コンサルティング内容｜S&Jコンサルティング

情報セキュリティにはこれまで多くの対策コストが場当たり的にかけられてきました。

しかしながら、今見直すことによって、効果の向上と対策コストの削減が同時に実現できるのです。そのためには、現在までに行われてきた対策をたな卸しをして最適化を図る必要があります。

情報セキュリティのコストを削減したい、という潜在的なニーズは最近の厳しい経済状況の中で増大しつつあります。

しかしながら、リスクを増大させることもできずに、現実には「現状維持」を選択されているケースを多く見かけます。しかし、「現状維持」は「コスト維持、効果低下」という結果につながります。新しい脅威の増加だけでなく、組織としての「慣れ」と「なし崩し」がモチベーションの低下を招くからです。

日本においてはＰＤＣＡを重んじたマネジメント重視型の情報セキュリティ対策が推進されてきました。言い換えれば「努力して改善していれば良い」という考え方です。マネジメント重視型では情報セキュリティ対策の運用の大部分が「会社に忠誠心のあるまじめな社員」を前提に教育活動が行われます。これがコスト増加の元となっているのです。教育は必要条件でありますが、十分条件ではないのです。

我々は、情報セキュリティコストを単なる投資コストだけではなく、それによる知的生産性低下もコストととらえています。逆にいえば、単なる制限だけの情報セキュリティ対策から利用者の利便性を向上させる対策に変更した場合、知的生産性が飛躍的に向上することになるのです。

我々は、マネジメントコストを大きく削るためのシステムの提案をします。「守らないヒト」「忘れるヒト」「悪いヒト」がいる前提ではマネジメントシステムよりもITシステムそのものが効果を発揮するのです。まじめな日本人を前提としたマネジメントシステムはグローバルスタンダードにはなりません。

また、我々はできる限り簡易に情報セキュリティコストを可視化することによって、コスト削減の効果を証明することに挑戦します。

日本ではＰＤＣＡを中心としたマネジメント重視の情報セキュリティ対策推進活動に多くの企業が真面目に取り組んできました。多くのコンサルティング会社もそれを当り前のように推奨してきました。

しかしながら、マネジメント中心の対策では情報漏えいや不正アクセスが減らなくて困っている会社は少なくありません。
また、これまでに対処療法的に対策を進めてきた企業や組織では、対策に偏りがあり、すぐにでも問題となるような脅威があるにも関わらず、放置し、これまでの対策を強化し続けているケースも少なくありません。しかしながら自分たち自身では自分たち自身を見つめ直すことは難しい場合が多く、信頼できる第三者としてのコンサルタントの力を借りることが近道であると考えます。

我々は、 これまで行われてきたマネジメントシステムを尊重しながら、最新のIT技術と物理セキュリティを用いたシステムの導入により、これまで手を焼いていた問題を解決します。

情報セキュリティ対策のシステムはどんどん進歩しており、これまでバラバラに導入されてきたシステムを統合管理する時代になってきています。

しかしながら、統合システムを導入するには、これまでのシステムやマネジメントとの親和性を考慮することも重要です。また、企業文化やリテラシー、モチベーションなども考慮して、マネジメントと技術対策を高次元でバランスさせた新システムを設計しなければいけません。

我々は、これまで行われてきた対策やマネジメントの浸透性を調査し、対策の抜けを埋めつつ、効果を増大し、コスト削減を実現し、マネジメント効果もあげられるような方策を提案します。新システムは、技術対策だけでなくマネジメントシステムも統合した形での運用まで考えたシステム設計を行います。

また、情報セキュリティ対策は、内部統制やＢＣＰとも深く関わらなければいけません。単なる不正アクセス対策や情報漏えい対策だけではなく、内部統制システムの一部としての機能や、災害時などのＢＣＰの妨げになってはいけません。さらに、ＩＴセキュリティだけでなく物理セキュリティも融合させることが求められてます。

これらを経営者の目線で考え、統合的な情報セキュリティシステムの再構築を支援します。

①ユーザ企業様向けコンサルティング
　　ソースコード検査システムのレンタル（１ヶ月単位）
　　検査結果と改善策のコンサルティング
　　脆弱性検査、IPS/WAF、監視サービスなどのコーディネーション）
　　システム開発会社との協業コーディネーション

②システム会社様向けコンサルティング
　　ソースコード検査システムのレンタル（１ヶ月単位）
　　セキュアシステム開発の導入コンサルティング
　　セキュアシステム開発教育
　　セキュリティ品質確認書作成

弊社コンサルタントのお客様の立場に立ったコンサルティングの経験から、情報セキュリティビジネスの推進方法についてコンサルティングさせて頂きます。どのような製品やサービスが求められているのか、現在の製品やサービスのどこに問題があるのか、などビジネスコンサルティングさせて頂きます。さらに、弊社の人脈を活用して、ビジネスパートナーの紹介や業務提携などのお手伝いをさせて頂きます。

また、情報セキュリティ対策は、内部統制やＢＣＰとも深く関わらなければいけません。単なる不正アクセス対策や情報漏えい対策だけではなく、内部統制システムの一部としての機能や、災害時などのＢＣＰの妨げになってはいけません。さらに、ＩＴセキュリティだけでなく物理セキュリティも融合させることが求められてます。

これらを経営者の目線で考え、統合的な情報セキュリティシステムの再構築を支援します。

今、社内での情報セキュリティ業務をアウトソーシングすることに関心が集まっています。目的はコスト削減です。しかしながら、自社の情報セキュリティをすべて外部に任せるわけにもいきません。そこで、自社内で「判断できる人材」が求められています。 弊社では、アウトソーシングを基本としながらも、自社内での人材育成にもバランスよく取り組む企業を支援させて頂きます。

知的生産性を犠牲にしない情報セキュリティ対策を策定する新しい人材が求められています。情報セキュリティを守る、だけの責任者は知的生産性に無関心だからです。

知的生産性と情報セキュリティを高次元でバランスさせた計画を策定でき、情報セキュリティアウトソーシング業者をうまく使える人材を育てます。

情報セキュリティに対する一番の脅威は、内部関係者です。この内部関係者に対するセキュリティ対策には物理セキュリティとの融合が大きな課題となってきます。なぜなら、『抑止効果』、『内部犯行の立件』に大きな効果があるからです。これまでのITセキュリティでは、『防止』と『検知』、『ユーザIDの特定』まではできても『実行した人間の特定』には結びつかないからです。

弊社は、物理セキュリティとITセキュリティの融合を得意とする会社です。入退室システムとPCのログインシステムの連携やカメラ配置、カメラ画像の蓄積など、これまで情報セキュリティ部門が取り組んでいなかった課題に具体的なソリューションを提供することができます。これらのシステムは目に見えるものであるために、抑止効果は絶大と期待されます。

これまでの経験の中で情報セキュリティ製品が活かされていない、買ったまま使っていない、などの事例を多く見てきました。原因は、そもそも性能が十分ではない、間違った使い方をしている、新機能を使いきっていない、関連サービスの選択が間違っている、導入業者のスキル不足などが挙げられます。その結果として、無駄なサービス料金を払い続けている、十分な機能が発揮されていない、などケースが少なからず見受けられます。

弊社では、各製品ベンダーと直接コンサルティングサービス提供契約を締結することによって、より深いデータと実際のユーザでの評価などを入手し、さらに、単体の製品だけでなく、関連サービスや他の製品との組み合わせによる、ベストなソリューションとして再構築提案、新規構築提案を行っております。

これまでに情報セキュリティサービスを自ら開拓し業界をリードし続けてきたコンサルタントがいる弊社だからこそできる、本音で語る製品とサービスのベストな組み合わせによるコスト削減と効率向上のコンサルティングをご提供しております。

コンサルティング例）

　　　　・Webアプリケーションの脆弱性検査コスト大幅削減と品質向上、WAFの効果的な活用
　　　　・IPSの効果的活用と監視・MSPサービスの適切な利用によるトータルコスト削減

ソリューションパートナーは随時募集しております。