サイバー攻撃の高度化や複雑化に伴い、自社に必要な情報セキュリティ対策も複雑になってきたことで、内製だけでセキュリティを賄うのは厳しくなってきたのではないでしょうか。
そこで、外部のセキュリティコンサルタントに依頼を検討するのもおすすめです。
ですが、そもそも「コンサルタント」という仕事がなんなのか、コンサルタントって信頼できるのか不安という方も多いのではないでしょうか。
今回は、セキュリティコンサルタントの具体的な業務内容や対応事例について詳しく解説します。
自社でセキュリティコンサルタントを育てたいという方や、セキュリティコンサルタントの理解を深めたい方は、ぜひ最後まで記事をご覧ください。
また、セキュリティ認証取得にコンサルタント利用をお考えの方へ、最大限有意義な認証取得にしていただくために、貴社に合ったコンサルの選び方を無料の資料でお伝えしています。ぜひご活用ください。
セキュリティコンサルタントとは
セキュリティコンサルタントとは、セキュリティを強固にして顧客情報をサイバー攻撃から守り、企業のセキュリティレベル向上のための施策を提案してくれる職業のことです。
情報資産を守る仕事をサポートするため、さらに企業のセキュリティレベル向上のための施策提案も業務の一つです。
必要な資格等はありませんが、IPAが実施している情報処理試験や経営コンサルタントの国家資格である中小企業診断士といった、ITや経営に関する資格を所有しているコンサルタントであれば、一定の知識を有していると判断できます。
セキュリティコンサルタントの業務とは
セキュリティコンサルタントの業務内容は主に「セキュリティ戦略策定」と「セキュリティマネジメント」の2つに分類されます。1つずつ見ていきましょう。
会社全体のセキュリティ戦略策定
セキュリティコンサルタントの業務に、会社全体のセキュリティ戦略として、セキュリティに関する中長期的な計画の策定・提案を行う業務があります。
顧客は、ITの知識がないという方がほとんどです。そのような顧客に対しても、理解や合意の得られる計画をいかに建てて、課題を解決できるかが重要な仕事となります。
セキュリティコンサルタントとしても、セキュリティやITの知識に加えて、顧客の経営戦略や社内事情などの深い理解が必要です。
さらに情報収集のスキルや、情報を収集してフレームワークとして活用するスキルも必要です。最終的には経営層にしっかりと理解してもらえるためのコミュニケーション能力も求められるでしょう。
顧客の企業や企業が所属する業界によって、セキュリティ対策は千差万別です。常に新しいセキュリティ戦略を策定しなければならないため、ゼロから戦略を練っていく必要があります。
セキュリティマネジメントの仕組み作り
セキュリティマネジメントとは、組織に応じたセキュリティレベルの維持・管理方法を策定するための活動です。
具体的には、企業のセキュリティポリシーの策定やISO関連監査などの対応、委託先のセキュリティ管理も必要に応じて実施し、セキュリティコンサルタントはこのような活動を通じて、企業においてセキュリティマネジメントの仕組みを構築します。
例えば金融業界で言うとFISC安全対策基準が独自のガイドラインとなります。これは金融システムの導入や運用における業界標準のガイドラインに位置づけられています。このように、業界に独特のガイドラインなどが存在する場合、そのガイドラインに精通している必要があります。
またセキュリティマネジメントの業務には、セキュリティ監査の仕事が含まれることもあります。
これは企業のセキュリティレベルの向上を目的としていますが、セキュリティだけでなく監査に特有の知識が求められるため、情報処理の国家資格の一つである、システム監査技術者試験資格の取得を通じて知識を増やすことが求められるでしょう。
現場の実務をセキュリティポリシーに合わせて最適化
セキュリティコンサルタントには全社的な視点を持ってセキュリティポリシーの策定を進めることも業務の一つです。
そして、そのセキュリティポリシーを現場の実務に最適化させることも重要な仕事と言えるでしょう。
現場の実務をセキュリティポリシーに合わせて最適化するには、顧客企業の日々のセキュリティポリシーの運用に対する支援が必要です。
具体的には、ログの確認方法やシステムに最適なセキュリティ設定、インシデントが発生した場合の初動対応など、セキュリティ脅威にいかに対応するのかというルールづくりが求められます。
セキュリティコンサルタントの業務事例
それではセキュリティコンサルタントの具体的な業務事例について紹介します。
セキュリティの未来を予想して中長期的な計画を立案
セキュリティコンサルタントの業務の一つに、今後のセキュリティ動向についての予想を立て、コンサルティング先の企業のセキュリティの目指すべき道を提案する業務があります。
これは直近数年先の中長期計画におけるセキュリティ対策を策定するためのインプットを作成する仕事です。
具体的には、調査会社が公開しているデータや公共団体の文書などを元にして戦略を詰めていきます。ここで将来どうなるのか、仮説を立てて、顧客と内容をすり合わせていきます。
このような顧客とのコミュニケーションを取る過程で革新的なアイデアが生まれる時もあります。
セキュリティ監査の対応を支援
多くのグループ会社を持つインフラ系会社の監査の支援もセキュリティコンサルタントの仕事です。
ここでは企業のセキュリティレベル向上のための、セキュリティ監査を開始します。
具体的には、監査を効率的・効果的に実施するための支援を行い、セキュリティコンサルタントとして、監査の立ち合いや改善ポイントの指摘し、業務の改善支援などを実施します。
電子マネー事業のセキュリティリスク評価
電子マネーの新規事業のセキュリティリスク評価のプロジェクトにおいて、現在構築中のシステムのリスクを評価する業務もあります。
既存のシステムと新規システムのどちらともセキュリティが強固であったとしても、これらのシステムが連携することで、未知のセキュリティホールが発生することもあり得ます。
セキュリティコンサルタントとしては、このリスク発生の可能性を網羅的に洗い出して検証するための支援を実施することも大切な業務の一つです。
また、以下の例のような、実際のシステムの診断ができない状態でも、対応できる能力が求められます。
- 【例】 システムが未完成の段階でのリスク評価であったため、実際のシステムを使った診断ができない状態
- → セキュリティ脅威や攻撃者の目的などを鑑みてリスクに関するシナリオを作成して、机上で実行して検証を重ねた。
セキュリティコンサルタントに有用な資格
ここまで、セキュリティコンサルタントの業務について解説してきました。
では、具体的にセキュリティコンサルタントが取得しておくべき資格はなんでしょうか。
具体的には、以下の4つです。
それぞれ解説します。
ITストラテジスト
ITストラテジストは、独立行政法人 情報処理推進機構(IPA)が提供している国家資格です。
情報処理技術者試験の中で最も難易度が高いとされている難関資格で、基本情報技術者試験や応用情報技術者試験と比べても、より高度なIT知識や経験が必要とされています。
ITストラテジストを取得すれば、自社の業務分析や、システム導入の方向性を決めていく役割を担い、IT分野の戦略・提案を担うポジションとしての参画が求められるでしょう。
システム監査技術者
システム監査技術者は、独立行政法人 情報処理推進機構(IPA)が提供している国家資格です。
システム監査人とも呼ばれ、名前の通り、システムの監査を担う能力があることを証明できます。
業務内容としては「経営方針に沿うように、システムが正しく機能しているか」「このシステムを使うにあたり、どんなリスクがあるのか」を評価して報告する監査の役割です。
その監査した結果を基に改善方法を考え、今後起こる可能性のあるインシデントを未然に防ぐことが求められます。
CISA(公認情報システム監査人)
CISAは、Certified Information Systems Auditorの略で、日本では公認情報システム監査人と呼ばれています。
システム監査技術者と同じく、情報システムの監査の専門的な知識を有していることを認定する資格で、こちらは、ISACA(情報システムコントロール協会)が認定する国際資格となっています。
GIAC
GIACは、Global Information Assurance Certificationの略で、政府や企業のセキュリティ教育を行う組織であるSANS Instituteが提供している資格です。
試験は日本語に対応していないため、ITの知識や経験以外にも、英語の読解力が必要な難関資格です。
セキュリティの技術に特化した資格であり、GIACを取得することで、システムやネットワークの管理者が、システムやネットワークの保護のためにどのようなタスクが必要となるかを理解しており、それらを実行するためのスキルも持っていることを証明します。
セキュリティコンサルタントの育成には時間を要する
ここまででセキュリティコンサルタントの業務内容を紹介してきました。
セキュリティコンサルタントと一口に言っても、その業務内容は非常に多岐に渡ります。
コンサルティング先の企業が所属する業界によってセキュリティ対策の方向性も変わってきますし、さらに各社ごとにも社内の実情や必要な戦略も異なります。
また、セキュリティコンサルタントとしての仕事は、毎回ゼロからの対応となるため、全く同じ内容の仕事は存在しません。つまり過去の経験だけに頼るのではなく、新しくゼロからイチを生み出すことのできる能力が必要不可欠です。
このような高度なスキルが求められるセキュリティコンサルタントを自社で準備するのは困難です。もし専門性の高いセキュリティコンサルタントが必要となった場合には、外注を検討することも重要です。
RMでも認証取得を中心としたセキュリティコンサルティングサービスをご提供しています。お気軽にお問い合わせください。
まとめ
セキュリティコンサルタントについて解説しました。
セキュリティコンサルタントを育てたり、外部に依頼する際には、上記の経験や資格があることを確認しておきましょう。