セキュリティコンサルは高い?安い?何してくれるの?コンサルの立場から解説!

FacebookLinkedInTwitter
Share
#セキュリティ#スタートアップ

Written by セキュリティ事業部

2022-06-17

サイバーセキュリティ

「セキュリティコンサルティング」のそもそも

近年、情報セキュリティやサイバーセキュリティは、企業のリスクを語る上で欠かせない要素になっています。DXやWebサービスの台頭により、システムや情報資産を適切に守ることができなければ、事業リスクに直結しかねません。

一方で、このセキュリティの実行には、技術的な知識、管理・監査に関する経験・肌感、そして時に社外との折衝力が求められます。人材も多いとは言えず、すぐに社内で育成できるものではありません。

セキュリティコンサルティングは、一般的に、セキュリティの専門的な知見から助言、戦略支援、技術支援などを実施します。顧客の事業成長やリスクコントロールに、セキュリティを通じて貢献します。

セキュリティコンサルとひとことで言っても・・・

セキュリティの領域は、多岐にわたるため、ひとことで「セキュリティコンサルティング」と言っても様々な事業者・サービスが存在します。

  • ITベンダー/システムインテグレーター

情報システムの構築や保守・運営を担うITベンダーやシステムインテグレーターが展開するコンサルティングです。導入機器やシステムに応じた技術的な対策を中心に相談に乗ってもらえることが多く、自社のITシステムをベンダーに頼んでいる場合には、一番相談しやすい存在です。

一方、専門的なサイバーセキュリティの知識や文書管理や社内体制などまではカバーしていないことがほとんどです。

  • ITコンサルタント

IT戦略やDX戦略を担うコンサルタントがセキュリティについても対応するようなケースです。IT投資戦略と同様、自社の事業リスクに応じたセキュリティ投資戦略を中心に立案してくれます。

一方で、管理面の実務やITシステムの導入支援などは限定的です。

  • 危機管理コンサルタント

保険会社の関連会社などが提供するサービスです。その他のリスクとセットでセキュリティリスクへの対策をガイドしてくれます。サイバー保険などとセットになっている場合もあります。

現場レベルのガイドはあまり期待できないため、自社のチームや他の支援と組み合わせることになります。

  • セキュリティ専門ベンダー

セキュリティ特化したシステム構築を提供するITベンダーです。セキュリティソリューションを取り扱っていることもあり、製品の導入とセットで提案されるケースが多く見られます。製品の取り扱いやセキュリティの専門性は高く、幅広くセキュリティ課題に対応してくれます。

どんなことをやってくれる?

一般的なセキュリティコンサルティングの流れは、次のようなものです。

  1. ヒアリング

顧客のスコープセキュリティ課題の特定を行います。

  1. リスクアセスメント

顧客のリスクを調査します。アセスメントでは、リスクの可視化のためにリスクマトリクスを用いたり、重要度・蓋然性・頻度などをパラメータとしてリスクの大きさを判定します。

  1. 対策の立案

明らかになったリスクに優先度をつけて、そのための対策を立案します。

事業きぼが大きい場合、事業年度(1年)以内に全てのリスクに対策し切ることは難しいことも多く、優先度順に、今年度分、次年度分といった形で中期計画に落とし込むこともあります。

  1. 対策の実行支援

セキュリティコンサルティングの種類にもよりますが、実際の実行支援も業務に含まれることがあります。得意分野はコンサルティング会社によっても異な利、セキュリティ機器の導入、チームのトレーニング、現場の監査、規程作成などの実務のニーズに応じてサポートしてもらえる会社を変えることも一つの手です。

コスト感ってどんな感じ?

コンサルティング会社によってピンキリですが、1プロジェクトあたり100万円〜数千万円のものが多いようです。コンサルティング業務は、実際にコンサルタントやエンジニアが稼働するため、稼働時間をベースに見積もりが出されることが多く、事業規模に強く比例する傾向があります。

特に専門性が必要なのは?

業法対応のためのセキュリティ

法律などで規制されている、いわゆる「業法」には、セキュリティの基準が設けられている場合があり、監督省庁との折衝も必要です。技術的な内容だけでなく、監督省庁との交渉力やCxOとのコミュニケーションに十分耐えうる専門知識と経験を持つコンサルタントが必要です。

法令・業法対応のためのセキュリティ支援 | Skygate Technologies

各種法令・業法・基準をクリアするためのエンジニアリング・GR・セキュリティの 統合コンサルティングサービス...

https://www.skygate-tech.com/ja/security-compliance

高度なサイバー攻撃対策のためのセキュリティ

特定の企業や組織を対象とした高度で執拗なサイバー攻撃(いわゆるAPT)への対策は、サイバーセキュリティの専門知識が必要不可欠です。

文書や人的な管理ではこれらの脅威に対抗できないため、実際のサイバー攻撃対策の技術的スキルと戦略の立案能力がある専門家の出番となります。

大規模なWebサービスを守るためのセキュリティ

toB/toCに関わらず、顧客への販売や決済、独自のサービスを提供する大規模なWebサービスやSaaSは、サイバー攻撃者の標的になるだけでなく、事故発生時のダメージも大きいことが特徴です。

多くの場合、これらのサービスを開発するベンダーや開発チームは、技術的な事項を理解していますが、彼らはサイバーセキュリティや攻撃者の心理の専門家ではありません。また、近年は、ログインやパスワードリセット、アプリ連携などフローの設計ミス・漏れなども事故に繋がっており、外部のレビューが重要になっています。

まとめ

  • セキュリティの領域によってそれぞれ強みを持った事業者・サービスが多数存在

  • 基本的なコンサルティングの流れは、リスクアセスメントを通してセキュリティ課題を特定・優先付けし、対策を立案・実行(年度ごとに段階的に実行)

  • 専門知識に加え、監査省庁との交渉力・折衝力や戦略の立案能力がコンサルの有効性を大きく左右


セキュリティの専門家にサポートしてもらおう

スカイゲートテクノロジズ は、防衛省・自衛隊や上場スタートアップでセキュリティを担当したメンバーが在籍する宇宙・サイバーテックです。

急成長スタートアップ宇宙防衛産業を中心に、セキュリティ専門のコンサルティングでご好評をいただいています。ペーパーワークに留まらず、技術的な対応やハンズオン、政府交渉まで幅広く対応しています。

私たちは、1つでも多くの会社が、セキュリティやリスクに悩まされることなく自由に事業を成長させられる社会を実現したいと思っています。お手伝いできることを提案させてください。

ご相談は こちら から!


Follow Team Skygate

FacebookLinkedInTwitter

(C) 2020-2022 スカイゲートテクノロジズ