私の夢は「御社のセキュリティをダイエットする」ことです。

現在の仕事の内容

情報セキュリティコンサルタントとして、お客様企業の、情報セキュリティの仕組み(ISMS)を構築するコンサルティングを行っています。 誤解を恐れずに簡単に言うならば、悪意のあるハッカーや、最近話題の標的型攻撃から、お客様の社内の重要な情報を守るためのお手伝いをしています。

ところで、「情報セキュリティ」といえば、パソコンをカタカタするところをイメージする人も多いかもしれません。しかし、情報漏えいの原因の約3分の2は、人間のヒューマンエラー、すなわち、誤送信や、紛失などが占めていることは、意外と知られていない事実です。 そのため、私たち情報セキュリティコンサルタントは、お客様企業の情報セキュリティレベルを高めるために、技術的なアドバイスを行うことはもちろん、ヒューマンエラーによる情報流出を防ぐために、USBの利用ルールを決めたり、社外へのメールの送信ルールを決めたりといった、ルール作りも行っています。

コンサルティングの手法としては、お客様先に出向き、担当者の方から業務内容をヒヤリングしたり、セキュリティに関する提案やアドバイスを行います。エンジニアの方と、ハッカーの攻撃手法や、システムの脆弱性情報に関する情報を共有することはもちろん、時には、会社の法務部門の方と、不正競争防止法に関する議論をしたり、時には、会社の経営層に対して、情報セキュリティを企業の経営活動の中にいかに取り入れていくかをレクチャーすることもあります。

そのため、コンサルタントは、システムに関する技術的な知識、法律の知識、最近の情報セキュリティの傾向、経営やマネジメントに関する知識などの幅広い知識が必要となります。

セキュリティ業界とLRM

近年は「クラウドセキュリティ」が、情報セキュリティ業界の中で、ホットな話題になっています。

ISO(国際標準化機構)という組織が、クラウドサービス上の個人情報を適切に取り扱うためのベストプラクティスをまとめた「ISO27018」と、クラウドサービスを利用/提供するためのベストプラクティスをまとめた「ISO27017」という2つの国際規格を、立て続けに発行しました。企業は、これらの規格に準拠することで、自社のクラウドサービスの情報セキュリティのレベルを高め、国際標準に基づいた情報セキュリティが構築できていることを、対外的に大きくアピールすることができます。

上記2規格の発行を受け、LRMは、「ISO27018準拠体制構築コンサルティング」および「ISO27017準拠体制構築コンサルティング」の両サービスを、他社に先駆けてローンチしました。クラウドセキュリティの知識がないと、これらのサービスを提供することはできませんから、今回のサービスローンチのスピード感は、LRMの知識レベルの高さを証明するものだと思っています。

私自身も、両サービスを担当するコンサルタントとして、ISO27018に関してはchatwork様に、ISO27017に関しては、ワークスアプリケーションズ様に、コンサルティングサービスを提供しました。 その結果、chatwork様は国内で2例目のISO27018認証を、ワークスアプリケーションズ様は、国内初のISO27017認証を、それぞれ取得されました。

●「チャットワーク」がクラウドのセキュリティ認証ISO27018取得、国内2例目(ITpro) http://itpro.nikkeibp.co.jp/atcl/news/16/051801416/

●ワークスアプリケーションズがISO27017認証取得、国内クラウドERPベンダーで初(ZDNet Japan) http://japan.zdnet.com/article/35087329/

※認証とは、自社のセキュリティ体制が、ある特定の規格に準拠していることを、第三者機関によって証明されることです。

現在は、上記2社以外にも、多くのお客様にこれらのコンサルティングサービスを提供している途中です。

サービスのローンチにこぎつけるまでは、国内でほぼ例の無い取り組みであることから、暗中模索の状態でした。 経済産業省や総務省、IPAなど、国内の機関が発行しているクラウドに関する資料を読破することはもちろん、海外の機関が発行しているクラウドセキュリティに関する資料を、Google翻訳を頼りに読み漁ったり、クラウド特有の仮想化技術のリスクに関する勉強や、海外の法規制の調査も行いました。

このように、小規模な会社ではありますが、クラウドに関する情報セキュリティ体制構築コンサルティングでは、業界のトップを先駆けています。

今後どういうことをしていきたいか

私はこの仕事を通して、多くの会社の「セキュリティダイエット」を実現したいと考えています。 「Security Diet」とは、LRMの経営理念でもあり、私の夢でもあります。

多くの企業は、情報セキュリティを、「面倒なもの」だと考えています。

セキュリティレベルを高めるには、

「パスワードを定期的に変更しないといけない」 「マイナンバーを金庫の中で管理しなければならない」

と考えている企業は、まだまだ多いです。しかし、LRMでは、そのような「面倒な」セキュリティ対策を良しとはしていません。パスワードを定期的に変更しなくても、マイナンバーを金庫で管理しなくても、セキュリティを高める方法は、いくつも存在しているからです。

セキュリティを高めるための答えは1通りではありません。お客様にあった、お客様が「面倒だ」と思わないセキュリティ対策を提案することによって、多くのお客様企業の「セキュリティダイエット」を実現したいと考えています。

実は、その「セキュリティダイエット」を実現するために、Webサービスの開発も行っています。

一般的に、企業が情報セキュリティの仕組み(ISMS)を構築するためには、30種類程度の文書や記録を作成する必要があります。すなわち30種類のwordやexcelファイルを作成し、それらを適切に更新・管理する必要があるのです。そして、その文化は、10年以上も昔から変わっていません。

中には、「ISMSは文書と記録だけ作れば構築できる」と勘違いする人もいます。しかし、それは全く本質ではありません。ISMSの目的は、あくまで「企業の情報セキュリティレベルを高めるためのもの」だからです。

しかし、実際問題として、その大量のファイルの更新・管理が、企業のISMS担当者を苦しめていることも事実です。私たちは、この「ISMS=文書・記録」という古臭い文化を覆し、国内初の、ISMSの全てがWebサービス上で完結できる、スマートなサービスを提供したいと考えています。 もしそれが実現できれば、ISMSに必要な文書・様式の数を「30」から「0」にすることが可能です。

日本国内で情報セキュリティ体制の構築を表明している企業は約20,000社です(*)から、市場規模自体は決して大きい訳ではありません。 業界自体はかなりニッチですが、だからこそ、<業界一位>を本気で目指して取り組んでいますし、そして、その実現可能性は、想像以上に大きいと考えています。

(*)JIPDECによるISMS認証取得企業数および、プライバシーマーク取得企業数を足し合わせた値。

LRM株式会社's job postings
Anonymous
Picture?1523156222
8b7c0642 b272 40eb b5ff daf2888da0a0?1504184836
Picture?1522979762
0802935b adcf 4ff7 9cfa b607c520869c
Picture?height=40&width=40
5 Likes
Anonymous
Picture?1523156222
8b7c0642 b272 40eb b5ff daf2888da0a0?1504184836
Picture?1522979762
0802935b adcf 4ff7 9cfa b607c520869c
Picture?height=40&width=40
5 Likes

Weekly ranking

Show other rankings

Page top icon