【失敗から学ぶセキュリティ第1回】期待はずれのコンサルティング～安い料金には制限も多い

【セキュリティ】

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

セキュリティ総論

|

タグをもっとみる

セキュリティは企業にとって欠かせない対策になり、全ての企業で対策に力を入れていると言っても過言ではない。しかし、万全な対策が取れている企業はほんの一握りで失敗事例も数多い。本連載では、「失敗から学ぶ情報セキュリティガバナンス」と題して、失敗事例を軸にセキュリティ対策について論じていく。

▲失敗例
長期化してしまった認定取得

ローブライトコンサルティング株式会社
代表取締役　
加藤道明 Michiaki Kato

昨年、中堅小売系A社から、プライバシーマークを取得するにあたって「審査の指摘に対して何度改善報告を出しても受理されず困っている。既に実地審査から5ヶ月が経っている。指導頂けないだろうか。」という相談が当社にあった。

その相談によると、同社では着手から1年で取得するために、コンサルタントを起用し活動に臨んだとのこと。しかしその結果、16ヶ月も要してしまったという。着手から審査機関への申請まで5ヶ月、実地審査待ち5ヶ月、実地審査から認定を取得するまでに6ヶ月である。

さらに、同社では認定取得が長期化しただけでなく、手戻りが多発したことにより内部の対応工数が膨大に増え、通常の業務にも影響が出てしまった。これについては後日、同社の責任者が「最初に担当していたコンサルタントの規格解釈が間違っていたようだ。」と語っていた。

▲着眼点
ユーザーの期待と
ベンダー提案の不一致

　このような相談が増えつつある。コンサルタントを選ぶ際、ベンダーが手がけた実績や料金だけで選んではいないだろうか。急激に拡大した市場にベテランコンサルタントが不足し、ベンダーとしてもマネジャー経験なし、ネットワークセキュリティ設計経験なし、審査経験なしといった人材をコンサルタントとして使わざるを得なくなっている。コンサルティングをマニュアル化し、コンサルタントにスキルを必要としないサービスにシフトしてきている。

その結果、市場価値は100万、200万に下がってしまい、いつの間にか金額だけが一人歩きするようになってしまった。筆者自身、ある中堅コンサルティングベンダーに「経験は必要ありません。マニュアルどおりにやってください。そのかわり賃金はアルバイト程度とさせていただきます。」と言われたことがある。適切なアドバイスができないコンサルタントがいても不思議ではない。

しかし、ほとんどのユーザーは頼れるコンサルタントをイメージしている。このギャップが問題である。以下、成功したユーザーの事例から、事前にギャップを埋めるという観点でコンサルタントの評価方法をご紹介させていただく。キーワードは、期待する力量、適正単価、役割分担である。

（表1）コンサルタント評価シートの例

▲失敗しないための知恵1
期待する力量

　まずは、失敗例にもあるようにコンサルタントの力量について歴然と差が出てくるのが実地審査から認定取得までの期間である。この期間が短いということは適切な活動に導いており、審査での指摘に対しても適切な指導が出来るということになる。着手から申請までの期間だけでなく実地審査から認定取得までの期間も確認するとよい。

　ただし、この確認はベンダーの実績ではなく、担当してもらえるコンサルタント本人の実績を確認することが秘訣である。キャリアシートや面接で確認することをお奨めする。その際、表1に示すような評価シートを用意しておくと便利である。次に、認定取得後の運用支援の充実さで力量の差を確認する方法もある。運用支援が充実しているということは、実績が豊富で成功プロジェクトも多いと見ることができる。コンサルタント本人が作成した運用レポートなどのサンプルを提示してもらうとよい。

▲失敗しないための知恵2
適正単価

　単価の確認も忘れてはならない。単価は見積金額に割り当てられる人数や日数、または訪問回数を確認することで計算できる。合計金額が安くても単価にしてみれば安くない場合が多い。もちろん、その評価には力量を考慮する必要もある。システム開発でも、上級SE、中級SE、プログラマでは単価が違う。安ければよいという訳ではない。プログラマではプロジェクトマネジメントはできない。期待する力量に対し適正かどうかが重要である。

▲失敗しないための知恵3
役割分担

　認定取得までにはある程度の作業工数が必要となる。1人月や2人月では到底申請まで辿り着けない。この状況に対し最も多い提案は、文書サンプルを提供し、規格解釈の説明を行い、ユーザー側での構築結果を確認するといった内容である。　

　プライバシーマークで8回、ISMSで16回程度の訪問である。この場合、文書策定、情報の洗い出し、リスク評価・分析、対策立案・実施、教育、内部監査、審査の指摘に対する改善策立案・実施といった一連の作業を全てユーザー側主導で行わなければならない。別途、それなりの要員と工数を確保する必要がある。トータルコストはコンサルティングの料金のみではなく、内工数も大きな要素となることは言うまでもない。ベンダーによっては業務請負も含めた提案もある。どちらがよいかはユーザーの都合にもよるが、提案の比較を行う場合はこの条件を一致させた方が容易である。表2に役割分担確認シートの例を紹介する。

（表2）役割分担確認シートの例

　最後に、あるユーザーの事例を基に選定評価のイメージを表3にまとめてみた。コンサルタント選びでは料金の安さも重要ではあるが、期待する力量、適正単価、役割分担についても十分に分析することをお奨めする。

　以上、今回は筆者に寄せられた「コンサルタント選びが難しい」というユーザーの声に応えるべく、あえて立場を超えて筆を下ろさせて頂いた。貴社の活動において、これらの情報がお役に立てば筆者としても嬉しい限りである。