コンサルサーチ CONSULTANT SEARCH コンサルサーチ CONSULTANT SEARCH コンサルサーチは「プロフェッショナル」と「必要とする企業」を結ぶ事業です

全てのお問合わせはinfo@workstyle-labまで

コンサルタント向け転職情報 THINK CAREERコンサルタントの起業支援 POSCON Venture Partners

コンサルデータベース Data Base

株式会社マインド・トゥー・アクション / 代表取締役 中島 浩光

プロフェッショナルとして…

コンサル会社で培ったスキルを元に、情報セキュリティを専門としたコンサルティングを実施。セキュリティ診断、関連規定の作成・見直しや、ISMSの支援、内部統制、災害対策、BCP(事業継続計画)を支援する

専門分野 1. 情報セキュリティ
2. BCP/BCM
専門業界 1. 金融
2. IT
経験してきたテーマ 情報セキュリティコンサルティング、IT内部統制、BCP/BPM、ITIL、ITコンサルティング
経験してきた業界 金融、官公庁、医療、製造、流通、サービス業、IT
得意なスタイル お客様の状況等に応じて実行体制を提案させていただきます。
活動エリア 東京中心(出張ベースでよければ、全国・海外可)
生まれ年 1969年
ホームページ http://www.mind-to-action.com
資格など TOIEC:820点(2005年)
今後のビジョン 「マインド」=「心構え」から始まる。

多くのコンサルティング会社がコンサルティングの方法論を重視し、その方法論を使ってコンサルティングを実施しようとします。しかし、お客様が抱える課題は同じ領域の課題だとしても、中身はお客様によって変わります。そのため、その方法論がお客様の抱える課題に対して効果的かどうかは、本当はわからないのです。 ・・・続きはこちらから

インタビュー聞き手:株式会社ワークスタイルラボ 真貝 豪 | 2012年12月3日

情報セキュリティを専門としたコンサルティングで、セキュリティ診断、関連規定の作成・見直しや、ISMSの支援、内部統制、災害対策、BCP(事業継続計画)等も実施

中島さんは、現在コンサルタントとして活躍されているということですが、どのような企業の支援、活動をされていますでしょうか?

現在、情報セキュリティを専門としたコンサルティングを主にやっています。それ以外には、情報セキュリティと関連しますが、内部統制、災害対策、BCP(事業継続計画)についてのコンサルティングもやっています。

お客様はいろいろな業種・業界があるのですが、情報セキュリティの領域では、情報システムのセキュリティ要件定義、基本設計・詳細設計の段階でのセキュリティに関する設計内容のレビューなど、システムの中にセキュリティをあらかじめ組み込んでいく部分のコンサルティングが多いです。

既に実稼働中のシステムについてのセキュリティ診断といったことも行っています。また、セキュリティ関連規定の作成・見直しや、ISMSの支援なども行っており、情報セキュリティに関して言えば、システムだけではなく、文書・規程類等含めていろいろな領域でのコンサルティングをしています。

セキュリティ対策は基本的な対策をしたうえで「割り切り」が必要になる

これまでコンサル会社での大手企業相手のコンサルや、中小企業の情報セキュリティ対策までいろいろ見てこられたと思うのですが、そんな中島さんから見て「日本企業の情報セキュリティ対策」は十分に対策している会社が多いのでしょうか?不十分な会社が多いのでしょうか?大手企業から中小企業までいろいろあると思いますが、あえて漠と質問させていただきます

難しい質問ですね。

というのは、何をもって十分と考えるか?の答えをどこに置くか?が難しいですから。

よく言われるのですが、100%のセキュリティはないと言われます。実際、対策が見つかっていない新しい脆弱性を利用するゼロデイ攻撃や、システム管理者による不正行為など、防ぐのが困難な事故もあります。また、セキュリティ対策にかけられる予算の問題もあります。セキュリティ対策をやったから大幅赤字というのは避けなくてはいけませんから。

そうなってくると、セキュリティ対策というのは基本的な対策(例えばWindows端末のウィルス対策)をしたうえで、ある程度の「割り切り」、つまり、ここまでの対策はやるけどそれ以上はやらない、その割り切りが原因で発生した事故はしょうがない、というようなことが必要になります。

その「割り切り」が適切、基本的な対策およびその組織のレベルに応じた対策が行われている組織は少ないと思いますがあります。ということは、多くの組織で、対策が十分ではない、ということだと思います。

なるほど。言い換えると「起こりうるあらゆることを想定し、可能な対策をたて、“予算”と“割り切り”で、実行に移す対策の意思決定を支援する」というのが、セキュリティー関連のコンサルとして行うことなのでしょうか?

そうですね、コンサルティングの仕事としては「セキュリティリスクの診断・分析」「リスクに対するセキュリティ対策の立案・実行」から成り立っていますね。予算とか割り切りの話は後者のほうに入りますが。

何をリスクと考えるかは、お客様のビジネスによって変わる

中島さんは、この分野のコンサルティングの経験豊富な知識で、システムという専門面も含め「起こりうる危険の想定」が幅広く、漏れなく行えるということでしょうか?

ITとNon-ITに大雑把に分けていいのであれば大体は。リスクの診断・分析に 関してはお客様と話し合いながら、という部分が大きいです。 というのも、何をリスクと考えるか、もしくは、何を大きなリスクと考えるかというのがお客様のビジネスによって変わるんです。

また、これからシステムの設計をする段階なのか、今あるシステムの改善をするのか?など、案件の状況によって、リスクを分析する前提が違いますので、お客さんが正しく理解できるよう多少手法も変えたりしていきます。

IT部門の人たちや、総務部門の人たちで行う場合と比べ、中島さんのような専門家に依頼すると、やはり全然違うものですか?

私自身がやるわけではないですがWebサイトの不正侵入検査のように特殊技能的なものについては、通常お客様の社内でそういうスキルを持つ人がいる、ということはあまりないと思うので、外部の専門家に頼んだ方が良いと思います。

同じように、リスク診断・分析という面では、リスク分析の手法や考え方を知っているというのはあります。

ただ、そのリスク診断・分析に関してお客様が内容を理解したうえで、納得できるか?、また、お客様の状況に合っているか?という部分が、後続のセキュリティ対策を考えるうえで重要にもなってくるのですが、その部分ではセキュリティ関連の知識・スキルもありますが、それを使いこなしたり、お客様と一緒にどう進めていくかというコンサルタント的なスキルが大きいと思います。

そのコンサルタント的スキルに関しては専門家かそうでないかに限らず、完全に個人の経験・スキルになると思います。

先程「セキュリティリスクの診断・分析」と「対策・実行」とおっしゃっていただきましたが、「セキュリティリスクの診断・分析」というのは、どれぐらいの期間をかけてやるものでしょうか?もちろん組織・会社の規模によると思います。たとえば、1000人ぐらいの規模の企業だといかがですか?

部署数、拠点数、業務内容、分析の細かさ等々で、いろいろ変わることにはなりますが、現状把握としての資料閲覧やヒアリングで1カ月、リスク分析で1カ月、リスク評価と報告書作成で1カ月、の合計3カ月くらいでしょうか、経験的な大雑把な見積ですが。ただ、全体をやるのにあまり時間がかかるようなら、診断・分析対象を分割して優先度をつけて順番にやるか、範囲を狭めてやるようにしています。

そのアウトプットは報告書という形でリスクが可視化されるのでしょうか?

リスクの可視化というと大げさですが、報告書を作ってもお客様に理解してもらえなければいけないので、診断・分析のポイント毎にそこまでの内容について説明したり、一緒に検討してもらったりしながら進めるほうが最終的なお客様の理解度は高いですね。

中島さんが企業にサービスを提供する際、どのようなきっかけで企業様は中島さんに依頼されることが多いのでしょうか?また、どのような感じで相談させて頂けばよろしいでしょうか?

現状、私自身の知り合いからの紹介、という形のきっかけがほとんどです。 「良くわからないけどセキュリティ関連で困っているらしいから相談に乗ってほしい」とか、「SIでセキュリティの要件定義ができる人間を探しているが頼めるか?」とか、「社内のセキュリティの見直しをしたいのだが、相談できるか?」等の感じで 来ることが多いです。

はっきりと目的・スコープが決まっている場合もありますし、そうでない場合もあります。

はっきり目的・スコープが決まっていれば、それに合わせて提案・見積もりをださせて頂くのですが、そうでない場合は打合せをさせていただき状況をお聞きして相談・依頼内容を整理して、こちらから提案をして、再度、打ち合わせて相談・依頼内容を検討してというのを繰り返して、依頼・相談内容の目的・スコープ・報酬が合意できたらプロジェクト開始、という感じですね。

最初の段階で「守るべきものへの理解」し、そこから「守る目的」と「守る手段」を考える

どのように中島さんのコンサルティングは進むのでしょうか?

コンサルティングの進め方はプロジェクトによって変わります。 提案の段階で依頼内容、お客様の状況によって、進め方を検討しますが、過去の似た案件の進め方を参考にする時もありますし、依頼内容の目的・スコープから進め方を一から考えるときもあります。

ただ、情報セキュリティというのは守るべきものがないと成り立ちませんし、守るためには、守るべきもののことをきちんと理解しなくてはいけないわけなので、最初の段階で「守るべきものへの理解」をして、そこから「守る目的」と「守る手段」を考えていく、というのは共通しているとは言えます。

最後に、これを読んでいる企業の皆様にメッセージがりましたらお願いします。

情報セキュリティは、あるリスクに対して必ず一つの答えがあるというものではなく、状況に応じて、業務、技術、運用、教育、設備、規程など各種の手段で解決方法の可能性があり、どれがベターな手段なのかを考える必要があります。その点から私自身は情報セキュリティは総合学問の一種だと考えています。

私は、SIプロジェクトでのアプリケーションのプログラミング・設計・要件定義、インフラ基盤の設計・導入、プロジェクト管理等、システム運用管理といった感じでITに関して一通りのことをやった経験があり、また、その経験の中で業務を理解することの重要さを知っています。また、セキュリティの仕事をする中でセキュリティに関する技術、運用、教育、設備、規程等の領域についても当然ながら経験をしてきました。

私が情報セキュリティのコンサルティングを独立しての仕事として選んだのは、情報セキュリティが総合学問であり、また、私自身の経験がセキュリティの場面で生きると思っているからでもあります。

もし、「こんな奴」に興味があれば、お気軽にご連絡をいただければと思います。

ありがとうございました!

略歴

1993年アンダーセンコンサルティング(現アクセンチュア)入社
2005年日本CA(現CAテクノロジー)入社
2007年インフォセック入社
2010年 株式会社マインド・トゥー・アクション設立、独立。現在に至る
コンサルタントへのお問合せはこちら

上記バナーをクリック頂くとメールが立ち上がりますので、ご要望をご記入しご送信ください。

「もう少し具体的に教えて欲しい」、「XXXXさんに頼みたい」、「経営課題があるのだが、誰に頼んだらよいかわからない」など、どんな要望でも全くかまいません。貴社の課題、成長のために実施すべきことについて、戦略立案力・実行支援力のあるコンサルサーチスタッフが伺いお話を伺わせて頂き、ディスカッションすることも可能です。

一覧に戻る
コンサル業界ニュース コンサルに関わる人のニュースを毎日発信 お問合せ プロフェッショナルを探す企業の方はこちら コンサル登録 スキル・ご要望にマッチした案件情報を随時ご紹介いたします 独立のご相談 独立や起業を検討されている「検討中」の皆様も、是非、弊社にコンタクトください