小川 真毅 氏
日本アイ・ビー・エム株式会社
理事/パートナー セキュリティー事業本部
コンサルティング&システムインテグレーション
たまたま入社した会社で
セキュリティ製品を担当
小川真毅氏は2000年に新卒で中堅の日系ソフトウェア開発企業に就職している。大学での専攻は経済学で、「将来は経営者になる」という希望を抱いていたという。
「いろいろな仕事に携われる会社に就職したいと思い、就職活動では業界を問わずに、さまざまな企業を訪問しました。ちょうどインターネットが普及し始めた頃でITに強い興味を覚えていたので、たまたま縁ができた会社に入社しました」(小川氏)
配属されたのは、ウイルス対策ソフトなどのセキュリティ製品を幅広く扱う営業部だった。しかし、1年も経たないうちに技術職を希望。テクニカルサポート部門へと異動になった。その仕事内容は、顧客のPCがウイルスに感染すると駆けつけて除去作業をしたり、セキュリティ製品に関するヘルプデスクなどである。
小川氏は、「私は当時からキャリアアップ志向が強く、さまざまなことにチャレンジしていました」と話す。
その1つで、その後のキャリア形成に大きなインパクトを与えたのが、資格の取得である。テクニカルサポート部門に異動してほどなく「基本情報処理技術者」を取得し、それ以降、1年に1つほどのペースで資格を取得していった。次のような資格である。
・情報セキュリティアドミニストレータ(2003年12月)
・情報処理技術者 テクニカルエンジニア(ネットワーク)(2004年12月)
・情報処理技術者 テクニカルエンジニア(情報セキュリティ)(2006年6月)
・CISSP(Certified Information Systems Security Professional)(2007年8月)
このうちCISSPは、情報セキュリティ分野の最難関の資格の1つと言われ、以下の8つのドメインについて体系的な知識と実践的な理論が求められる、ハイレベルな資格である。
・セキュリティとリスクマネジメント
・資産のセキュリティ
・セキュリティアーキテクチャとエンジニアリング
・通信とネットワークのセキュリティ
・アイデンティティとアクセスの管理
・セキュリティの評価とテスト
・セキュリティの運用
・ソフトウェア開発セキュリティ
その一方、経営への志向も変わらずにあったので、「簿記検定3級」を2003年2月に、同「2級」を2004年6月に取得している。
しかし、入社して7年目を迎えた頃から、「業務内容に限界を感じ始めていました」と振り返る。
「さまざまなセキュリティ製品に触れる仕事自体はおもしろかったのですが、会社が販売する製品の範囲内でしかセキュリティを扱えないことに限界を感じるようになっていました。セキュリティの課題はさまざまで、多面的かつ複合的な対策を必要とします。ソフトウェアだけでできることには限界がある、という思いでした」(小川氏)
海外部門と伍して仕事をするため
グローバル資格を次々に取得
そこで、ある年長者に相談したところ紹介されたのが、2番目の会社となるベライゾンジャパンである。
ベライゾンジャパンは、米大手通信事業者ベライゾンコミュニケーションズの100%子会社で、グローバルネットワークやセキュリティなどを提供している会社である。小川氏は2008年8月に転職し、セキュリティコンサルティング部門のリーダーとして働き始めた(職位は「シニアセキュリティコンサルタント」)。顧客企業に対してセキュリティの課題を指摘し、ベライゾンの海外部門とも連携してソリューションを提案するという仕事である。
小川氏はベライゾンに在籍した5年間に、セキュリティ関連の資格を矢継ぎ早に取得している。それも世界で通用するメジャーな資格ばかりだ。前職の日系企業時代に国内資格を中心に取得していたのとは対照的な動きで、小川氏は自身のキャリアを世界に向けて証明できる資格をベライゾン時代に手に入れている。次のような資格だ(カッコ内は取得年月)。
・PCI QSA(2009年3月) クレジットカードデータセキュリティ保護の審査人資格
・SANS GPEN資格(2010年2月) ホワイトハッカーの認定資格
・CISA認定資格(2010年3月) 「公認情報システム監査人」資格
・CISM認定資格(2010年10月) 「公認情報セキュリティ・マネージャー」資格
・CCSK認定資格(2010年10月) クラウドセキュリティ専門家の資格
・CBCI認定資格(2011年5月) 事業継続マネジメントの専門家資格
「ベライゾンの海外のセキュリティ・コンサルタントたちは、CISSP・CISA・CISMといった資格を5つも6つももっているのがふつうで、彼らと一緒に仕事をするにはそれらを取得していないと話にならないと考え、チャレンジしました」と、小川氏は述べる。
取得したCISAやCISMは、マネジメント系と技術系に分けると、マネジメント系の資格である。そこで、「テクニカル系も必要」と考え取得したのが、SANS GPENである。
また小川氏は、セキュリティ資格の取得に取り組む一方で、2008年〜2010年の2年間、毎週土・日曜に大学院に通い、経営学修士(MBA)の学位を授与されている(2010年9月)。
「その頃にはセキュリティ分野でやっていくことを決めていました。とは言え、セキュリティの専門知識だけでは将来的な目標である経営に携わることは難しいので、エンジニアを含めセキュリティに関わる人や組織を統括し目標に向けてドライブできるようなマネジメント能力を鍛えようと思い、意を決して目標としたのがMBAです。週末だけの受講だったものの課題がものすごく多く、短期間で膨大な知識習得を求められるため、当時は1日に1冊のペースで本を読んでいました」(小川氏)
MBAの取得から半年後に東日本大震災が起きた。小川氏はその直後に、「これからは事業継続についての知見がセキュリティ実務者にも必要になる」と痛感したという。そして急遽取得したのが、事業継続マネジメントの国際的な資格である「CBCI」である(2011年5月)。
セキュリティの専門家として
数度の転職後、日本IBMへ入社
小川氏はベライゾンに約5年在籍した後に、セキュリティサービスをグローバルで展開しているセキュアワークスに入社している(2013年5月)。東京オフィス開設時のスタートアップメンバーとしてで、「プリンシパル・コンサルタント」という肩書きで活動を始めた。
そのセキュアワークスには2年2カ月在籍し、組織とビジネスが軌道に乗ったのを見届けてから、KPMGコンサルティングへ転職した(2015年7月)。世界的なコンサルティングファームの日本法人が、サイバーセキュリティ部門を本格的に立ち上げるために白羽の矢を立てたのが小川氏だった。
KPMGには約3年間在籍し、ビジネスリーダーとしてスタート時の規模(メンバー数)を10倍以上に拡大させるまで成長に貢献して、2018年6月に日本IBMのセキュリティー事業本部へ移った。
小川氏はセキュリティビジネスの観点で、IBMの魅力を次のように語る。それは「IBMへの転職の動機」でもあったという。
「IBMは、Watsonやブロックチェーン、量子コンピューティングなどを見てもわかるように、テクノロジーで常に世界をリードしている会社です。そのことはセキュリティ分野でも同様で、製品・サービスをオールラウンドでもち、技術で卓越したソリューションを提供し、世界でビジネスを展開し、X-Forceという最高レベルのセキュリティ研究機関も有しています。その総合力とブランド力は傍目で見てもすごいもので、セキュリティをやるなら勤めてみたい会社の1つでした」
小川氏は現在、セキュリティー事業本部のコンサルティング&システムインテグレーション部門のトップに立つ。部門のメンバー数は100名を超える。その仕事内容は、自身の将来像として大学時代に思い描いていた「事業全体の戦略策定に関わり、組織の拡大に注力し、メンバー個々のキャリアップを支援する」というイメージそのものだと話す。
資格取得にチャレンジする
3つのメリット
小川氏は20年にわたってキャリアアップを続けるなかで、資格取得をステップの1つとしてチャレンジしてきた。そうしたチャレンジのメリットとして、小川氏は次の3点を挙げる。
①知見を整理できる
たとえば、CISSPは情報セキュリティ全体、CISAはセキュリティ監査、CISMはセキュリティマネジメント、SANSはホワイトハッカーというように各資格が求める専門性が異なるので、資格の取得によって各領域の知見を体系立てて整理できる。
②周囲からの評価が違ってくる
資格はその分野の知識をもっていることの証明になるので、見られ方が違ってくる。ハイレベルかつ世界的な資格であれば、専門家として認められるようになる。
小川氏は取得した資格名を名刺に記載している。名刺交換した人からは「すごい数の資格ですね」と声をかけられ、そこから話が弾むこともあるという。
③チャンスが広がる
特定の資格保有者がいることが、入札やRFP(Request for Proposal)の条件になる場合がある。そのため資格をもっていることによってビジネスの幅が広がり、自身がプロジェクトにアサインされる可能性も高まって、チャンスが広がる。
小川氏は今、部門のメンバーからキャリアについて相談を受けると、次のような話をするという。
「IBMの提案書の書き方に、“Why IBM?”を含めること、というガイドラインがあります。IBMでなければならない理由やIBMだからこそ提供できる価値を明記するということですが、私はそれに加えて、“Why I?”が必要だと常々強調しています。なぜ自分がその仕事を担当しなければならないのか、自分ならどのような価値を生み出し貢献できるのか。このことはどの仕事にも当てはまると思いますが、お客様のクリティカルな局面に向き合うことの多いセキュリティ分野では、とりわけ重要な要素だと考えています」
Why I? それは小川氏がキャリアを通して示してきたことと思われる。
小川氏は20年の歩みを振り返り、今後について次のように抱負を語る。
「私はたまたま入社した会社でセキュリティに出会い、それを突き詰めようとして勉強を続けてきました。ただそれだけの連続だったと思っていますが、今は会社と世の中に対してセキュリティの専門家として価値を提供できるので、これからもこの仕事を続けていきたいと考えています」
[IS magazine No.27(2020年5月)掲載]
特集|セルフ・キャリア・マネジメント
自分のキャリアをどう捉え、どのように再構築すべきか ~キャリアマネジメントに詳しい 伊藤京子氏に聞く