EN

NRIセキュア ブログ

セキュリティコンサルタントは現場で何をしているか?|知られざる業務の実態に迫る

目次

    Security Consultant

     

    「サイバーセキュリティは経営課題」

     

    そんなことがささやかれるようになり、経営者は自社の情報資産をどのように守っていけばよいのか、頭を悩ませるようになった。「セキュリティコンサルタント」は、そんなときに企業の経営者に寄り添って、セキュリティに関する悩みや課題に真摯に向き合い、解決の手助けをしてくれる役割を担っている。しかし、どのようなテーマに対して、どのような支援をしているのか、具体的な仕事内容についてはよくわからない人も多いのではないだろうか。

    NRI Secure Insight 2023

     

    NRIセキュアのコンサルティング事業本部では、以下の3つの領域で専門性を持つ「セキュリティコンサルタント」がいる。

     

    3つの領域a

    果たして、セキュリティコンサルタントとはどのような仕事なのか?どのようなスキルやマインドが必要なのか?オフタイムにはどのように気分転換しているのか?などなど、知られざるセキュリティコンサルタントの実態に迫るために、それぞれの領域の最前線で活躍する3名のコンサルタントに話を聞いた。

    セキュリティの「戦略」を作る|ストラテジー領域

    strategy3

    松本直毅プロフィール・執筆記事一覧はこちら

     

    セキュリティの「ストラテジー領域」とはどんな仕事なのでしょうか?

     

    松本:ざっくり申し上げるとお客様のセキュリティに関する戦略や中長期的な計画を立案するような仕事です。私が最近かかわったプロジェクトでは、「セキュリティの未来予想をする」というものがありました。ある製造業のお客様でしたが、今後セキュリティはどのような未来になっていくのかを予想して、そこから直近数年でどのようなセキュリティレベルを目指していけばいいかを逆算して考える、というような内容です。最終的には、セキュリティ対策の中長期計画を策定するためのインプットを作りました。

    大変だったのは「いかに納得感のあるストーリーを作るか」という点です。「こんな未来になります」と何の根拠もなく、お客様の経営層に示しても全く納得してもらえません。そこで、NRIが公開している「NRI未来年表」や、内閣府が公開している「Society 5.0」などを参考にしながら、まずは未来の日本の姿を描き、そこで求められるであろうセキュリティの在るべき姿を仮説ベースで定義していきました。NRIグループがシンクタンクであるということの強みを最大限に活かすことができたプロジェクトでした。

     

    そのような案件を実施していくにはどのようなスキルが必要なのでしょうか?

     

    松本:情報を収集する力と、それを整理してフレームワーク化する力、そして経営層に対しても分かりやすい言葉を選んで伝えるコミュニケーション能力が必要だと思います。

    この案件を実施している際には、よく「エレベータピッチ」を意識していました。これは話す内容のポイントを整理して、30秒程度で経営層に伝えられるようにするためのプレゼンテーションスキルです。時間の無い経営層に対してエレベーターに乗っている間に現状を報告するための方法ということでこのような名前がついていますが、通常の会議に備える際にも有効なトレーニング方法だと思います。どのような仕事でも事前の「準備」にベストを尽くすということが大事だと考えています。

     

    ストラテジー領域で活躍するためにはどんなマインドが必要なのでしょうか?

     

    松本:「0」から「1」を産み出すことを楽しいと思えることが重要です。セキュリティの脅威はものすごいスピードで進化していますし、お客様の固有の事情などを考慮すると、どの企業でも同じ「セキュリティ戦略」になるということはありえないのです。

    したがって、過去の事例やベストプラクティスが無いような状況でも、それを楽しみながら、ゼロからアウトプットを作れるようなマインドの人が向いていると思います。

    そして、「摩擦を恐れない」というマインドも大切です。例えば、プロジェクトを遂行していく上で必要だと感じた場合に、あえて「未完成の仮説」を差し出してみて、お客様に正してもらうことがあります。そこで、お客様の本音を引き出すことができるからです。

    その本音を元に、プロジェクトを方向修正することで、最終的には満足していただけるアウトプットに繋げることができます。このようなコミュニケーション上の摩擦から画期的なアイデアが生まれることが多いので、それを恐れていては、より良いアウトプットを作りだすことは難しいです。摩擦を恐れずに本質を追求する、前向きなマインドが重要だと思います。

     IMG_2147

     

    セキュリティ管理の「仕組み」を作る|マネジメント領域

    management3

    岡本翠プロフィール・執筆記事一覧はこちら

     

    マネジメント領域とはどのような内容なのでしょうか?

     

    岡本:組織に必要なセキュリティレベルを維持・管理するための支援というイメージです。例えば、業務委託先のセキュリティ管理に関する支援や、セキュリティポリシーの策定支援、あるいはISMSなどの仕組みを効率化・高度化するための支援といった感じです。

    直近のプロジェクトで私が関わったのは、あるインフラ系企業のグループ会社のセキュリティ監査に関するものでした。この企業は、多くのグループ会社を持っているのですが、それらの企業のセキュリティレベルを向上するために、セキュリティ監査を実施し始めました。その監査を効率的・効果的に実施するためのご支援ということで、実際の監査に立ち会って、改善できるポイントを探し、業務プロセスを整理するといったお手伝いさせていただきました。

     

    IMG_2039

     

    マネジメント領域の中でNRIセキュアの強みはどういうところでしょうか?

     

    岡本:一言でいうと「専門性」だと思います。金融関連の基準やガイドラインに精通しているコンサルタントが多くいますし、官公庁に対しても制度作りのお手伝いをしているメンバーもいるため、レギュレーション全般に強いという感じです。ベテランのコンサルタントは、お客様からも本当に頼りにされていて、何か困ったことがあればいつも相談をされています。私もそんなコンサルタントを目指して、日々自己研鑽をしています。最近は、監査系の資格を増やそうとして、業務時間外もこまめに学習をするようにしています。

    そのほかには、PCI DSSなどのクレジットカード特有の基準などは、NRIセキュアはQSAQualified Security Assessor:認定セキュリティ評価機関)に認定されていて、強みがある分野です。QSAとしてのノウハウなどを活かしたPCI DSS準拠支援などのコンサルティングも多くの実績のある分野です。

     

    オフタイムにはどんなことをしていますか?

     

    岡本:サッカー観戦に行くのが好きです。Jリーグの川崎フロンターレのファンなので、シーズン中は、よくスタジアムに見に行っています。会社の先輩たちと一緒に行くこともあります。公私ともにとても仲の良い部署なんです。

     

    セキュリティの「実務」を最適化する|サイバー領域

    Cyber4

    齋藤大地プロフィール・執筆記事一覧はこちら

     

    サイバー領域でのコンサルティングとはどんなことをするのでしょうか?

     

    齋藤:簡単に言うと現場の「実務を最適化」するための仕事です。セキュリティは戦略を立てて、マネジメントの仕組みを作っただけでは終わりではありません。日々、運用をしていく必要があります。そして、セキュリティの運用現場では、例えば「ログをどのように見て、どう解釈をすればいいのか」とか「AWSで最適なセキュリティ設定は何か」とか「インシデントが発生した場合の初動をどうすればいいのか」などといった、実務に関する悩みが多数あります。

    それらの悩みを解決するための具体的なナレッジを提供するのが私たちのサイバーコンサルティングの領域になります。実務に近い分野ということで、どうしても「サイバー攻撃にいかに対処するか」という観点のテーマが多くなる傾向にあります。

     

    今は具体的にどのようなプロジェクトをしているのでしょうか?

     

    齋藤:内容が内容だけに、細かいことは言えないのですが、ある企業の電子マネーに関する新規事業のサイバーセキュリティリスク評価、というプロジェクトをやっています。これは、これから作ろうとしているシステムのリスク評価をするプロジェクトなのですが、まだシステム自体が無いため、現物を使ったセキュリティ診断ができないのです。

    そこで、世の中で発生したサイバー脅威や攻撃者の目的等に関するナレッジをもとにして、「リスクシナリオ」を考えて、そのシナリオを一つ一つ机上で検証をしていく、ということやりました。新規で構築するシステムが設計上は「セキュアな状態」で、そこに繋がる既存のシステムも「セキュアな状態」だったとしても、その2つを組み合わせたときに「セキュアではない状態」になる可能性があります。それらのリスクが発生する可能性を網羅的に洗い出して検証をしていく、という支援を実施しました。

     

    IMG_2099

    サイバー領域で活躍するために必要なマインドは?

     

    齋藤:「プロフェッショナルたれ」ということを常に意識しています。サイバーコンサルティングでは、お客様の業務の現場に入ることが多いので、技術的な要素で何か秀でたものが必要になります。部のメンバーはもともとアプリケーションの開発をしていたメンバーや、ITインフラを構築していたメンバーなどもいて、お客様の技術担当者と会話をしても対等に話せるほどの専門知識を持っている人が多いです。

    お客様の現場部門の方々に、きちんと「実のある提言」をして満足していただくためには、相応のナレッジを持っていることと、サイバーセキュリティに関する最新情報を抑えておくことは必須だと考えています。

     

    サイバー領域は今後どのようになっていくと考えていますか?

     

    齋藤:人間の欲求がある限り、サイバー攻撃がなくなることは決してありません。そしてデジタルビジネスなど、最新のIT技術を利用したビジネスはどんどん増えていきます。したがって、サイバーコンサルティングの領域は今後ますますニーズが高まっていくものと考えています。

    そして、AIやツールの技術がどれだけ発達しても、企業の固有の事情などを分析して、最終的なセキュリティに関する判断ができるのは「人」だと思っています。そのため、サイバーコンサルティングの領域はどんどん重要性が増し、より難しく、より面白くなってくるでしょう。

    おわりに ~最前線で守っているのは「人」~

     

    複雑化・多様化するサイバー攻撃から、企業の情報資産を守るために、セキュリティコンサルタントはあらゆる方面に情報のアンテナを張り巡らせている。各種フレームワークの動向や、流行している脅威の影響度、革新的なソリューションのメリット・デメリット、など。

     

    そして、セキュリティコンサルタントの本質的な価値は、各コンサルタントの中に蓄積されたそれらの情報から、顧客のことを考え抜きながら、丁寧に紡ぎ出していくアウトプットにある。華やかで、なおかつ、どことなく冷たい印象のあるセキュリティコンサルタント。しかし、その実態は温かく人間味にあふれた”泥臭い”職業である。セキュリティ脅威から、最前線で日本企業を守ってくれているのは、まぎれもなく「人」であった。

     

    本記事で紹介したコンサルタントの現場でのナレッジが詰まったサービスが『Secure SketCH』です。コンサルタントが定義したセキュリティ対策のベストプラクティスが無料で確認ができます。ぜひ一度お試しください!

     

     

    新規CTA

    セキュリティコンサルタント