セキュリティコンサルとは?比較ポイントやケーススタディ紹介 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > セキュリティコンサルとは?比較ポイントやケーススタディ紹介

情報セキュリティ

ISMS

PCI DSS

Pマーク

セキュリティコンサルとは?比較ポイントやケーススタディ紹介

佐々山 Tacos

佐々山 Tacos

2022.04.18

最近、ニュースで「不正アクセス」や「ランサムウェア被害」といった言葉を目にすることが増えています。日本政府も「昨今のサイバー攻撃事案のリスクの高まりを踏まえ」て今年2月から3月24日までの間に3度の注意喚起を行っており、企業に対してサイバーセキュリティ対策の強化を要請しています。

しかし、中には自社のみでセキュリティ対策を実施することに限界を感じており、コンサルティング会社との契約を検討中の企業もいらっしゃると思います。

そこで今回の記事では、セキュリティコンサルティングのサービスを利用した方がいいケースや、コンサル会社選定時に重要となる比較ポイントなどについて解説します。

目次

1, 企業の抱えるセキュリティ対策の課題

2, コンサルティングサービスを利用した方がいいケース

3, コンサル会社選定時の比較ポイント

・提供サービスの内容、範囲

・料金

・実績

・見積もり依頼後の提案内容、対応

4, 株式会社マキナレコードのセキュリティコンサルティング

・サービス紹介

・強み

5, まとめ

企業の抱えるセキュリティ対策の課題

まず、一言で「セキュリティ対策」といっても、サイバー攻撃対策や従業員教育、インシデント対応プランの作成など、やるべきことはたくさんあります。主にどのような課題があるのでしょうか?

情報セキュリティに対する組織的な取り組み

企業のセキュリティ対策は、組織として取り組む必要があります。ホームページ等に自社のセキュリティ方針(プラポリ、情報セキュリティポリシー等)を掲載しているかといった部分に始まり、近年ではテレワーク、リモートワーク、個人所有の情報機器(BYOD)を業務で利用する場合のセキュリティ対策もこの枠内で検討すべき事項になります。

物理的セキュリティ

会社内部では、さまざまな種類の重要な情報がやり取りされています。これらの重要な情報の保管場所や、またその場所への入退管理や施錠管理も備えておく必要があります。さらには、重要な情報機器や配線などは、自然災害や人的災害などに対する安全性にも配慮が必要です。

情報システム及び通信ネットワークの運用管理

マルウェアの感染被害が急増する昨今、ウィルス対策ソフトなどのアプリケーションの運用は重要度を高めていると言えます。セキュリティパッチ(更新プログラム)の適用もルール化しておく必要があります。また、自社で導入しているシステムの運用に際し、ログ取得や作業申請などの管理ルールの策定も検討すべき事項です。

情報システムのアクセス制御

データやシステムへのアクセスを制限するための利用者管理や、重要な情報に対するアクセス権限の設定、インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISP サービス 等)といった、情報システムに対するアクセス制限も対策が必須です。

その他(情報セキュリティ上の事故対応、開発におけるセキュリティ対策)

万が一、情報セキュリティに関するインシデント(ウィルス感染、情報漏えい等)が発生した際に、緊急対応として何をすべきか、あらかじめ検討しておくことも重要です。ウイルス感染や情報漏えいに起因するものだけではなく、システム障害による緊急対応も考慮しておかなければなりません。

また、開発体制を保有している企業のケースでは、ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を考えておく必要があります。

 

参考)独立行政法人情報処理推進機構「情報セキュリティ対策」
https://www.ipa.go.jp/security/measures/index.html

 

コンサルティングサービスを利用した方がいいケース

すべてのセキュリティ対策を自社のみで行うのが困難な場合は、コンサルティングサービスの利用を検討すべきです。特に、以下に挙げる4つのケースのいずれかに該当する企業には、すぐにでもコンサル会社の選定を始めることをお勧めします。

セキュリティ人材が不足している

セキュリティに詳しい社員がいない、新たな人材を雇用するための時間や余裕がない、といったケースです。これに該当する企業は、「ウイルス対策ソフトを使う」などの初歩的なセキュリティ対策だけしか実施できていない恐れがあります。コンサルサービスを利用し、セキュリティに詳しい専門家にサポートしてもらえる体制を作るのが得策です。

現行体制だと社員の負担が多い

情報システム担当者などが兼任でセキュリティまで担当している場合などです。このようなケースでは、業務が片手間になってセキュリティ対策に不備が生じてしまう可能性があります。コンサルサービスを利用することで、セキュリティ関連の業務を効率化することが可能です。(例:セキュリティチェックシートに回答する際の負担が減る、など)

セキュリティ対策における社員への負担過多

自社の課題・リスクや、実施すべき対策がわからない

自社にどんなセキュリティ上の弱みがあるのかがわからない、または、そもそもどうやって課題やリスクを洗い出せばいいのかわからない、といったケースです。専門的な知識を持つコンサルタントに依頼すれば、現状を確認した上で、問題点を洗い出したり、必要な対策を指示したりしてくれます。

認証取得を目指している

以下の図が示しているように、ISMSやPマークなどの認証取得は長期的なプロセスになる上、やらねばならないことがたくさん出てきます。そのため、このケースでは特に、コンサルティングサービスの利用をお勧めします。

セキュリティ関連認証取得までのプロセス

 

関連記事:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説」、「Pマーク(PMS)とISMSの違い、取得のメリットとは」、「ISMSクラウドセキュリティ認証とは?認証基準や要求事項について解説

コンサル会社選定時の比較ポイント

選定にあたり、まずは以下の4点を明確にしておきましょう。

 

①達成したい目標(例:しっかりしたセキュリティ体制を構築する、Pマークを取得する、など)

②その目標を達成するためにやらねばならないことや、解決すべき問題(例:セキュリティ規程の策定、従業員教育、個人情報管理体制の整備など)

③予算とタイムライン(どのくらいの費用がかけられるのかや、いつから始め、いつまでに達成したいのか)

④コンサルタントに担ってもらいたい役割、支援してもらいたい業務(セキュリティ規程作りを手伝ってもらいたいなど、②を踏まえて判断)

 

その上で、以下の項目について各社を比較しましょう。

提供サービスの内容、範囲

サービス内容が自社のニーズに合ったものかどうかは、非常に重要なポイントです。例えば、ゼロからセキュリティ体制を構築したいという企業の場合、課題の洗い出しからセキュリティ規程の策定、従業員教育まで、包括的なサービスを提供してくれるコンサル会社を探す必要があります。一方で、ある程度のセキュリティ体制は整っているものの、何か問題が生じたり困ったりした際の相談先が欲しい、という企業であれば、顧問サービスで十分です。

料金

コンサルティングサービスの料金が自社の予算内で収まる金額かどうかの確認はもちろんのこと、サービス内容と料金のバランスを比較することも重要です。ここでも、自社のニーズを踏まえて判断することが求められます(安価で最小限のサポートか、多少高くても手厚いサポートか、など)。

セキュリティコンサルの費用比較

実績

宣伝されているサービス内容や料金がどれほど魅力的に思えても、本当にそのコンサル会社が優れたパフォーマンスを発揮してくれるかどうかは実際に契約してみるまでわかりません。そこで、コンサル会社の実力を推測するためのヒントとしてこれまでの実績を確認しましょう。ホームページなどで実績が公開されていない場合は、問い合わせや見積もり依頼の際に直接聞いてみることをお勧めします。

見積もり依頼後の提案内容、対応

コンサル会社に見積もりを依頼した後に返ってきた提案内容はもちろんのこと、やりとり時の担当者の対応・印象なども比較材料にしましょう。依頼するサービス内容にもよりますが、コンサルタントとは長期的に関わり合うことになります。したがって、担当者同士の相性や、コミュニケーションの取りやすさ(こちらの話を誠実に聞いてくれる、メールや各種ビジネスチャットツールなど多様な連絡手段に対応している、など)といったポイントを吟味することも重要です。

株式会社マキナレコードのセキュリティコンサルティング

サービス紹介

マキナレコードでは、情報セキュリティ体制の整備から規程・ガイドライン策定支援、従業員教育まで、 幅広い支援サービスを提供しています。また、ISMSやPマーク、PCI DSSなどの認証取得支援も行っています。

マキナレコードのコンサルティング・メソッド

セキュリティ顧問セキュリティに関する質問等をメール・Slack でお答えします。ご要望に応じて定期的な訪問をいたします。
Fit&Gap目的に対する現在の体制におけるセキュリティの問題点を洗い出し、対策を検討いたします。
CSIRT支援構築保有情報や利用環境に基づき、組織全体のセキュリティレベル向上に有効なCSIRT構築を行います。
規程・ガイドライン企業運営で必要なセキュリティの規程類をヒアリングをもとに作成いたします。
教育全社員・経営者に対し、セキュリティ教育を行います。 E-Learningを用いた理解度チェックも実施可能です。
認証取得支援ISMS(ISO/IEC27001) 認証、プライバシーマーク認証、PCI DSS認証など情報セキュリティに関する各種認証を取得するための支援を行います。
脆弱性診断Webアプリやプラットフォーム、クラウド、スマホアプリなどのセキュリティ診断を実施する複数のパートナー企業をご紹介します。

各サービスの詳細については、弊社のホームページをご覧ください。

関連記事:CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説

マキナレコードの強み

✅セキュリティの実効性を伴うコンサルティング

【ちゃんとしたセキュリティを、全ての企業に】というビジョンのもと、組織、従業員一人一人にセキュリティの重要性が認識され、考え方と行動が変化し、セキュリティが確保されたその結果として、認証の取得、維持がされていくようにアドバイスします。

 

✅経験豊富なセキュリティ専門家が専任コンサルタントに

打ち合わせから支援まで、専任のセキュリティ専門コンサルタントが担当するため、気兼ねなくなんでも相談できます。

 

✅予算や状況に応じた柔軟な対応

コンサルタントが組織のセキュリティ状況をしっかり分析し、本当に必要な対策・支援を予算や現状に沿ったやり方で提案します。

 

✅豊富な支援実績

セキュリティ顧問、CSIRT構築支援、Pマーク取得支援など、多数の支援実績があります。詳しくは、実際に弊社のサービスをご利用いただいたお客様へのインタビュー記事を掲載しているこちらのページをご覧ください。

 

✅月額定額制セキュリティ顧問サービス「街かどセキュリティ相談室」

従来は都度のお見積りとなるセキュリティコンサルティングを、月額定額料金で提供しています。自社のセキュリティ状況に関する相談をはじめ、今後の対応やプロダクトのセキュリティレビューなどについて、チャットによる専用窓口で相談できます。本サービスに関して、詳しくはこちらのページをご覧ください。

セキュリティ体制構築支援資料ダウンロード

まとめ

自社のみでセキュリティ対策を行うことに限界を感じている場合や、認証取得が必要なものの何から始めればいいのかわからない場合などは、セキュリティ・コンサルティングサービスの利用を検討しましょう。利用を決定した後は、上述したように、自社が抱えるセキュリティ上の問題や課題、ニーズを明確にした上で、各コンサル会社を比較することが大切です。

Writer

佐々山 Tacosライター/翻訳者

著者

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ