同支社長の三木 剛(みき つよし)氏は、37 歳から畑違いのセキュリティ業界に飛び込み、現在に至る異色の経歴の持ち主だ。三木氏は西日本エリアにおけるサイバーセキュリティの課題をどう見ているのか、そして、「セキュリティエンジニアの内製化」にどのようなビジョンを持って取り組んでいくのか、話を聞いた。
●脆弱性診断サービスを立ち上げ
──まず、三木さんの略歴についてお聞かせください。
GSX の入社前は、神戸の IT ベンダーにおり、その前は重衣料のバイヤーの仕事をしていました。後輩がセールス部隊のマネージャーをしていて、その縁で、セールスをまとめる人材として、入社を誘われました。しかし、自分はまったくIT業界での経験がなかったので、最初は固辞していました。
──前職に入社したのは?
当時は 37 歳くらいだったと思います。ちょうど、私の入社と同時期にセキュリティ事業が立ち上がりました。もともと、デジタルデータを扱う会社として設立され、システム開発に際して脆弱性診断を行うことをサービス化したのがスタートでした。
自分はそれまで IT にもセキュリティにも縁のない仕事をしてきたので、まずは後輩の下で営業セクションのアシスタントマネージャーとして 1 年間修行させてもらいました。お客様のところに行って、話を聞いて、その内容をノートに書いてわからないことを調べて。その調べた文章が理解できずの繰り返しで 1 年間相当苦労しました。
──セキュリティ分野にやりがいを感じたのはいつ頃からですか?
脆弱性診断サービスの立ち上げ後に、セキュリティに対する興味が深まっていきました。その後、脆弱性診断サービスは、開発部の一チームから事業部へ移行していきました。
自社の開発で行った脆弱性診断のノウハウを、外部の企業にサービスとして提供していくビジネスを本格的に行うことになり、私はそのセキュリティ事業部の事業部長に就任しました。
事業部長を約 8 年務め、その間、脆弱性診断サービスのほか、コンサルやメール訓練、フォレンジック調査など事業内容が増え、組織も最終的に25名くらいの陣容にまで拡大しました。
●三木氏が悲願としていたこと セキュリティエンジニアの内製化
──では、GSX 入社のきっかけは?
その頃に出会ったのが、GSX 社長の青柳(史郎)でした。同じ業界の仲介者を通じて知り合い、話をしてみたらサービス領域も同じだし、経営課題も似ていることがわかりました。
GSX は脆弱性診断をベースに手がけていますが、このビジネスは季節変動がつきものです。だいたい 12 月から 3 月までが繁忙期で、その後 4 月以降は仕事が減るので、コンサルや他のサービスを開発し、減った分を平均化することに取り組んでいたのです。
当時、特に西日本エリアの企業のセキュリティの底上げを図りたい、市場を拡大したいという思いを強く持っていました。「セキュリティ人材不足」という課題を強く感じていたからです。
──詳しく教えてください。
西日本エリアは、東京のようにセキュリティ人材の数が少なく、企業が人材採用の募集をかけても、エンジニアが集まらないのが当たり前でした。
そうなると、多くの企業は自社のセキュリティを SI ベンダーに丸投げするようになるわけです。IT システム構築を担う「 SI ベンダー頼り」というのが常態化していて、SI ベンダー側も、東京の本社のセキュリティ部隊と切り離されているため、顧客企業に何かセキュリティ事故があっても、迅速な対応が難しい状況がありました。
ですから、セキュリティエンジニアの内製化は悲願だったのです。西日本エリアでセキュリティ市場を作るためには、企業のレベルを上げていくことが大事で、前職でも「内製化」という課題に対し、当時、脆弱性診断の内製化支援を行っていました。
青柳と出会ったのはその頃で、西日本エリアで教育を軸に企業のレベルを上げていくという思いが合致し、またセキュリティエンジニアの国際認定資格である CND、CEH を展開する GSX であれば、私の構想も早く実現できると考え、GSX に入社することにしました。2019 年 8 月のことです。
●現場の力が強い 関西の傾向
──では、GSX で西日本支社開設に至る経緯は?
前職時代に、GSX の青柳さんと川口設計の川口洋さんと一緒に、川口設計がプロデュースする実践型のサイバーセキュリティ演習である「マイクロハードニング」のイベントを開催することになり、2019 年 5 月に、神戸で第 1 回のイベントを開催しました。
しかし、当時はセキュリティ教育にお金を出す考えを持つ企業は少なく、参加者は 10 名ほどで、半分は自社のメンバーでした。
特に関西エリアでは、たとえば製造業などは現業部門の力が強い傾向があります。ですから、バックオフィスの情シス部門の発言力が弱く、セキュリティ対策、特にセキュリティ人材教育の予算化が難しい状況がありました。
しかし、そうした傾向も、昨年末頃から徐々に変わりつつあるのを感じます。
──どういうところに新しい兆しを感じますか?
セキュリティ人材育成のために予算を出して、社員に受講させる企業が増えてきました。それまでは、講座には社員が個人で申し込んで、個人で受講するケースが多かったのですが、企業が申し込んで社員に受講させるケースが増えてきたのです。
そこで 2019 年 10 月に西日本支社を開設し、西日本エリアでのセキュリティエンジニア育成のための展開を一歩づつ進めているところです。
●関西圏のセキュリティのギャップ解消と底上げ、そして「街の電気屋さん構想」とは
──では、西日本支社での具体的なミッションは?
セキュリティ人材の需要の高まりに対応し、西日本エリアにおける企業のセキュリティの底上げを図るのが 1 つめのミッションです。
たとえば、同じ規模の企業でも、東京と関西では、セキュリティ人材のリソースも、情報量も、まだまだ格差があります。その差を埋めていきたい。
2 つめのミッションが、セキュリティサービスを提供するベンダーの支援です。ベンダー側のリソース不足によって、企業がセキュリティコンサルティングや脆弱性診断を十分受けられず、リスクが放置されてしまうようなケースが散見されます。またインシデント発生時にすぐ対応できるベンダーが身近におらず、東京のベンダーに依頼せざるを得ない。ただその対応も、距離の関係と東京の案件で手一杯で、直ぐ支援してもらうことが出来ないことが多々あります。それを解消するためにもベンダーのレベルアップを図りたいと考えています。
──予算化が難しい企業に対して、どのようにアプローチしているのですか?
西日本エリアの企業は、予算と人的リソース、情報が少ない中で、なんとか工夫してやりくりしているのが実情だと思います。
ですから、私は、セキュリティ人材いませんよね、SI ベンダーにもいませんね、でも脅威のレベルは東京も関西も変わりませんよというような話をしています。
たとえば脆弱性診断は、多くの企業で年に 2 回ほどです。その間もシステム改修は行われており、開発の現場は改修を重ねることでセキュリティの脆弱性の可能性があることもわかっているわけです。
でも、外部のベンダーに頼んでもすぐに対応してもらえないですし、特に 12 月から 3 月の間は基本新規の依頼は断られてしまいます。であれば、自前でやった方がメリットがあるかもしれない、自分たちでやってもいいんだという意識改革をしていただきます。
──三木さんが西日本支社で掲げる「街の電気屋さん構想」というのはどういうものですか。
地場の SI ベンダーが企業のセキュリティの相談役として窓口に立ち、GSX は対策の後方支援を行うという構想です。ログ調査やインシデントレスポンスといった領域は、トレーニングを受けて資格を取れば初動対応くらいは行えるようになります。
ベンダーがインシデント対応をできるようになれば、企業から信頼を得て、新たな商談の引き合いが生まれるかもしれません。
●むしろ今がチャンスと捉える
──最後に、2 年後の到達イメージを教えてください。
西日本エリアの企業は、取引に入るまでが長いものの、一度関係が構築できれば、取引は長期間にわたる傾向があります。取引地域、企業を拡げていき、「点」ではなく「面」をとっていくのが目標です。
具体的には、2021 年度に継続的な有効顧客企業を 200 社に伸ばすことを目標に、2019 年に GSX 全体の約 10 %の売上シェアを、2021 年には 20 %( 6 億円)まで伸ばしていきたいです。それ以降も年 10 %づつシェアを上げていきたいと考えています。
地場の、いわゆるシステム子会社とも連携しはじめています。そうした企業の多くは、グループの SI 会社という立ち位置から、広く顧客企業の課題を見つけ、解決する高付加価値型のサービス企業にシフトしていきたいと考えています。
そのような企業の技術力を上げ、マインドセットをも変えて、GSX と協業することでセキュリティ人材育成事業を進めていけるようなパートナーエコシステムを確立していきたいです。
新型コロナウイルスの影響で、景気の先行きは不透明ですし、西日本エリアのセキュリティ人材育成はまだ立ち上がったばかりですが、パートナーとしての地場の大手 SIer とも徐々に関係が構築できつつあります。セキュリティの予算が削減されようとしている時期、いまはチャンスだとすら考えているところです。
──本日はありがとうございました。
