ようこそゲストさん

ビジネス+ITを始める

  • 2006/09/05 掲載

【失敗から学ぶセキュリティ第1回】期待はずれのコンサルティング~安い料金には制限も多い(2/2)

【セキュリティ】

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
▲失敗例
長期化してしまった認定取得
昨年、中堅小売系A社から、プライバシーマークを取得するにあたって「審査の指摘に対して何度改善報告を出しても受理されず困っている。既に実地審査から5ヶ月が経っている。指導頂けないだろうか。」という相談が当社にあった。

その相談によると、同社では着手から1年で取得するために、コンサルタントを起用し活動に臨んだとのこと。しかしその結果、16ヶ月も要してしまったという。着手から審査機関への申請まで5ヶ月、実地審査待ち5ヶ月、実地審査から認定を取得するまでに6ヶ月である。

さらに、同社では認定取得が長期化しただけでなく、手戻りが多発したことにより内部の対応工数が膨大に増え、通常の業務にも影響が出てしまった。これについては後日、同社の責任者が「最初に担当していたコンサルタントの規格解釈が間違っていたようだ。」と語っていた。
▲着眼点
ユーザーの期待と
ベンダー提案の不一致
 このような相談が増えつつある。コンサルタントを選ぶ際、ベンダーが手がけた実績や料金だけで選んではいないだろうか。急激に拡大した市場にベテランコンサルタントが不足し、ベンダーとしてもマネジャー経験なし、ネットワークセキュリティ設計経験なし、審査経験なしといった人材をコンサルタントとして使わざるを得なくなっている。コンサルティングをマニュアル化し、コンサルタントにスキルを必要としないサービスにシフトしてきている。

その結果、市場価値は100万、200万に下がってしまい、いつの間にか金額だけが一人歩きするようになってしまった。筆者自身、ある中堅コンサルティングベンダーに「経験は必要ありません。マニュアルどおりにやってください。そのかわり賃金はアルバイト程度とさせていただきます。」と言われたことがある。適切なアドバイスができないコンサルタントがいても不思議ではない。

しかし、ほとんどのユーザーは頼れるコンサルタントをイメージしている。このギャップが問題である。以下、成功したユーザーの事例から、事前にギャップを埋めるという観点でコンサルタントの評価方法をご紹介させていただく。キーワードは、期待する力量、適正単価、役割分担である。
▲失敗しないための知恵1
期待する力量
 まずは、失敗例にもあるようにコンサルタントの力量について歴然と差が出てくるのが実地審査から認定取得までの期間である。この期間が短いということは適切な活動に導いており、審査での指摘に対しても適切な指導が出来るということになる。着手から申請までの期間だけでなく実地審査から認定取得までの期間も確認するとよい。

 ただし、この確認はベンダーの実績ではなく、担当してもらえるコンサルタント本人の実績を確認することが秘訣である。キャリアシートや面接で確認することをお奨めする。その際、表1に示すような評価シートを用意しておくと便利である。次に、認定取得後の運用支援の充実さで力量の差を確認する方法もある。運用支援が充実しているということは、実績が豊富で成功プロジェクトも多いと見ることができる。コンサルタント本人が作成した運用レポートなどのサンプルを提示してもらうとよい。
▲失敗しないための知恵2
適正単価
 単価の確認も忘れてはならない。単価は見積金額に割り当てられる人数や日数、または訪問回数を確認することで計算できる。合計金額が安くても単価にしてみれば安くない場合が多い。もちろん、その評価には力量を考慮する必要もある。システム開発でも、上級SE、中級SE、プログラマでは単価が違う。安ければよいという訳ではない。プログラマではプロジェクトマネジメントはできない。期待する力量に対し適正かどうかが重要である。
▲失敗しないための知恵3
役割分担
 認定取得までにはある程度の作業工数が必要となる。1人月や2人月では到底申請まで辿り着けない。この状況に対し最も多い提案は、文書サンプルを提供し、規格解釈の説明を行い、ユーザー側での構築結果を確認するといった内容である。 

 プライバシーマークで8回、ISMSで16回程度の訪問である。この場合、文書策定、情報の洗い出し、リスク評価・分析、対策立案・実施、教育、内部監査、審査の指摘に対する改善策立案・実施といった一連の作業を全てユーザー側主導で行わなければならない。別途、それなりの要員と工数を確保する必要がある。トータルコストはコンサルティングの料金のみではなく、内工数も大きな要素となることは言うまでもない。ベンダーによっては業務請負も含めた提案もある。どちらがよいかはユーザーの都合にもよるが、提案の比較を行う場合はこの条件を一致させた方が容易である。表2に役割分担確認シートの例を紹介する。

 最後に、あるユーザーの事例を基に選定評価のイメージを表3にまとめてみた。コンサルタント選びでは料金の安さも重要ではあるが、期待する力量、適正単価、役割分担についても十分に分析することをお奨めする。

 以上、今回は筆者に寄せられた「コンサルタント選びが難しい」というユーザーの声に応えるべく、あえて立場を超えて筆を下ろさせて頂いた。貴社の活動において、これらの情報がお役に立てば筆者としても嬉しい限りである。

評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line

関連コンテンツ

大日本印刷の「セキュリティ戦略」、参考にしたい「2つのゴール」と「3つの取り組み」

IoT時代のマシンアイデンティティとは?…AIにもIAMを与えてアクセス制限が必要

ハッカーに狙われる「日本企業」、被害組織に不足していた7つの観点
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample