リコージャパン株式会社様 　│　サイバーセキュリティ提案力強化研修プログラム開発
～提案人材を育成し、サイバーセキュリティニーズを捉える～

リコージャパンは課題の抽出から、改善提案、導入構築、運用管理、効果検証まで、お客様のICT環境のライフサイクルに合わせた最適なソリューションを提供し、お客様の経営課題や業務課題の解決を支援している。各都道府県の48支社と5つの組織で全国をカバーし、約7,800名の営業、約4,210名のカスタマーエンジニアの一人ひとりがプロフェッショナルとして高い専門性を発揮し、お客様の業種・業界の特性を深く理解し、地域密着でリコージャパンならではの高付加価値なソリューションをお客様に価値を提供している。

「人財開発センターとは、改めてどのような役割を担う組織なのでしょうか」

インタビューの冒頭で投げかけられたこの問いに対し、人事・コーポレート本部 人財開発センター能力開発企画室の芦田氏・森川氏は、次のように整理する。

人財開発センターの役割は大きく二つある。

一つは全社横断の“横串”の共通教育、もう一つは職種ごとの“縦割り”の専門教育である。

横串の共通教育とは、新入社員研修、年次別研修、新任管理職研修、新任部門長研修など、営業・SE・スタッフといった職種を超えて実施される教育を指す。一方、縦割りの専門教育は、営業職向け研修、カスタマーエンジニア向け研修、SE向け研修、スタッフ職向け研修といった、職種特性に応じた育成施策だ。

これらを横と縦の両面から体系化し、部門としての役割を明確に持ちながら人材育成を推進する。それが人財開発センターの本質的な役割である。

同社ではAI支援およびサイバーセキュリティ対策支援を重要な事業戦略の柱と位置づけている。変化の激しい分野だからこそ、属人的なスキルや一過性の研修ではなく、事業と連動し、成果に結びつく人財育成が強く求められていた。

同社では人財育成にあたり「3つのゴール」を定義していると芦田氏は語る。

3つのゴールとは「ビジネスゴール|成果」「パフォーマンスゴール|行動」「トレーニングゴール|研修」である。つまり、研修を通じて、行動を起こし、成果を上げる、というスパイラルを構築するということである。研修は実施したが成果につながっているかはわからず、という研修が世の中には存在する傍ら、成果を見据えた研修を設計できている点に同社の強みがある。

また、同社では「プロフェッショナル認定制度」と「プロフェッショナル人事制度」という仕組みがあり、研修と成果が「評価」につながる仕組みを構築している。研修によりスキルが身に付き、実践を通じて成果が上がる。成果が評価されて動機付けされ、研修への意識が高まり、研修での習熟が進むことで、次の成果へとつながっていく。

加えて、森川氏は「インストラクショナルデザイン」の考え方が、知識習得にとどまらず、行動につながるカリキュラム設計の要として、その重要性について触れた。

インストラクショナルデザインは、「Analysis|ニーズの評価と分析」「Design|設計」「Develop|開発」「Implement|実施」「Evaluate|評価」の、5つの手順をサイクルとして設計される人財育成のフレームワークである。

「インストラクションデザインをフレームワークとして活用しながら、受講者ごとに目標設定を行い、どのようなカリキュラムで、どのように教えていくかを考えていくことで、学びを実践に結び付けられるような研修の提供を心掛けています。」

これらの考え方を持ち研修を提供してくれる組織があることは、同社の強みと言える。

人財開発センターとして、これまでIPA系資格の取得推進は順調に進めることができていたと振り返る。例えば、情報セキュリティマネジメントやITパスポートの上位資格を取得する社員は数千名規模に達している。一方で、現場からはこんな声が上がっていた。

• 試験には受かったが、お客様の前でどう使えばいいかわからない
• キーワードは知っているが、提案に落とし込めない
• 資格取得がゴールになってしまっている

この「知っている」と「できる」のギャップを埋めていくことが、今回の研修企画の1つのテーマだった。

研修では、リスク値、リスクコントロール、リスク低減といった用語を、実際の提案の中でどう使うかを徹底的に繰り返した。最終アウトプットは毎回同じ。何度も同じ構造で考え、書き、話すことで、身体に刷り込ませる。本研修は単発イベントではない。ケース1からケース5、そして修了検定までを含む年間プロセスとして設計された。結果として、受講者が現場で自然に「御社のセキュリティリスクを下げられます」と語れるようになったことは、大きな成果だった。

初年度はトライアンドエラーの連続だった。毎回、GSXとリコージャパンのプロジェクトメンバーで反省会を行い、地方拠点での反応や理解度を踏まえてチューニングを重ねていった。2年目にはオンラインとオンサイトを組み合わせ、効率化と品質維持の両立にも挑戦。小グループ演習、中グループ発表、講師配置といった工夫により、受講者全員がフィードバックを受けられる体制を構築した。

重要なのは、反復の学びを通じて、知識の定着ではなく、行動の変化をゴールに置いている点だ。

10か月に及ぶ5つのケースと修了検定で構成される研修は、全体の企画をリコージャパンが担い、GSXは全体の企画・構成に基づき、ケースごとの研修内容具体化、資料や演習、課題の作成などを担った。また、GSXの研修コンテンツとしてSecuriST®「ゼロトラストコーディネーター」が採用されている。

「まず、5つのケースおよび演習中心の実践的な研修を作り上げたいという、リコージャパン様のコンセプトに共感しました」とGSX側でプロジェクトリーダーを務めたコンサルタントの和田は振り返る。

研修の設計、講義の内容については、サイバーセキュリティ教育カンパニーでありセキュリティコンサルティングに四半世紀以上の実績があるGSXとして、各ケースの「事前学習・講義」「演習」ごとに具体案を用意し、リコージャパン・GSX間で熱のこもった議論を繰り返しつつ、プロジェクトとして遅延の生じないようマネジメントを行った。

GSXの講師は、ベテランコンサルタントでソフトな語り口の池田、若手のエースコンサルタントで論理的な説得力がある髙木、最新かつ複雑な内容であるゼロトラストのポイント講義をエバンジェリストとして熱く語る武藤が担当した。リコージャパンと共に、スタイルの異なる講師を組み合わせ、メリハリをつけた。組み合わせはケースによって変えたが、例えば、概要をまずソフトに池田が解説し、抑えておくべきポイントを熱く武藤が講義し、次の演習説明、進行、講評を髙木が、まとめや次回予告を熱く芦田氏が語った。

その結果、顧客の課題解決に関するノウハウが踏んだんに盛り込まれ、繰り返しの講義や演習がありつつも、メリハリがあり飽きずに、実践力を身に着けられるプログラムとなった。各ケース1日の受講だが、「事前学習」によりポイントを絞った「講義」の理解が出来、「演習」による「知識の実践化」までが無理なく盛り込まれることで、「学び」を「できる」に近づける工夫が随所に施されている。更に、「現場での実践」として各受講者が実際の顧客向け提案・プリセールスにおいて成果を試すための、GSX含めた随時のサポート体制を用意し、次のケースにおいて実践結果の発表、意見交換をするなど、徹底的に「できる」の体験を目指した。

リコージャパンとGSXの双方で随時アイデアを出し合い、試行錯誤しつつ、ケース毎の振り返りで調整することで、走りながら実現していくことが出来たと言えるだろう。

研修受講生を代表して北海道支社でDXインテグレーション営業部を支援する福川氏と、名古屋を拠点とし、中部・北陸エリアを広くカバーする藤見氏の両名に話を伺った。

日本全国に拠点を持ち、地域密着でDXとIT支援を行うリコージャパン。北海道支社と中部エリアは、地理的・産業的な特性からセキュリティに対する課題感や温度感に差がある。

北海道支社でDXインテグレーション営業部を支援する福川氏は、次のように語る。

「北海道は、どうしても首都圏のトレンドから1～2年遅れて動く土地柄だと感じています。セキュリティも同じで、まだ“うちは大丈夫”というお客様が多いのが実情です。」

一方、名古屋を拠点とし、中部・北陸エリアを広くカバーする藤見氏の現場では、状況はやや異なる。

「製造業のお客様が多く、最近はサプライチェーンのセキュリティ評価制度への関心が非常に高いです。ただし、“何から手を付ければいいか分からない”というご相談が圧倒的に多いですね。」

セキュリティの重要性は理解され始めているが、具体的な行動や投資判断につながらない。

この課題は、地域や企業規模を問わず、共通して存在している。地域の特性を考慮した上で提案を進めていくことがフロントパーソンには求められている。

福川氏は1997年入社。約9年間のSE経験を経て、その後20年にわたりコーディネート営業支援として活動してきたベテランだ。しかし、セキュリティ分野に関しては、学習や経験の機会が十分になく、苦手意識を持っていたと率直な意見を語った。

「これまで経験してきたプロジェクトは業務アプリケーション系が中心で、基盤系や情報系は経験してきましたが、セキュリティについては学習機会や経験が不足しており、加えてサイバー攻撃やセキュリティ対策の変化が速く、苦手意識がありました。」

お客様からセキュリティの相談を受けても、対応はどうしても受け身になっていた。

「『これが欲しい』と言われたものに対して、メーカーの標準提案書を説明する程度に留まってしまっていました。課題意識は感じつつも、“なぜ必要なのか”を自分の言葉で語れなかったと思います。」

藤見氏も、受講前は「技術寄り」に視野が限定されていたと振り返る。

「インフラ構築の一部としてセキュリティを扱ってきましたが、運用や組織、人の視点までは十分に踏み込めていませんでした。」

“提案はしているが、全体像として語れていない”

それが、両者に共通する受講前の状態だった。

研修内容は、机上の理論に留まらなかった。ある日、福川氏の担当顧客でランサムウェア被害が実際に発生した。

「すぐに研修の『サイバー攻撃被害発生後の対応』に関する資料を見返して、お客様ご支援の際に活用することができました。あの資料がなければ、もっと現場は混沌としていたと思います。」

まさに“虎の巻”として機能した瞬間だった。

提案の幅が広がった一方で、新たな悩みも生まれた。

「お客様に必要な対策を並べると、どうしても対策案が多くなってしまう。“どこまで投資すればいいのか”と聞かれたときの落としどころが難しい。」

この問いに対して講師を務めたGSXのエバンジェリスト武藤は次のように語る。

• 業界や規模で一律の正解はない
• 事業への影響度、止まった場合の損失を軸に考える
• 他社事例や一般的な水準を“安心材料”として伝える

「同じ業態や企業規模を比較対象として単純に比較参照することは適当ではありません。ITの利活用度合い、業務重要性などを考慮した上で、被害規模を想定して判断していくことが1つの考え方です。」

リスク低減は、経営課題そのもの。この視点を持てたことが、経営層との対話を変えつつある。

最後に、今後の展望を聞くと、藤見氏はこう語った。
「自社が扱うあらゆるセキュリティ商材を提案するのではなく、本当に必要なものを、必要な分だけ提案したい。プロダクトアウトにはなりたくないんです。」

福川氏も同様の思いを持っている。
「課題診断やアセスメントを通じて、お客様の状況を可視化し、リスクを下げる。その伴走を続けたい。」

2人の態度変容を象徴する言葉だ。

本研修で特に印象的だったのが、初回講義の熱量だ。受講者からは、「セキュリティは難しくない」「面白味を感じにくいかもしれないが重要だ」というメッセージが強烈に印象に残ったという声が多く聞かれた。一見すると矛盾した表現だが、そこには明確な狙いがある。重要なのは、知識の定着ではなく、行動の変化をゴールに置いている点だ。

習熟度を高め、「知っている」を「できる」へと行動変容を促すため、ケース1からケース5、そして修了検定までを含む年間プロセスとして設計された。同じことを繰り返すことで刷り込み、知識の定着、行動変容を促す仕掛けづくりが随所に散りばめられている。

初年度はトライアンドエラーの連続だった。毎回、GSXとリコージャパンのプロジェクトメンバーで反省会を行い、地方拠点での反応や理解度を踏まえてチューニングを重ねていった。2年目にはオンラインとオンサイトを組み合わせ、効率化と品質維持の両立にも挑戦。小グループ演習、中グループ発表、講師配置といった工夫により、受講者全員がフィードバックを受けられる体制を構築した。

研修の修了はトレーニングゴールにすぎない。その先で、どのような行動をし、どのような成果を出すのか。前述のプロフェッショナル認定制度と連動させ、成果が出なければ認定されない仕組みを採用している点も特徴だ。

この研修を受けた人と受けていない人とでは、営業成果に明確な差が出始めているという。成果を満額で研修効果とは言い切れないものの、倍近い差が見られるケースもあり、研修の成果として全社的にも一定の評価を得ている。

研修を構築するパートナー候補が数ある中で、なぜGSXを選んだのか。芦田氏は次のように述べた。

第一の理由は「信頼」。任せても大丈夫だと思えたこと。
第二は、セキュリティ“教育”を本気でやっている会社だったこと。

そして決定打となったのが、GSX代表・青柳の言葉だった。

「ノウハウ流出を恐れるな。日本のセキュリティレベルを高めたい。」

その思想に強く共感し、「ダントツでGSX」と判断したという。

この研修は、人財開発センター全体にとってのフラッグシップモデルになりつつある。今後は、AI領域にも同様の考え方を展開し、事業と寄り添い、成果を生む人財育成へと進化させていく構想だ。「研修がゴール」ではなく、「成果を出せる人財育成」へ。その変革の中心に、人財開発センターがある。

GSXはサイバーセキュリティ教育カンパニーとして、惜しげもなくノウハウを提供し続けることで、全社一丸となってリコージャパンの人財育成を継続的に支援していく。