ノウハウで現場をフォロー!セキュリティコンサルタントの仕事とは

この記事は約6分で読めます。

サイバー攻撃の高度化や複雑化に伴い、自社に必要な情報セキュリティ対策を、自社の社員のみで実施することは困難になってきています。そのため全社的にセキュリティ対策を施すためには、外部のセキュリティコンサルタントの協力を検討するのも一つの方法です。

この記事ではセキュリティコンサルタントの概要や業務事例について詳しく解説します。

セキュリティコンサルタントとは

セキュリティコンサルタントとは、自社のセキュリティを強固にして、情報資産を守る仕事をサポートするコンサルタントのことです。さらに企業のセキュリティレベル向上のための施策提案も業務の一つです。

会社全体を見渡して、全社的にセキュリティ対策を最適化しなければならないため、ITやセキュリティの知識だけでなく、経営戦略の知識も必要になります。
セキュリティコンサルタントになるための必須の資格はありませんが、非常に多岐に渡る知識が求められる高度な仕事です。

そのためITや経営に関する資格を所有していれば、能力の証明として役立てることは可能です。
例えばIPAが実施している情報処理試験や、経営コンサルタントの国家資格である中小企業診断士の資格などを所有していれば、スキルのアピールにつながるでしょう。

セキュリティコンサルタントの業務とは

セキュリティコンサルタントの業務内容は主に「セキュリティ戦略策定」と「セキュリティマネジメント」の2つに分類されます。1つずつ見ていきましょう。

会社全体のセキュリティ戦略策定

セキュリティコンサルタントの業務に、会社全体のセキュリティ戦略として、セキュリティに関する中長期的な計画の策定・提案を行う業務があります。

セキュリティコンサルタント自身はセキュリティやITのプロフェッショナルです。
しかし顧客の中には、それらの知識に疎い人もいます。そのような顧客に対しても、理解や合意の得られる計画を筋道立てて、いかに作るかが課題となります。セキュリティコンサルタントとしても、セキュリティやITの知識に加えて、顧客の経営戦略や社内事情などの深い理解が必要です。

さらに情報収集のスキルや、情報を収集してフレームワークとして活用するスキルも必要です。最終的には経営層にしっかりと理解してもらえるための言葉選びなどのコミュニケーション能力が求められます。
例えば、相手に伝えたい内容を整理して30秒程度で話せる「エレベーターピッチ」と呼ばれるコミュニケーションスキルがあります。これはエレベーターに乗っている時だけでなく、会議などで情報を伝える際にも有効なスキルです。

顧客の企業や企業が所属する業界によって、セキュリティ対策は千差万別です。常に新しいセキュリティ戦略を策定しなければならないため、ゼロから戦略を練っていく必要があります

セキュリティマネジメントの仕組み作り

セキュリティマネジメントとは、組織に応じたセキュリティレベルの維持・管理方法を策定するための活動です。具体的には、企業のセキュリティポリシーの策定やISO関連監査などの対応、委託先のセキュリティ管理も必要に応じて実施します。セキュリティコンサルタントはこのような活動を通じて、企業においてセキュリティマネジメントの仕組みを構築します。

特に金融など、業界に独特のガイドラインなどが存在する場合、そのガイドラインの内容などにも精通している必要があります。例えば金融業界で言うとFISC安全対策基準が独自のガイドラインとなります。これは金融システムの導入や運用における業界標準のガイドラインに位置づけられています。

また官公庁におけるセキュリティマネジメントの制度作りなども、一般的な民間企業とは異なる仕事です。セキュリティコンサルティング企業の中には、官公庁向けのサービスを提供している企業もあります。

またセキュリティマネジメントの業務には、セキュリティ監査の仕事が含まれることもあります。
これは企業のセキュリティレベルの向上を目的としていますが、セキュリティだけでなく監査に特有の知識が求められます。情報処理の国家資格の一つである、システム監査技術者試験資格の取得を通じて知識を増やすのも一つの方法です。

現場の実務をセキュリティポリシーに合わせて最適化

セキュリティコンサルタントには全社的な視点を持ってセキュリティポリシーの策定を進めますが、そのセキュリティポリシーを現場の実務に最適化させることも重要な仕事です。

そのためには顧客企業の日々のセキュリティポリシーの運用に対する支援が必要です。具体的には、ログの確認方法やシステムに最適なセキュリティ設定、インシデントが発生した場合の初動対応など、セキュリティ脅威にいかに対応するのかという内容が大半です。

セキュリティコンサルタントの業務事例

それではセキュリティコンサルタントの具体的な業務事例について紹介します。

セキュリティの未来を予想して中長期的な計画を立案

セキュリティコンサルタントの業務の一つに、今後のセキュリティ動向についての予想を立て、コンサルティング先の企業のセキュリティの目指すべき道を提案する業務があります。これは直近数年先の中長期計画におけるセキュリティ対策を策定するためのインプットを作成する仕事です。

具体的には、調査会社が公開しているデータや公共団体の文書などを元にして戦略を詰めていきます。ここで将来どうなるのか、仮説を立てて、顧客と内容をすり合わせていきます。このような顧客とのコミュニケーションを取る過程で革新的なアイデアが生まれる時もあります。

セキュリティ監査の対応を支援

多くのグループ会社を持つインフラ系会社の監査の支援もセキュリティコンサルタントの仕事です。ここでは企業のセキュリティレベル向上のための、セキュリティ監査を開始します。

具体的には、監査を効率的・効果的に実施するための支援を行います。セキュリティコンサルタントとして、監査の立ち合いや改善ポイントの指摘し、業務の改善支援などを実施します。

電子マネー事業のセキュリティリスク評価

電子マネーの新規事業のセキュリティリスク評価のプロジェクトにおいて、現在構築中のシステムのリスクを評価する業務もあります。

実際にあった例を紹介します。これはシステムが未完成の段階でのリスク評価であったため、実際のシステムを使った診断はできない状態でした。そこで、セキュリティ脅威や攻撃者の目的などを鑑みてリスクに関するシナリオを作成して、机上で実行して検証を重ねました。

既存のシステムと新規システムのどちらともセキュリティが強固であったとしても、これらのシステムが連携することで、未知のセキュリティホールが発生することもあり得ます。
セキュリティコンサルタントとしては、このリスク発生の可能性を網羅的に洗い出して検証するための支援を実施することもあります。

セキュリティコンサルタントの育成には時間を要する

ここまででセキュリティコンサルタントの業務内容を紹介してきました。セキュリティコンサルタントと一口に言っても、その業務内容は非常に多岐に渡ります。

コンサルティング先の企業が所属する業界によってセキュリティ対策の方向性も変わってきますし、さらに各社ごとにも社内の実情や必要な戦略も異なります。
また、セキュリティコンサルタントとしての仕事は、毎回ゼロからの対応となるため、全く同じ内容の仕事は存在しません。つまり過去の仕事やベストプラクティスなど経験だけに頼るのではなく、新しくゼロからイチを生み出すことのできる能力が必要不可欠です。

このような高度なスキルが求められるセキュリティコンサルタントを自社で準備するのは困難です。もし専門性の高いセキュリティコンサルタントが必要となった場合には、外注を検討することも重要です。

まとめ

これまで紹介してきたように、セキュリティコンサルタントの業務は非常に幅広く、セキュリティに関する知識だけでなく、経営やマネジメントの知識も求められます。

セキュリティ対策やリスク評価など、これらの業務はすべてセキュリティコンサルタントとして顧客からの信頼を得るための仕事です。顧客のビジネスを確実に成功させるためにも、セキュリティコンサルタントは顧客のことを第一に考えながら、日々研鑽することが求められます。

セキュリティ対策をするセキュリティ教育
タイトルとURLをコピーしました