2019年02月15日

今、エンジニア出身の情報セキュリティコンサルタントが求められています!

yukimatsu
幸松 哲也 記事一覧
カテゴリー: LRM株式会社,   タグ:
このエントリーをはてなブックマークに追加 LINEで送る

LRM代表の幸松です。

今回は、エンジニアの人に向けたメッセージになります。

IT業界でのセキュリティニーズの高まり

ISMSを取得している会社の中でも、IT業界の会社の割合はすごく高い状況です。

やはり多くの情報を預かるサービスやシステムを開発・運用しているので、他業種に比べて情報セキュリティに対しての要求が高くなってきます。

LRMへのISMS取得の問い合わせでも、広く「IT業界」という枠で見た場合は「10年以上前からずっと多い」状況です。

ただ、2015年以前は受託開発を行うシステム開発会社が大多数でしたが、最近では自社でSaaSサービスを開発・運営している会社からのものが多くなっています。

やはり世の中の流れ同様に、情報セキュリティも「クラウド」がキーワードになってきていると思います。

ISO27017というクラウドセキュリティ認証

情報セキュリティの世界でも「クラウドセキュリティをしっかりしなければいけない」と言うのと「今までのISMSの仕組みだとクラウドセキュリティはしっかり抑えられない」というのもあり、新たにISO27017というクラウドサービスに特化したISO規格が出来たのだと思います。

LRMでは2016年8月に、国内1件目のISO27017取得をサポートさせて頂きましたが、2019年2月現在では110組織がISO27017を取得しています。

ISO27017に関しての問い合わせも年々増えてきており、今後はますますクラウドセキュリティが求められる時代になってくるのは間違いないです。

クラウドセキュリティを理解できるコンサルタントがいない?

世間からクラウドセキュリティが求められて多くの企業がISO27017を取得していく状況の中で、一つ大きな課題があります。

それは「企業のISO27017取得をサポートするコンサルタントの中に、クラウドに詳しい人が少ない」ことです。

もちろん中にはクラウドに詳しいコンサルタントもいますが、現状では少数だと思います。

もっと言えば、非常に稀有な存在です。

そもそもISOのコンサルタントをしている人の中には、IT業界での経験を持っている人が少ないということもあります。

LRMではIT業界出身者を積極的に採用して、ITのことをある程度わかっているコンサルタントが何人か存在するので、IT業界のお客様から「うちの業界のことをわかっている人がコンサルタントで良かった」と言って貰えることがあります。

ただ、IT業界出身者は何名かいますが、正直クラウドに関する開発技術に詳しいコンサルタントはいない状況です。

必死にクラウドの技術を学んで、コンサル実務をこなしているのが実情です。

エンジニアにとってのマイナスルール

クラウドの知見がないコンサルタントがクラウドセキュリティに関するサポートをした場合、何かと問題が発生する可能性があります。

1.技術的な話がわからないので、業務と乖離したルールを作ってしまう。

これは当たり前と言えばそれまでですが、技術的なことがわからないので現場で実際にやっていることが分からないままルール構築をしていきます。

その結果として、業務と乖離したルールを作ってしまいます。

ISOの規格には遵守しているけど、現場の運用とは合っていないルールです。

2.開発現場の足を引っ張るルールになってしまう。

現場に合っていないルールを作ってしまうと、開発者側がそのルールを守って開発を行った場合、結果的には開発現場の足を引っ張ることになってしまいます。

もちろんセキュリティは重要ですので、セキュリティの確保のためにある程度は開発がしにくくなることもあると思います。

ただ、僕が問題だと思うのはセキュリティレベルを上げる訳でもなく、ISO規格を杓子定規に解釈して開発をしにくくなるだけのルールを作ることです。実際にそういったケースはあります。

LRMでは、他社のコンサルティングを受けてそういった状況に陥った会社から、「もっと業務負担を下げるルールにしたいから手伝ってほしい」という依頼をいただくことも多いです。

今、日本では多くのクラウドサービスのベンチャー企業が出てきています。

そういった今後の日本を引っ張っていくクラウドサービスを開発する企業の足を引っ張ることがないような、「クラウドサービスを開発する企業のセキュリティレベルを上げるコンサルタント」が必要です。

エンジニア業界のSecurity Dietを実現していきましょう

LRMでは、「セキュリティレベルの向上」と「セキュリティという名の下で発生する無駄の削減」を行っていくSecurity Dietという理念の実現に向けて活動しています。

今後ますます増えていくIT業界、クラウドサービス開発企業へのセキュリティルールの構築は、システムの知見、クラウドサービスの知見があるコンサルタントが担当するのがベストです。

特に、クラウドサービスの開発に携わったことのあるエンジニアだと業務への理解も非常に強いと思いますし、エンジニアの人たちとのコミュニケーションもスムーズに進むと思います。

クラウドサービスをエンジニアとして作っていくことも魅力的な仕事だと思いますが、そういったクラウドサービスを作っていく企業が働きやすい環境をセキュリティの側面から支援していく仕事も非常に価値があると思います。

多くのクラウドサービス開発企業のSecurity Dietを実現していくコンサルタントとして、日本のクラウドサービスの発展に貢献していきましょう!!!

少しでもLRMのコンサルタントに興味を持って頂いたらお気軽にメッセージ下さい。まずは気楽にお話しましょう。

P.S. クラウドサービスの開発も出来ますよ

LRMでは自社開発の「セキュリオ」というクラウドサービスがありますので、エンジニアからコンサルタントになったからと言って完全に開発から離れなければいけない訳ではありません。

希望するとエンジニアとコンサルタントという二刀流での勤務も可能です。過去には実際に二刀流で開発とコンサルティングを行っている社員もいましたよ。

このエントリーをはてなブックマークに追加 LINEで送る

2019年2月15日

今、エンジニア出身の情報セキュリティコンサルタントが求められています!

カテゴリー: LRM株式会社

LRM代表の幸松です。

今回は、エンジニアの人に向けたメッセージになります。

IT業界でのセキュリティニーズの高まり

ISMSを取得している会社の中でも、IT業界の会社の割合はすごく高い状況です。

やはり多くの情報を預かるサービスやシステムを開発・運用しているので、他業種に比べて情報セキュリティに対しての要求が高くなってきます。

LRMへのISMS取得の問い合わせでも、広く「IT業界」という枠で見た場合は「10年以上前からずっと多い」状況です。

ただ、2015年以前は受託開発を行うシステム開発会社が大多数でしたが、最近では自社でSaaSサービスを開発・運営している会社からのものが多くなっています。

やはり世の中の流れ同様に、情報セキュリティも「クラウド」がキーワードになってきていると思います。

ISO27017というクラウドセキュリティ認証

情報セキュリティの世界でも「クラウドセキュリティをしっかりしなければいけない」と言うのと「今までのISMSの仕組みだとクラウドセキュリティはしっかり抑えられない」というのもあり、新たにISO27017というクラウドサービスに特化したISO規格が出来たのだと思います。

LRMでは2016年8月に、国内1件目のISO27017取得をサポートさせて頂きましたが、2019年2月現在では110組織がISO27017を取得しています。

ISO27017に関しての問い合わせも年々増えてきており、今後はますますクラウドセキュリティが求められる時代になってくるのは間違いないです。

クラウドセキュリティを理解できるコンサルタントがいない?

世間からクラウドセキュリティが求められて多くの企業がISO27017を取得していく状況の中で、一つ大きな課題があります。

それは「企業のISO27017取得をサポートするコンサルタントの中に、クラウドに詳しい人が少ない」ことです。

もちろん中にはクラウドに詳しいコンサルタントもいますが、現状では少数だと思います。

もっと言えば、非常に稀有な存在です。

そもそもISOのコンサルタントをしている人の中には、IT業界での経験を持っている人が少ないということもあります。

LRMではIT業界出身者を積極的に採用して、ITのことをある程度わかっているコンサルタントが何人か存在するので、IT業界のお客様から「うちの業界のことをわかっている人がコンサルタントで良かった」と言って貰えることがあります。

ただ、IT業界出身者は何名かいますが、正直クラウドに関する開発技術に詳しいコンサルタントはいない状況です。

必死にクラウドの技術を学んで、コンサル実務をこなしているのが実情です。

エンジニアにとってのマイナスルール

クラウドの知見がないコンサルタントがクラウドセキュリティに関するサポートをした場合、何かと問題が発生する可能性があります。

1.技術的な話がわからないので、業務と乖離したルールを作ってしまう。

これは当たり前と言えばそれまでですが、技術的なことがわからないので現場で実際にやっていることが分からないままルール構築をしていきます。

その結果として、業務と乖離したルールを作ってしまいます。

ISOの規格には遵守しているけど、現場の運用とは合っていないルールです。

2.開発現場の足を引っ張るルールになってしまう。

現場に合っていないルールを作ってしまうと、開発者側がそのルールを守って開発を行った場合、結果的には開発現場の足を引っ張ることになってしまいます。

もちろんセキュリティは重要ですので、セキュリティの確保のためにある程度は開発がしにくくなることもあると思います。

ただ、僕が問題だと思うのはセキュリティレベルを上げる訳でもなく、ISO規格を杓子定規に解釈して開発をしにくくなるだけのルールを作ることです。実際にそういったケースはあります。

LRMでは、他社のコンサルティングを受けてそういった状況に陥った会社から、「もっと業務負担を下げるルールにしたいから手伝ってほしい」という依頼をいただくことも多いです。

今、日本では多くのクラウドサービスのベンチャー企業が出てきています。

そういった今後の日本を引っ張っていくクラウドサービスを開発する企業の足を引っ張ることがないような、「クラウドサービスを開発する企業のセキュリティレベルを上げるコンサルタント」が必要です。

エンジニア業界のSecurity Dietを実現していきましょう

LRMでは、「セキュリティレベルの向上」と「セキュリティという名の下で発生する無駄の削減」を行っていくSecurity Dietという理念の実現に向けて活動しています。

今後ますます増えていくIT業界、クラウドサービス開発企業へのセキュリティルールの構築は、システムの知見、クラウドサービスの知見があるコンサルタントが担当するのがベストです。

特に、クラウドサービスの開発に携わったことのあるエンジニアだと業務への理解も非常に強いと思いますし、エンジニアの人たちとのコミュニケーションもスムーズに進むと思います。

クラウドサービスをエンジニアとして作っていくことも魅力的な仕事だと思いますが、そういったクラウドサービスを作っていく企業が働きやすい環境をセキュリティの側面から支援していく仕事も非常に価値があると思います。

多くのクラウドサービス開発企業のSecurity Dietを実現していくコンサルタントとして、日本のクラウドサービスの発展に貢献していきましょう!!!

少しでもLRMのコンサルタントに興味を持って頂いたらお気軽にメッセージ下さい。まずは気楽にお話しましょう。

P.S. クラウドサービスの開発も出来ますよ

LRMでは自社開発の「セキュリオ」というクラウドサービスがありますので、エンジニアからコンサルタントになったからと言って完全に開発から離れなければいけない訳ではありません。

希望するとエンジニアとコンサルタントという二刀流での勤務も可能です。過去には実際に二刀流で開発とコンサルティングを行っている社員もいましたよ。

Author: 幸松 哲也
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする