こんにちは、勝俣です。

今回は、私自身について話をします。今後、断続的に何回かに分けて触れていこうと思います。いずれニュートン・コンサルティングの沿革にも話が及びますから、弊社のことをよりよく知る機会にもしていただければと思います。

自分は今、リスクマネジメントコンサルタントです。なぜこの職業についているのか。小学校時代は、当時の御多分に洩れずプロ野球選手になりたいと思ってました。新聞記者とかアナウンサーとか公認会計士とか外交官とか、今の自分にはかすりもしない職業を考えていたときもあります。ところがフタを開けてみればリスクマネジメントコンサルタント（笑）。その道のりに徐々に迫っていければと思います。

人生最初の就職先は、ITセキュリティの専門会社。当時は、Windows95が登場したばかり。今ほどセキュリティが叫ばれてはいませんでした。そんな中でITセキュリティを強く謳っていた会社は珍しい方だったと思います。社内では当然のようにメールやファイルを（公開鍵暗号方式で）暗号化してましたし、ネットワーク装置やサーバーのセキュリティについてもかなり研究をしていました。脆弱性診断のため、お金をいただいて顧客組織内にあの手この手でネットワーク侵入を試みようとする、そんなこともやってました。

「IT」でなく「ITセキュリティ」の会社に就職したことには、特別な理由があったわけではありません。個人的には「IT技術」を身につけられる会社であればどこでもよかったのです。英語が好きだったこともあって「将来は絶対にイギリスで働く」という想いがあり、「英語とITを掛け合わせればその想いが叶えられるはず」と未熟者なりに考えた結果でした。

この会社にいたのは数年間でした（この会社の先輩に請われて、インターネットサービスプロバイダーの立ち上げに参画することになったためですが、その話はまたいずれ）。ですが、今の自分のコアな知識や思考法の多くが、そのときの「たった数年間」で得たものです。社会人人生最初の数年間で得たものが、今の自分の核になっているだなんて。正直、自分でもちょっと驚きです。

何を学んだのか。それは単なるIT知識ではありません。「深い知識」と「それを得る方法」を学びました。深い知識とは、一つ一つの重要技術について、意味のみならず、その技術が誕生した背景から、仕様から、仕組みから、その実践から、それら全てを丁寧に学んで、血肉にした知識のことです。例えば、ネットワークの勉強をする際には、ネットワークケーブル内にどういうデータが何のために流れているのか、意味や構成、仕組みを事細かに勉強しました。実機を使って生データを自分の目で確認もしました。本来なら、利用者の気づかない裏側でシステム同士が勝手に通信しているところを、自らがコンピュータになり代わり、システムとの対話を行うこともやりました。「ソフトを使うより、直に自らコンピュータに話しかけた方が速い」というときもあったくらいです。ベンダーのネットワーク装置を学習するときも、普通に使うのならそんなことまで覚える必要ないだろう、というところまで徹底的に学習したものです。

なぜ、そんな勉強の仕方ができたのかといえば、当時その会社にいた二人の先輩（S先輩とT先輩としておきます）のお陰です。S先輩もT先輩もとても頭のいい方で、何を聞いても簡潔明瞭かつ具体的な答えが返ってきました。「えっ！？そんな細かいところまで何で覚えているの！？」というような感じで、単純に「天才だから！？」と思った時もあります。

ですが、S先輩を観察してみて気づいたんです。仕事を終えた後、いつも分厚い本をバッグから取り出して、2～3時間机に向かっていました。注目すべきはその読み進め方で、とにかく丁寧でした。それが、前段で私が伝えたようなやり方です。学ぼうとしている技術について、自分を誤魔化さず丁寧に読んでいました。少しでもわからないことがあれば立ち止まり、いちいち調べ、正しく理解し納得できてから次に進んでいました。そして、本の内容をそのまま信じるのではなく、実際にその通りの動作や結果になるのか、いちいち自分のパソコンでテストをしていました。

私はどちらかというとせっかちな方なので「わかるところだけ読めばいいや」というスタンス。ベンダーの資格試験なんかでは「理解できないところは、とにかく暗記しておけばいい」。当時、それなりにIT資格を取得しましたが、いい加減な学習方法だったためでしょう、暗記して取得した資格の内容なんてもはや何一つ記憶には残っていません。特に、ベンダーの資格試験のために適当に勉強した知識は、ほとんど頭からすっ飛んでます（笑）。

そして、T先輩に驚かされたのは、とある顧客に最新のセキュリティ装置を導入したときのこと。私とT先輩がその担当になり学習をはじめました。私は装置をいい加減にいじって壊してはいけないと、マニュアルを見て基本的な操作方法を学ぼうとしました。そんなわたしを横目に、T先輩は「さっさと適当にいじりたおして壊しちゃおうぜ！」とニコニコ顔。そんなむちゃな設定をしたら壊れるだろう、ということを実際にやって、宣言通り（ソフトウエア的に）壊してしまいました。なんて人だろう、と思った次の瞬間、彼は「さっ、初期化だ、初期化。“最悪”から学ぼう」と言いました。不思議なことに、このアプローチから学べることは多かったです。何よりも既に最悪の事態を経験しているので「壊してもすぐに直せる」という安心感がありました。これが、その後の「使い倒す学習」を促してくれたように思います。

あれから25年近く経ちますが、今ほどセキュリティが求められている時代はないでしょう。S先輩やT先輩から教わった学習法やそれによって得た知識・技術が、今でも大いに役立っています。S先輩やT先輩が教えてくれたことは三つ。「慌てずに基本を学ぶことの重要さ」と「（その理解において）自分を誤魔化さないこと」、そして「最悪の事態を知ることの意義」です。誤魔化さなければ学んだことは自分の血肉となるし、誤魔化せばそうではなくなる。最悪の事態を知ってそこから立ち直る術を身につければ、視野が広がる。そういうことだと理解しています。

ところで、こうした学びは「個人」のみならず「組織」にも当てはまることだと思います。例えば、組織が整備・運用を進める全社的リスクマネジメント（ERM）やサイバーセキュリティ体制。あるいはBCPや危機管理の体制。こうした、いわゆる“ツール”の基礎知識や真の狙い、勘どころを理解しないまま適当に導入してしまうと、形骸化しやすくなるのではないでしょうか。“ツール”に、自ら、いや組織全体が、誤魔化さずに正しく向き合って取り組む。あるいは、ごちゃごちゃ机上で議論ばかりせずに、組織にとっての最悪の事態をさっさと知るよう努める。そうやって導入したものは、25年経っても色褪せない私の知識・技術同様、10年後、20年後、30年後でも組織の役に立ってくれるのではないでしょうか。これはどの分野にもいえることだと思います。

このように私の社会人人生はセキュリティからスタートしましたが、そこで得たものはとても大きかったです。S先輩やT先輩には今でも感謝しています。ただ、それがどう転がってリスクマネジメントコンサルタントにつながっていったのか。本当はそこまで言及したかったのですが、お伝えするには、どうやら余白が足りないようです。それはまた、次回以降のどこかで触れたいと思います。