EY People メンバーインタビュー

監査法人ならではの立場で
サイバーセキュリティに携わる。

不正対策・コンプライアンスリスクコンサルタント職 2022年入社
Forensics事業部 スタッフ

T.Ishida

学生時代は応用数学科で統計学を専攻。一方でサイバーセキュリティ分野に興味を抱き、卒業後はネットワーク系セキュリティ企業に入社して約2年半、セキュリティ機器の導入・運用保守業務に携わる。その後より広い視点でサイバーセキュリティに携わりたいと考えて、EY新日本に転職する。

第三者視点で相対する

新卒でネットワーク系セキュリティ企業に入社した私がEY新日本への転職を考えたのは、監査法人という第三者視点に立ち、より広い視点でサイバーセキュリティに携わりたいと考えたためでした。巧妙化するサイバー攻撃は、今やビジネス全体に大きな影響を及ぼすようになり、単に技術的な対策だけでなく、経営的な側面からのリスク管理も求められるようになりました。しかも企業活動のグローバル化に伴って、被害は世界規模で拡大しています。厳格な基準や独立性、客観性が高く評価されている監査法人は多様な業界のクライアントにサービスを提供しており、サイバーセキュリティの専門家として大きな貢献ができると考えました。
EY新日本を選んだのは、独立したアドバイザリーとしてサービスを提供するだけでなく、監査法人という立場からより高い目線でサイバーセキュリティに取り組める点に惹かれたからです。

インシデント調査とリスク評価

私は現在Forensics事業部のサイバーセキュリティチームに所属し、大きく2つの業務に携わっています。1つがサイバーセキュリティ侵害におけるインシデント調査です。具体的には非監査クライアントにおけるマルウェア感染や不正アクセスなどについて、侵害原因や機密漏えいの有無について調査します。インシデント調査では、最新の攻撃手法や侵害されたシステムの仕組みなど、幅広い知識が要求されますが、これまでに学んできた知識や培った経験が生かせるため、とてもやりがいを感じる業務の一つになります。
もう1つの業務が、サイバーセキュリティ侵害に対するリスク評価です。昨今ではサイバー攻撃が多発しており、ガバナンス面での対策が不可欠となっています。私は企業が利用している製品やサービスの運用状況、策定しているセキュリティポリシー、インシデント対応体制といった幅広い視点からリスク評価を行っています。また、過去のインシデントの報告書などを目にすることがあり、私自身の知見を深めていくことにつながっていると実感します。これは中立性の高い監査法人ならではの面白さの一つではないでしょうか。
いずれにおいても日本を代表するような大企業が主なクライアントであり、責任の重さがやりがいにつながっています。

プロとして成長できる環境

さまざまな分野のプロフェッショナルが集まっているEY新日本という組織において私は、自分自身も価値あるプロフェッショナルの1人として成長を続けることが、自身のキャリアはもちろんのこと、組織の成長にも不可欠だと考えています。そのため情報のインプットは特に大切にし、最新の業界ニュースを追跡するとともに、専門のセミナーやワークショップへも積極的に参加しています。
成長できる環境が整っていることも、EY新日本の魅力です。入社後は、チームが外部に提供しているトレーニングを受講し、調査対象のPCの仕組みや調査対象の詳細な解析手法など、幅広く学ぶことができました。監査法人という立場であることからも、特定のベンダー製品を用いた解析に偏ることなく、本質的な解析手法を学べるという点も魅力の一つでした。また、リスク評価の際は財務や会計に関する専門用語に触れますので、その領域の知識を身につけるため会計や簿記の勉強も自主的に行っています。監査チーム向けの研修を受講できるため、幅広く学習の場が設けられていることは非常にありがたいことです。

技術、ガバナンスの両面から

将来は、サイバーセキュリティに関連する課題を抱える企業に対して、「技術」と「ガバナンス」の両面からセキュリティ評価のできる専門家を目指したいと考えています。
前者については、トレンドとなる脅威や脆弱(ぜいじゃく)性を理解し、導入しているシステムやその後の対応が有効に機能するかどうかを評価することです。そのために、絶え間なく進化を続ける攻撃の手法や脆弱性などについて技術的な知見を備えている必要があると考えています。後者については、組織内部のサイバーセキュリティリスクへの対応体制や情報資産の管理といった組織的な対応ができているかどうかを評価することです。そのため、サイバーセキュリティリスクに対する組織としての在り方に関する知見を備えている必要があると考えています。
私は技術面、ガバナンス面の両方に関する知見を磨き、サイバーセキュリティのプロフェッショナルとして常にベストパフォーマンスが発揮できる人材を目指していきます。

現場で培った経験を生かしてほしい

ベンダーやSIerでサイバーセキュリティ業務に携わっている方は大勢いらっしゃると思います。そうした方々が現場で培ってきた経験は、大きなアドバンテージになるでしょう。特にガバナンス面での取り組みを進めていくと、どうしても理想論に陥って現場が置き去りにされがちになるからです。現場を知る立場で「そうは言っても」と声を上げられる人材は大変貴重ですので、ぜひこれまで培った経験をEY新日本で発揮していただけたらと思います。

One day schedule

  • AM 9:30

    【出社】メールやスケジュールの確認

  • AM 10:00

    【デスクワーク】インシデントの調査や解析

  • PM 12:00

    【ランチ】チームメンバーとオフィス周辺でランチ

  • PM 1:00

    【デスクワーク】ニュースサイトなどでサイバーセキュリティ関連の情報収集

  • PM 2:00

    【デスクワーク】作業結果まとめや資料作成

  • PM 4:00

    【ミーティング】サービス検討などの内部ミーティング

  • PM 5:00

    【デスクワーク】進捗確認、明日の準備

  • PM 5:30

    【退社】自宅で自己研さんに励んだ後はペットの猫と遊ぶ