このブラウザは、JavaScript が無効になっています。JavaScriptを有効にして再度、お越しください。
新規登録
ログイン
ログイン
ログインID
パスワード
次回から自動ログイン
パスワード再発行
Principle
Policy & Design
Operation
Counter Measure
About Us
TOP
Terminology
Links
▲
Principle
Principle
>> コンテンツ詳細
Title
コンサルテーション
Category
Principle
Contents
「いかにお客様の役に立てるか?」 セキュリティコンサルタントとしてまず、この立場であることを意識していただきたい。 セキュリティのプロフェッショナルとしての技能を活かして「いかにお客様の役に立てるか?」を顧客の立場で、効果的セキュリティ対策と費用節約の双方を考慮した計画を進める必要があります。 そのためにはお客様の情報を把握し整理するフェーズが必要です。
お客様の守るべき価値と想定すべき脅威などセキュリティ計画に必要な基礎調査のことを「リスクアセスメント」といいます。施設が守られている状況と管理者の仕事やセキュリティ要求などについて現地調査を行い、その情報をわかりやすく記述する作業がセキュリティ計画には不可欠です。
新築現場の場合は、図面から想定の元にセキュリティ計画を行わなければなりません。この場合も、設備と人と運用のすべてを統合してセキュリティ計画を立案できる技能が必要です。
次に設計者が行うことは、脅威を定義することです。 守るべきターゲットは物理的資産、電子データ、人、業務に支障を与える何かであると考えられます。 設計者はここで、「何を何から守るのか」というセキュリティシステムの目的をやっと理解できる段階に至ります。 セキュリティシステムの設計は常に効果を評価し、改善しなければなりません。 設計上で何らかの抜け穴や弱点を見つけた場合は、セキュリティシステムを改善し、再度評価しなければなりません。
まず、脅威となる次の3つの質問の回答を検討すべきです。 1.どのクラスの敵に対抗しなければならないか 2.敵が用いる手口の範囲をどこまで考えるべきか 3.誰が敵の可能性となりうるか 敵は3つのクラスに分けられます。 外部者、内部者、社員と共謀する外部者 あらゆる手口とは ・詐欺、虚偽(身分を偽る、認証をごまかす) ・力づく(力に任せてシステムを打ち破る) ・忍び(こっそりと検知機能を外す) ・上記の組み合わせ どのような施設にも、いくつかの脅威があります。 犯罪を企てる外部者、不満を持つ雇用者、競争相手 セキュリティシステムはこのような脅威を防止できるように設計されなければなりません。重要視すべき脅威を選定し、システムを設計し、テストを行い、他の脅威に対するシステムの効果を検証します。もし、この装置が壊されたらどのくらいのロスが発生するのか?
このような質問は許容できない重大性をもつ資産や情報を見つけ出すのに役立ちます。
経営コンサルティングの場合は、「クライアントの課題を明らかにする」「課題を解決するための方法を考える、あるいは手伝う」というコンサルティングそのものが商品です。 一方、コンサルティング営業は「自社商品を売るための付随サービス」です。 セキュリティコンサルティングは、自社商品だけを売るだけはなく、顧客のセキュリティ問題を解決する別の手段も提案する場合が多く、通常のコンサルティング営業よりも顧客にとっての付加価値は高いといえます。 セキュリティ機器メーカーの場合は、クライアント(顧客)の課題が何で、その解決にどのように自社製品が役に立つのかを明確にし、商品やサービスを購入してもらうというコンサルティング営業を行っています。
コンサルタントがセキュリティのプロフェッショナルでなければ、「セキュリティコンサルティング」を行うことはできません。また、コンサルティングを行える人材がいなければこれを行うことはできません。 セキュリティがなぜ必要なのか? 何を守るべきなのか? 脅威は何か? どのような対策が最適か? 何を何からどの程度守るべきなのか? これらを明確にして最適な解決策を提供することが「セキュリティコンサルティング」です。これを行えるプロジェクトマネージャには独自のスキルと経験が必要です。 顧客側からはコンサルタントに対し、課題解決を効率的に行い短期間に高い効果を出すことが求められます。また、顧客にとって社内の反対派を説得するための根拠作り(箔付け)目的で依頼することもあります。社内の人間関係や利害関係や立場から対策の実施が困難なケースを打破するために根拠作りが必要な場合があります。
セキュリティコンサルティングの仕事の流れは、
「○○のセキュリティについて相談したい」と相談を受けた時点から始まります。
この時点で、セキュリティコンサルティングをどのように進めるべきか、TS事業室やセキュリティ事業本部との意見交換を行う必要があります。
顧客はコンサルタントに相談することが正しいことかを、見極めようとコンサルタントの反応を見ている場合があるからです。
セキュリティのために何をしていいのかわからないという顧客の場合は、現地調査を行うことから問題の把握を始めることになります。相談者からの話を整理して、セキュリティの目標を定め、事前に現地調査表(ヒアリングシート)を作成して現地調査を実施します。本部の担当者も同行してヒアリングを実施します。
セキュリティの現状調査を含め、セキュリティコンサルティングを依頼された場合は、計画の策定に移行します。最終アウトプットイメージ、取り組み体制、工程スケジュール、費用概算などを計画に織り込みます。
仕事の流れとしては、
① 顧客の課題(WHAT)を明確に認識します。
② 解決へのアプローチと具体的な作業内容を決定するために課題をパートに分解します。
③ 各パートの課題解決策(HOW)を考案し検証します。
④ 各パートの解決策を統合します。
先方にプロジェクトチームがある場合もあります。
調査報告書をまとめる際に、現地の設備状況(平面配置)、各部屋の重要レベルの確認、現状の運用フロー、組織、問題点の整理、セキュリティ強化対策の選択肢をまとめます。
コンサルタントの仕事の流れ
①クライアントから依頼されたプロジェクトの目的を確認する
②コンサルタントメンバー内での共有を図る
③情報を収集して整理分析する
④課題の体系化を図り目標を設定する
⑤基本コンセプトを立てアクションプランを作成
⑥実行に移す
資料
ホームページ
http://
担当者
コメント
記入者:
secu
Powered by NetCommons2
The NetCommons Project
