。