10年を越える監査法人キャリアを経てAssuredへ。業界を変革する、セキュリティ評価プラットフォームづくりへの挑戦。
こんにちは。Assured人事の密谷です。
今回はAssuredのセキュリティチームで活躍する真藤さんに、長年の監査法人での経験を経て、どのような覚悟を持ってAssuredに入社したのかお話を聞きました。
業界の構造や仕組みを本気で変革したい、そんな真藤さんの思いに迫っていますので、ぜひご覧ください。
真藤 直観/Naoaki Shindo
システムエンジニアやインフラエンジニアとして金融機関のインフラ・ネットワーク管理、システムリスク管理を経験したのちに、監査法人にてSOCレポート業務やシステムリスク管理アドバイザリー業務を経験。
IT企業での内部監査や内部統制の構築を経験し、前職は有限責任監査法人トーマツのリスクアドバイザリー部門にてディレクターとして、海外基準に準拠したルール策定、セキュリティ製品の導入支援などに従事。
2024年2月にアシュアードにセキュリティ領域のドメインエキスパートとして入社。
── まずはじめに、真藤さんのこれまでのキャリアについて教えてください。
私のキャリアは金融機関のシステムを担当するSEから始まっています。今の職種でいうとインフラエンジニアという役割が近いのかなと思います。元々大学で数学を学んでいたこともあり、コードを書くことが好きで、大学では自分でプログラミングをしたりしていました。その当時からなんとなく自分はIT系の仕事をするのだろうなと思っていました。
ただ、改めてプログラミングを職業として経験してみたとき、そこで初めて自分が仕事としてコードを書くことに向いていないと気がつきまして(笑)、監査法人に転職をしました。転職当時はJ-SOXの影響もあり、システムやセキュリティを監査する需要が世の中的に増えており、会計士の集団である監査法人でもITのバックグラウンドがある人を募集していました。
なぜ、エンジニアから監査法人へ?と思われるかもしれませんが、実は監査対応も業務の中で経験したことがあり、どちらもロジックを組み立てるという点で共通していて、自分の強みを活かせる仕事かもしれないと思ったことがきっかけでした。結果的にエンジニアから監査法人へ転職したことが、後々自分にとっての一番大きなキャリアチェンジでしたし、今となってはその選択は間違っていなかったと思いますね。監査法人ではSOCレポートや会計監査でのシステムレビュー業務を中心に行い、その後インターネット企業の管理部門に従事し、直近は監査法人のアドバイザリー部門で働いていました。
── 監査法人に10年以上勤められていた真藤さんが、転職を考えるきっかけはなんだったのでしょうか?
Assuredに転職を決める1年くらい前から、前職のミッションとして将来のビジネスプランや組織の在り方を中心に検討していました。業界や社会全体での大きな課題、日本と海外でのセキュリティリスク管理の違いなどを考えたり、なかでも企業におけるセキュリティやシステムに関わるリスク管理をどうするべきか等を考えていました。あわせて、今後の社会へ自分はどのように貢献ができるのか、ということについても真剣に悩んでいましたね。今考えると、おそらく人生で一番今後のキャリアや将来に悩んでいたと思います(笑)。
その過程で、アドバイザリーとして個別のお客様の課題解決に貢献することも重要ですが、より多くの企業様に対し、セキュリティやシステムのリスク管理を取り組みやすいものに変え、浸透させていき、世の中のセキュリティ水準そのものが引き上がるような事業づくりに挑戦することも面白いのではないか、と思い始めました。
加えて、リスク管理はブレーキに例えられますが、踏みどころ、踏み方、効き具合など「これ」という正解はない一方で、世の中からの要請を踏まえつつ、ビジネスやテクノロジーの進みと歩調を合わせなければいけないという難しさがあります。そうした難しさがあるにもかかわらず、人材の不足やセキュリティチェックシートのような基本のリスク評価ですらメールやExcelで業務している、というツールや環境面を変えられないかな、と思っていたところもありました。
また、私がいた監査法人は社会的な影響力があり、専門家の方もたくさんいてアセットも豊富な一方で、監査法人ならではの独立性の観点で立場上、ご支援できる企業様に制限があったり、組織の大きさや、どうしても労働集約的になりがちなビジネス構造などにもどかしさを感じていました。
セキュリティ評価の仕組みを変えるプラットフォームをつくる意義
── 真藤さんが感じられていた課題感とAssuredの目指したい方向性がすごく近しいですね。そのなかで、Assuredにはどのような経緯で興味を持っていただいたのでしょうか?
実はAssuredのことは2023年の早い時期に聞いたことがあったんですが、もともとSOCレポート(保証報告書)の業務をした経験があり、1社に対して保証する度合いでは前職のほうが高いと思っていましたので、最初はこんなサービスができたんだな、くらいに思っていました(笑)。
そこからしばらくして、先ほどのような評価を仕組みから変えていくことの必要性、可能性を考えているうちに、1社1社に対するアプローチだけではなく、Assuredのようなプラットフォームを通じてより広く効率的に安全性やリスクを伝えていく仕組みがあれば、世の中の構造そのものを変えることができ、自分が考えていたことへの解により早く到達できるのではないだろうかと思い、興味を持ち始めたんです。
そこで改めてAssuredの求人を見てみると自分のスキルや経験が活かせるし、Assuredの仕組み・プラットフォームとしての可能性に魅力を感じ、ぜひ話を聞いてみたいと思いました。その後、選考の中で大森さんの社会に対する課題意識やビジョン、早崎さんとこの業界に対する課題や成したいことについて話していく中で、この会社で働きたいという気持ちは高まっていきました。
最終的には、社内の懇親会に参加したときに一緒に働く人や組織の雰囲気で入社を決めました。セキュリティ評価サービスという真面目で堅い領域に重なるイメージがあったのですが、Assuredに集まっている人は、課題に真剣に向き合いながらも笑いの絶えない明るい人ばかりだったのが良い意味でのギャップでしたね(笑)。
── 監査法人での経験がAssuredではどのように活かせていると感じますか?また、違いを感じる部分などもあるのでしょうか?
入社後まずはセキュリティ評価業務に携わっています。監査法人で得た観点から評価業務の改善点を挙げていくことができており、経験が活きていると思います。セキュリティ評価実務の他にもマニュアルや業務の整理をしていますが、徐々に記事の執筆やサービス企画の割合も増えてきています。
監査法人との一番の違いは、自分たちの考えた価値をプロダクトやサービスに反映できることだと思います。監査法人はマニュアルが整っており、それが提供価値の源泉でもありますが、根本的な改善や見直しに携わる機会はあまり多くありません。その点、Assuredは自分たちでやること、やりたいこと、やらないといけないことがまだまだ山積みです。裏を返すと自分たちで自分たちの価値をつくっていける、というところが大きな違いだと思います。
企業がAssuredを当たり前に使う世界を目指して
── 前職から覚悟を持ってAssuredに飛び込んでくださったと思うのですが、今後どんなことに挑戦したいきたいですか?
Assuredのサービスをビジネスのインフラとして定着させたいです。外部の会社とのビジネスを検討するときにAssuredのセキュリティ評価を当たり前に確認する、業務を始めてからリスクの状況をAssuredを使って確認する、社内のレポートを作成するときにAssuredを利用する、そういう形で企業のリスク管理業務の中にAssuredが浸透していくのが理想です。企業間取引をしたいと思ったときに「セキュリティについてはAssuredを見れば判断できる」という具合に信頼されるインフラにしたいです。そのためにできることがあれば何でもやっていきたいですね。
もう1つはセキュリティ人材の新たなキャリアパスを確立したいと思っています。先ほど、自分の経験が活かせる、とお話したようにAssuredでは監査法人やコンサルティングファームで培ったスキルを活かせる部分がたくさんあります。たとえば、第三者的目線、評価スキルです。さらにAssuredはそこにとどまらず、自分たちでセキュリティに関連するサービス企画をする、プロダクトの発展に携われるという貴重な場でもあります。そうしたところから監査法人・コンサルティングファームとはまた違ったセキュリティドメインエキスパートのキャリアパスをつくり、可能性を広げていきたいと思います。
──最後に読者へのメッセージがあればお願いします!
特に、監査法人やコンサルティングファームの方へのメッセージになりますが、監査法人が行う会計監査・保証報告書の厳格さや第三者性、コンサルティングファームの専門性については常に必要とされるものだと信じていますし、そうした業務に携わる一種の誇りのようなものもあると思います。(個人的にはありました。)一方で、そういった専門性の高い方にもAssuredの仕組みはとても興味深く映ると思います。
そうしたときにAssuredと監査法人・コンサルティングファームの2者を比較してどちら良いか、正しいかといった対立関係では考えてほしくないなと思っています。お互いに成すべき役割を果たした上で、ときに補完しながら企業や社会のリスク管理を一段、二段向上させていくための協調関係を目指したいと思っています。
Assuredに可能性を感じていただける方で、こういった考えに共感いただける方とぜひざっくばらんにお話ができればと思っています。