LRMの情報セキュリティコンサルタントとは
LRMの中で、一番人数が多いチームが「コンサルチーム」です。採用も、LRMの中では一番積極的におこなっています。
とはいえ、実際に「情報セキュリティコンサルタント」がどんなことしているのか分かりにくいと思いますので、今回は僕自身が思う情報セキュリティコンサルタントについて書いていきます。(幸松自身はLRM起業前から15年以上の情報セキュリティコンサルタント経験があります)
正確には認証取得コンサルタント
情報セキュリティという言葉で思いつくのは、「ネットワークセキュリティ」や「セコムのようなホームセキュリティ」、または個人情報保護法のようなコンプライアンスをイメージする人が多いと思います。
その全てが正解であり、不正解です。
LRMのコンサルタントのメイン業務は、「情報セキュリティの国際規格であるISO27001に準拠するような社内体制を整えるための支援をおこなう」ことです。
ISO27001以外でも、JISQ15001(Pマーク)などのセキュリティ関連の規格への準拠の支援もおこなっています。
ですので、狭義の意味ではLRMのコンサルタントとは、「情報セキュリティ関連の認証取得コンサルタント」と言えます。
この情報セキュリティ規格への準拠をおこなう際に、ネットワークに関することや建物のセキュリティに関すること、個人情報保護法など法律に対応することなどをお客様と一緒に検討していきます。
認証取得≠Security Diet
世の中の認証取得コンサルタントの中では、認証(ISO27001やPマーク)を取得するためだけの支援をおこなっている方も多くいますが、LRMはそうではありません。
正直、認証自体はどうでも良いです。
認証取得を目的とするのでなく、認証という道具を使ってお客様企業の情報取扱いレベルをアップさせていくことを目的としています。
セキュリティと業務効率のバランスを取っていくことをLRMでは「Security Diet」という言葉で表現しており、LRMのコンサルティングとは「Security Dietの実現」をおこなう活動と考えています。
実際にLRMのお客様は、その多くがSecurity Dietの考えに共感してくださり、お取引を継続していただいています。
そういったお客様のニーズに応えるためには、LRMのコンサルタントは認証取得屋さんレベルで終わってはいけません。
認証取得より幅広く、深い知識が必要であり、お客様企業の方向性やビジネス特性を理解しての提案が必要不可欠です。
これはセキュリティの規格(ISO27001やJISQ15001)だけを勉強して身に付くものではありません。
つまり、僕が考えるLRMの情報セキュリティコンサルタントとは、Security Dietを実現するコンサルタントです。
情報セキュリティコンサルタントとして働くメリット
僕は今まで15年以上情報セキュリティコンサルタントとして活動してきた中で、「情報セキュリティコンサルタントとして働くことのメリット」をたくさん感じてきました。
その中でも、特筆すべきメリットは以下の5つです。
多種多様な業界や会社を知れる環境
コンサルタントとして訪問する会社は、本当に色々な業界があります。
今までお手伝いさせていただいた業界としてパッと思いつくだけで、SIer、ソフトウェア開発、クラウドサービス提供、広告代理店、映像制作、データセンター、EC販売、ファッション業界、出版社、人材紹介、探偵、印刷など色々とあります。
会社規模も2人から3万人までの会社と本当に幅広いです。
こんなに多種多様な会社について知ることができる職種はそんなに多くないと思います。
多種多様な会社を知れるとは、それだけ多種多様な人と出会えることでもあります。
業界ごとの商習慣や考え方など、実際に仕事をさせていただくまでは知らなかったことも多くありますが、多くのことを学んで吸収していくことができるのが、情報セキュリティコンサルタントの一番の醍醐味ではないでしょうか。
さらに、これからはIoTがより浸透していくに従って、今までは情報を持っていなかったものが情報を持つようになってきます。
それに伴い、これまでITや情報セキュリティとは縁遠かったような会社も情報セキュリティ対策が必要となってくるため、今まで以上に色んな業界と関係を持つことができるようになるでしょう。
「我以外皆我師」という言葉がありますが、あらゆる業界、あらゆる規模の会社の人が師匠となりえる環境は、ビジネスパーソンとして、非常にオイシイ状況です。
セキュリティ以外の相談も受けるようなお客様からの信頼
情報セキュリティコンサルタントですので、もちろん情報セキュリティに関する相談事がメインなのですが、コンサルタントとしての今までの経験や知見によっては情報セキュリティ以外の相談を受けることも多々あります。
お客様から信頼してもらって色んな相談をしていただけるとことはコンサルタント冥利に尽きます。
僕自身は、自分で会社を立ち上げて経営しているという特殊な事情もありますので、今までに人材採用や、組織運営、Webマーケティングなどの相談を受けたことがあります。
広い範囲に影響を及ぼす責任感
情報セキュリティコンサルタントのメイン業務としては、「お客様企業の情報取扱ルールを作る」ことがあります。
簡単な例で言うと、お客様企業でのPCへのログインパスワードの文字数を決めたりします。(例えば、「PCにログインする際には、英数混在の12ケタ以上のパスワードを利用する」など)
企業活動では非常に多くのケースで情報を取り扱うので、その一つ一つのルールを決めていきます。
最近ではBYODや在宅勤務などの話もあるので、そういったケースのルールなどももちろん一緒に決めていきます。
僕たち情報セキュリティコンサルタントの決めたルールの影響を受ける人は本当に大多数です。
お客様企業の従業員の方はもとより、その取引先企業にまで影響を及ぼすケースがあります。
だからこそ、簡単に考えるのでなく。セキュリティ面だけを考えるのでなく。使い勝手だけを考えるのでなく。
お客様の志向や状況など色んなことを加味して提案をしていきます。
冗談抜きに、情報セキュリティコンサルタントの一言がその企業全体に影響を及ぼします。
その責任感は非常にプレッシャーにもなりますが、同時にやり甲斐にも感じます。
全く同じことの繰り返しが皆無
それぞれのお客様先で検討する項目は正直同じ項目です。
例えば、上記のPCへのログインパスワードルールなどです。
ただ、お客様企業が全く同じ企業がないのと同様に、実際に作っていくルールは一つとして全く同じ状況はありません。
それぞれの個社ごとによってルールは異なってきます。
毎回異なる状況ですので、単純なルーチンになることはありえません。
飽きっぽい僕からすると、そこも情報セキュリティコンサルタントの楽しい点です。
ステップアップに有効
コンサルタントの場合は、情報セキュリティ面だけでなくビジネス面の素養も重要となってきます。
情報セキュリティ分野の経験が多くあるビジネスパーソンはそれだけで企業からの評価が高くなりますが、「ビジネス面と情報セキュリティ面のバランスを持つ人材」は会社側からすると非常に貴重な存在です。
実際に今までLRMで情報セキュリティコンサルタントとして活動をしてから、他社に転職したメンバーで一番多い転職先は、一部上場企業の情報セキュリティ担当です。
もちろんLRMの経営者という立場からはLRMを辞めて欲しくはありませんが、LRMで情報セキュリティコンサルタントとして活躍すると、その後のステップアップ転職にも繋がることは一つの事実ではあると思います。