つれづれセキュリティコンサルタント日記

アクセスカウンタ

zoom RSS セキュリティ・コンサルタントの選択と資格について

<<   作成日時 : 2006/11/27 15:28   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

こんにちは 芸達者です。

特別編として、セキュリティ・コンサルタントについてお話します。

(前回の図を暇と言うよりも、他で行き詰ってしまった場合に、頭の切り替えで
作っていますので、もうしばらくお待ちくださいね)

他の方もコンサルタントについて書かれていますが、もうすこし踏み込んだ話をします。
セキュリティ・コンサルタントと単に言いましても、色々な方がいます。

例えば!
良くソフトハウス(ソフトウェアを開発提供している会社)で、
「セキュリティに関するコンサルティングについても相談に乗りますよ」と
言う会社では、会社全体的なコンサルティングを行っている際に、「言葉の違い」に
よる行き違いが生じますので、慎重に確認する必要があります。
確認する際に、例えば「ポリシーは、何を指していますか?」の確認だけでも
良いかと思います。
ソフトハウスの場合ですと、「ポリシー = 設定内容(ソフト&ハードの)」
と言っている所が多いのです。
その場合ですと、機器の設定は任せても「会社全体のポリシー」に関して任せる事が
可能か?をお考えください。

極端な例ですが、機器の設定が何度でも消去出来るのであれば、直接購入して
「今後のため及び人材育成の一環」として、設定方法を社員に覚えさせれば、
システムの運用に関しても身に付きますので無駄な経費は発生しませんよね。

もっと簡単に言いますと、自宅にADSLや光ケーブルを引きました。
量販店でブロードバンド・ルータを買ってきて自分で設定しました。
と同じ事なんです。
以前、別件と言いましても自宅のパソコン周辺部品について、あるメーカーの窓口に問い合わせを行った際に、
「何かあった場合の事を考えますと・・・」と言ったので、私の事ですから
「何かあった場合の“何か”とは、具体的に実例を挙げて言って頂けませんか?
個人が、製品に対して手を掛けると言う事は、全て自己責任において行う事は、
以前から認識し修理も自分で行ってきましたが」
と、突っ込みを入れてしまいました。
(こんな突っ込みを入れられ、困り果てた当時の担当者の方ごめんなさい)
でも、この中にも大きなヒントが幾つか隠されています。気付いてみて下さい。

ちょっと反れたので戻します。

コンサルタントを大きく分けますと「お客様に居てスピンアウトした系」「メーカー&SI会社系」
「経営コンサルタント系」「法律事務所系」のコンサルタントが居ます。
コンサルタントは何でも出来るスーパーマン的な人ではありません。
コンサルティングのベースは同じでも、やはり得意・不得意な分野がありますので、
お客様の現在の状況によって、コンサルタントを換えることが可能です。

例を挙げますと、こんな感じの状態は換える必要が出てきます。
経営責任者の方が号令1つ「****(規格名)を取るぞ!」と言いつつ独断で、
有名な経営コンサルタント経営系の会社にコンサルティングを頼みました。
コンプライアンスまでは順調に進んでいたのですが、その先のIT関連の事や
建物の様な物理的な質問しても回答が曖昧で、技術に対しても乏しいと感じた場合です。

コンプライアンスからIT基盤を構築するには、従業員数の規模や業務内容の仕様
その他、使用のされ方によって経験や知識が必要となってきます。
(だから、「一般的;普通」は無いのです)
その時点で、現在、一緒に仕事をして頂いている経営系コンサルタントの方に対しては
申し訳ないですが、退いていただいてお客様が属している業界でのIT基盤に関して
コンプライアンスから導いて構築した経験のある方に換わって頂く必要が出てくるのです。

そのため、お客様の方で「ここまではこの会社お願いして、ここからはこの会社にお願いする」
と言うような計画を建てるか、自力で進めていく途中の数ヶ月「HELP」をお願いするか?
をプロジェクトを計画する前に検討する事をお勧めします。

コンサルタントの方について検討資料として、
資格的にどんなのがあるのか? と言いますと
下記のような国際資格や国内資格もあります。
資格について、どの様になっているのかをちょっとだけお知りになり、
コンサルタントの方がどちらを指しているかを確認する際に活用されるのも1つの手段です。

もう一度言いますが、みんながみんなIT関連の技術や方法及び法律を全て知っていて、
何でもスーパーマンでは有りません。
(コンサルタントの当たりが良ければ、経験豊富な何でも知っている人に当たる可能性もありますが)

−国際資格−

CISSP(Certified Information Systems Security Professional)
http://www.lac.co.jp/news/seminar_cissp/cissp/index.html

公認情報セキュリティマネージャー
CISM(Certified Information Security Manager)
http://www.isaca.gr.jp/homepage_j.htm


−国内資格−

ISMS審査員補、ISMS審査員、ISMS主任審査員
http://www.jipdec.jp/chosa/isms/

APC、CPC
http://www.jpca-npo.org/index.html

等々あります。

え? 私ですか? ちょっとだけ、お教えしますと以前はメーカー側ではなく
ユーザー側に居た者ですので、以前公開した様な図が出来上がるのです。
あとは、個人的に興味を持った製品を自腹で購入して自宅で試している輩です。

次回は、命題とも言える「ヒューマンエラー」について、書きたいと思っています。
年末になってくるにつれ、忙しくなってくるので何回かに分けて書くかもしれません。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
セキュリティ・コンサルタントの選択と資格について つれづれセキュリティコンサルタント日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる