セキュリティコンサルタントは、かなり簡単に言えば、セキュリティサービスを提供する仕事です。
ですが「セキュリティの何を担ってくれるんだろう」「何をしている仕事なのかが分からない」というように、職業自体は聞いたことがあっても、漠然としたイメージしかないという方も、多いのではないでしょうか。
セキュリティコンサルタントは、自社の重要な資産である「情報」を守ってくれるスペシャリストであり、優秀な人材を育てたり、優秀な外部の人材に依頼することで、自社の情報セキュリティに大きく貢献してくれます。
今回は、セキュリティコンサルタントの仕事内容や料金について解説します。
また、認証取得などでセキュリティコンサルタントをお探しの方へ、弊社では、コンサルティングを選ぶ際のポイントを6つまとめた資料を無料で配布しています。ぜひご確認ください。
セキュリティコンサルタントの必要性
結論として「セキュリティコンサルタント」は必要です。
その理由は、技術の進歩は凄まじい勢いがあり、情報がどんどんアップデートされていく中で、自社に適切なサイバーセキュリティ対策を実施するには、専門的な知識が必要になるからです。
企業の信頼を損なう可能性のある、個人情報の漏洩やサイバー攻撃などの脅威に対抗するためには、セキュリティコンサルタントの知識は欠かせません。
そのため、セキュリティコンサルタントは決して不要な仕事ではないのです。
セキュリティコンサルタントの仕事内容
セキュリティコンサルタントの仕事内容は主に以下のようなものです。
- セキュリティの戦略を立案
- マネジメント支援
- セキュリティ対策実装
- 運用体制構築の支援
- セキュリティアーキテクチャ策定
- リスク評価(対策の提案)
- 運用サポート
それぞれ一つずつ解説します。
セキュリティの戦略を立案
セキュリティにおける戦略とは、長期的な計画の策定を意味します。
現状のセキュリティ状態を分析して、どのようなセキュリティ対策をすればいいのか、そして、それをどのようにして実現させるか、長期的な計画を立案します。
情報セキュリティは、情報のアップデートが目まぐるしく早いため、ビジネスの方向性に従って、長期的に見ても運用に耐え得るセキュリティの体制を考え、中長期的な計画を立案することが求められるでしょう。
マネジメント支援
マネジメント支援とは、セキュリティレベルを維持・管理するための支援業務です。
セキュリティポリシー策定の支援や、ISMS認証の取得を支援し、セキュリティ監査を効率的かつ効果的に実施するために、綿密な計画をたて、監査方法の改善を実施します。
セキュリティ対策実装
セキュリティ対策実装では、セキュリティレベルを確保するために、どのようなシステムの設計方針をとればいいのか、フレームワークはどうすればいいのかを定義します。
顧客企業にセキュリティに関する知識が不足している場合も多く、ヒアリングと提案を数回以上実施しながら策定していきます。
運用体制構築の支援
運用体制構築の支援では、現状のシステムやアプリケーションとサイバー攻撃の手法・セキュリティインシデントの内容を照らし合わせ、どの攻撃・インシデントに対してどの程度のリスクがあるかを評価し、そのリスクを考え、運用体制の構築を支援します。
セキュリティアーキテクチャ策定
顧客企業が求めるセキュリティレベルを確保するため、システムの設計方針やフレームワークを定義します。
この時、依頼した企業の担当者が、セキュリティに関する知識がない場合もあるため、知識が無くても理解でき、納得できるように、ヒアリングと提案を数回以上実施しながら策定していきます。
リスク評価(対策の提案)
現状のシステムやアプリケーションとサイバー攻撃の手法・セキュリティインシデントの内容を照らし合わせ、どの攻撃・インシデントに対してどの程度のリスクがあるかを評価し、その対策方法を提案します。
運用サポート
リスク評価や対策の提案を基に、実際に運用するための準備として、セキュリティ対策ツール、セキュアコーディングの実装といった運用方法を立案して、実際に運用するまでをサポートします。
会社ごとに大きく異なるセキュリティコンサルティング料金
では、セキュリティコンサルティングを外部に委託する場合、どれだけの金額がかかるか見てみましょう。
| 会社名 | 料金(税別) |
|---|---|
| A社 | 198万円~ |
| B社 | 40万円~ |
| C社 | 月額8万円~(年間96万円) |
| LRM株式会社 | 80万円~ |
LRM株式会社では、80万円(税別)から、コンサルティングサービスを提供しています。
各企業によって、大きく料金に差があるため「同じサービスじゃないか。何でこんなに費用が違うのか?」と感じるのではないでしょうか。
事実、同じようなサービスを、300万円以上で請け負っている会社もいれば、より破格の値段で請け負っている企業も存在します。
その理由は、無形のサービスであることによる、下記のような『人=コンサルタント』にまつわる要素が、料金算出の基準になっていることが多いです。
弊社LRMのISMS/ISO27001コンサルティング料金について詳しくは料金ページをご覧ください。
セキュリティコンサルタントの『質』
セキュリティコンサルティングの業務を実際に手がけるのは、あくまで人です。そのため、コンサルタントの質も、ピンからキリまで存在します。
当然、実績のあるコンサルタントであれば料金は高く、駆け出しや実績の少ないコンサルタントであれば料金は安くなります。
費用は高くてもその分だけ質の高いアウトプットが期待でき、安くても、全くセキュリティが改善しない状況が考えられます。あくまで、値段が高いか安いかだけでは判断できません。
ですが、セキュリティコンサルタントの質を左右する大きな要素があります。
それは、そのセキュリティコンサルタントが『自社生え抜き』か『外注』かどうかです。
自社生え抜きの場合、過去の経験値が担保されており、担当コンサルタントが万が一退職したときでも、他のコンサルタントがカバーすることができるため、高品質なセキュリティ対策を実現できます。
反対に、窓口として企業が存在するだけで、セキュリティコンサルタント自体は外部へ委託している場合、その担当者がどれほどの経験値を持っているかが不透明です。
後者の方が、料金は安く抑えられますが、お金をかけて意味のない施策をするのであれば、それは無意味であり、お金の無駄になってしまいます。
多少高額でも、安心できる企業に依頼するのが良いでしょう。
弊社、LRM株式会社では、セキュリティコンサルタントに自社生え抜きのメンバーが多く在籍しています。
価格破壊的な料金を提示する業者と異なり、どうしても料金が高くなる傾向が強いですが、充実したサポート体制と、ISMS/ISO27001認証の取得率は100%という実績もあります。
まずはお気軽にお問い合わせください。
まとめ
セキュリティコンサルについて解説しました。
実際は、上記に加え、お客様の会社の規模感や、求められるゴール地点、ご希望のスケジュール等、様々な変数によって大きく上下しますので一概には言えませんが、コンサルティング会社への依頼をご検討の際には、『コンサルタントの質』、『コンサルタントの所属』、『コンサルタントが抱える案件数』だけでもご確認ください。
