コンサル会社｢デロイト｣最年少21歳マネジャーはホワイトハッカー、異例の経歴

経営コンサルティング会社のデロイト トーマツ コンサルティングに2017年8月、21歳のマネジャーが誕生した。同社の社内カンパニーのひとつデロイト エクスポネンシャルの西尾素己（にしお・もとき）さんだ。

サイバーセキュリティーの専門家である西尾さんの経歴は｢異例｣ずくめだ。小学校高学年でプログラミングを始め、中学と高専時代には、企業や政府機関の情報システムの脆弱（ぜいじゃく）性を探し出すホワイトハッカーの世界にのめり込んだ。16歳で高専を中退し、ベンチャー企業、ヤフーなどを短期間で渡り歩き、戦略的にデロイトにたどり着いた。

サイバーセキュリティーの世界を全速力で走る彼は、一体どんな人物なのか？

中学生のホワイトハッカー

西尾さんがデロイトに入社したのは、2016年11月のことだ。入社した時点でシニアコンサルタントだったが、9カ月後には管理職のマネジャーになった。高学歴の人材が集まるコンサルティング会社にあって、西尾さんは異例の存在だ。｢最年少｣のキャリアは、どう形成されたのだろうか。

西尾さんは、大阪府八尾市で育った。実家は、鉄工所を経営していた。小学生のころは、カードゲームの遊戯王に夢中だったという。｢正直、勉強は苦手。自分にとって学校は、友だちに会いに行くところだった｣と西尾さんは振り返る。

9歳のころ、母方の叔父から、Windows 98がインストールされたパソコンをもらった。スタートメニューに入っていたプログラムを片っ端から開いているうちに、｢どうして動くのか｣と興味を抱いた。ファイルをWindowsのメモ帳で開くと、意味の分からない文字が羅列されている。西尾さんは｢この、わけの分からない文字がプログラムになるのか。これはすごい｣と思った。

パソコンをプレゼントしてくれたプログラマーの叔父に相談し、プログラミング言語のひとつC++の専門書を買った。Windowsに付属するソフトのひとつに、お絵描きソフト｢ペイント｣があるが、当時は特定の色を選択する機能がなかった。新しい機能をつけることを目標に勉強を重ね、半年後には、特定色を選択する機能を実装するプログラミングができるようになったという。

サイバーセキュリティーの世界に入ったきっかけは偶然だった。

プログラミングの記述に誤りがあると、英語のエラーメッセージが表示される。中学生だった西尾さんは、メッセージを検索エンジンにコピペして、英語のサイトを参考にしながら、エラーを修正していた。海外のサイトを調べていくうちに、プログラムの記述の誤りを悪用して、プログラムの作者が意図しない動作をさせることができることがわかった。｢サイトに例示されていたプログラムを少し書き換えれば、こういう攻撃が可能だろうと思って調べてみたら、とっくにやっている人たちがいた｣

｢とっくにやっている人たち｣が、様々なコミュニティを形成していることもわかってきた。それが、｢ホワイトハッカー｣への入口だった。

ネット上には、様々なコミュニティが存在する。同じ目的に向かって進むグループをシップ（船）と呼び、参加者はクルー（乗組員）と呼んでいたという。サイバーセキュリティー関連で世界的に有名なコミュニティとしては、サイバー攻撃を仕掛けるアノニマスやシリア電子軍などがある。

ゲームの改造をするシップもあれば、数学が好きなクルーが集まるシップもある。西尾さんが参加したのは、サイバーセキュリティーのシップだった。

攻撃を仕掛ける集団は、なぜ攻撃をしかけ、次はどんな攻撃をするのか？ こうした情報を集め、共有する。攻撃対象となっているシステムに存在する脆弱性を、攻撃者よりも先に発見して報告する。ハッキングの世界で、悪意のある攻撃に対処するホワイトハットと呼ばれる集団だ。

舞鶴高専への進学、そして中退

家業の鉄工所を継ごうと考えていた西尾さんは中学を卒業し、舞鶴工業高等専門学校（京都府舞鶴市）に進んだ。寮生活を送っていた高専生時代は、一晩中、シップの活動にのめり込む夜が続いた。クルーとのやり取りに必要な英語も、少しずつ上達した。西尾さんは｢クルーとの会話が一番の楽しみだった｣と言う。

そのうちに西尾さんは、ゼロデイと呼ばれる未知の脆弱性の発見と、それらを利用したサイバー攻撃に関する情報収集が自分の得意分野だと考えるようになった。攻撃者の意図を見抜くには、英語だけでは不十分だ。告発サイトなどウェブ上に点在する情報には、様々な言葉が使われている。次第に、ロシア語、ドイツ語、韓国語、中国語の文書も辞書を引きながら読みこなせるようになったという。

当時は、未知の脆弱性を発見しても報酬が出ることはめったにない。代わりにクルーの間では、どれだけ多くの脆弱性を発見・報告するか競争がある。西尾さんは、年間200件ほどの脆弱性を報告したという。

｢お金が絡むと情報を囲い込みたくなるけれど、無報酬だからみんな惜しげもなく情報をシェアする。反対に、情報をシェアしなくなったクルーは、投票で船を降りてもらうこともあった｣

高専に入って2年めの冬、実家の鉄工所の経営が苦しくなっていた。｢ドロップアウトしても、自分のスキルで食って行けるはずだ｣と、高専を中退して、就職することにした。履歴書に16歳と書いて送ったら、応募した会社から｢年齢が間違っていませんか｣と、問い合わせが入ったこともある。

高専をやめて以降、西尾さんを取り巻く環境は目まぐるしく変化する。

最初に就職したのは、冠婚葬祭のウェブサービスを展開する大阪のベンチャー企業だった。通常、3カ月ほど前から予約する式場を、サービスをパッケージ化することで、1カ月前の予約でも挙式ができる新規事業の立ち上げに加わった。

2014年末、サイバーセキュリティーの分析を専門とするFFRI社に転職した。攻撃する側と守る側の立場から新たな脅威の先行発見や、それらを防ぐ技術への転用技術に関する基礎研究に携わった。金融機関や官公庁のネットワークに潜む脆弱性を見つけ出す。シップで、実際に攻撃を仕掛ける様子を観測する活動から学んだことが、活かせる仕事だった。

約1年後の2016年2月にはヤフーに転職。CISO（最高情報セキュリティ責任者）の補佐として、日本最大のウェブ企業のセキュリティを担う立場になった。ヤフーでは、社内でホワイトハットを育成する仕事に取り組んだ。

同じ年の11月、デロイトに移った。転職を重ねた西尾さんは、転職エージェントをフル活用している。

独特な転職エージェントの｢活用法｣

西尾さんは転職にあたって、｢これまでに身に着けてきた知識と技術を、広く拡散させるにはどうしたらいいか｣と考えた。調べていくうちに、デロイトで執行役員を務める國分俊史氏の活動が、西尾さんのセキュリティ観に近いと分かったが、ハードルは高そうだ。｢デロイトを調べれば調べるほど、自分の年齢と学歴が採用の障壁になるんじゃないかと思った｣と振り返る。

そこで西尾さんは、転職エージェントの分析を重ねた。コンサル業界に強いエージェントはどこか、デロイトと関係が深いエージェントは —— 。

エージェントに相談し、面接にこぎつけた。最初の面接の担当者は、國分氏だった。西尾さんは、思いを伝えることができた。

コンサルタントとして、西尾さんが取り組んでいるのは、セキュリティ対策基準の普及だ。

アメリカの国立標準技術研究所（National Institute of Standards and Technology, NIST）は2015年6月、情報システムのセキュリティ基準として、NIST SP800-171を定めている。米国防総省が防衛装備品などを納入する日本企業を含むすべてのサプライヤーに対し、2017年12月末までにこの基準に対応するよう求める通達を出している。

デロイト入社後、西尾さんはNISTの基準に対応するサービスを開発するプロジェクトに携わってきた。

西尾さんは｢アメリカの企業が、この基準に対応したサービスを提供しているが、サイバー空間における安全保障を考えるうえでは国境が重要になる。重要な情報は、やはり日本の国内に置いておきたいというニーズに応えるサービスだ｣と説明する。

入社9カ月後にマネジャーになり、部下ができた。当然だが、部下はみんな年上だ。サイバーセキュリティーの専門的な知識を武器に全速力で突き進んできた西尾さんには、いつの間にか叱ってくれる上司がいなくなった。だからこそ、｢ちゃんと叱れる上司でいないと｣と考えている。

20歳でシニアコンサルタントになったのも、21歳でマネジャーになったのも最年少だった。目指すのは、最年少のパートナー（執行役員）だ。

（文・小島寛明）