« 内部者による情報流出への対策 | Main | 国土交通省 建設・交通機関に事業継続計画策定を要請 »

2005.11.20

情報セキュリティ・ヘボ・コンサル


 こんにちは、丸山満彦です。ISMSの認証支援コンサルタントのほとんどは、情報セキュリティ・ヘボ・コンサルなのではないかと最近思ってきました。情報セキュリティマネジメントの重要性を言いながら、マネジメントの要諦がわかっていないコンサルが多いように思います。情報セキュリティ・ヘボ・コンサルは、リスクアセスメントから対策の選択の時に大体わかります。

 情報セキュリティ・ヘボ・コンサルがしがちなことを列挙してみましょう。

(1) すぐに細かいリスクアセスメントをし始める。
(2) セキュリティ対策のことしか頭にない。
(3) すぐにセキュリティ対策を導入しようとする

(1) すぐに細かいリスクアセスメントをし始める。
 とにかく、細かいリスクアセスメントをし始めます。まずベースとなるセキュリティ対策を決め、重要性の高い格付にした情報および情報システムについてのみ細かいリスクアセスメントをするというのがよいですね。

(2) セキュリティ対策のことしか頭にない。
 これはありがちです。経営はバランスです。セキュリティ対策至上主義になり、情報の共有の重要性や、部門間のコミュニケーションの重要性に配慮をしない。そんなコンサルがいます。セキュリティ対策を強化することにより、別の経営上のリスクが生じることがわかっていない。ヘボ・コンサルの典型です。山口英先生風に言えば、情報セキュリティ至上主義です。これでは、セキュリティ栄えて組織が滅びます。こういうコンサルは即刻クビにすべきですね。

(3) すぐにセキュリティ対策を導入しようとする
 情報セキュリティマネジメントなのに、すぐに対策を導入しようとする。対策の導入を計画だててマネジメントすることが重要なのに、計画を十分にすることなく、セキュリティ対策を導入しようとする。これまた、ヘボ・コンサルの典型です。

 こういうヘボ・コンサルに巻き込まれないようにすることが重要です。少なくとも、経営者はこういうヘボ・コンサルよりも経営的センスがあるはずなので、恐れず経営哲学を通しましょう。



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 内部者による情報流出への対策 | Main | 国土交通省 建設・交通機関に事業継続計画策定を要請 »

Comments

監査や税務だと継続してサービスを提供することもあるので、仕事の出来を評価しやすいところがあると思います。

ですが、コンサルの場合は単発のプロジェクトを行うだけなので、コンサルが行った仕事の質について的確な評価ができる企業は少ないのではないかと想像しています。

ISMSだけでなく、内部統制やリスクマネジメントなどのサービスでもリスクベースアプローチをきちんと取り入れていないコンサルはダメダメだと思います。なぜかと申しますと、大風呂敷広げていろいろとやったように見せてくるわりには、問題の本質が見えにくいという終わり方をすることが多いからです。

コンサルを雇う方も何もかもコンサルの言うとおりにするなどというお人好しではいけないと思います。

Posted by: koneko04 | 2005.11.20 11:45

下道です

丸山さん、koneko04さんの言われることはもっともだと思います。しかしながら、世の中の多くの「情報セキュリティコンサル」を要求する側は、「ミクロな対策」を要求しているのではないでしょうか。経営者から直接セキュリティ・コンサルが依頼されることは稀であり、むしろ、情報システム部門を通してのことがほとんどなのでは?この場合、情報システム部門は己の責任をまっとう(回避?)すべく結果を求める場合が多いと思います。セキュリティ・コンサルタントもお客様からお金をもらえなければ、困るわけですから、「お客様の仰る通りです。。」とばかしに、ミクロなものに走ることが多いのでは、、と思います。

この種のことは「○○の独立性」が叫ばれる中で、未だに直らない、需要サイドと供給サイドの力(商売?)関係の問題でもあり、悲しい面ではあります。経営者が経営の視点で自ら積極的に情報セキュリティに関して取り組んでいかなければ、情報システム部の姿勢は絶対に変わらないと思います。

Posted by: 下道 | 2005.11.20 12:03

koneko04さん、下道さん、コメントありがとうございます。

 経営者の依頼者の依頼内容が確実に実現できれば、コンサルというのはいいのかもしれません。なので、依頼者がミクロな対策を依頼してきたら、ミクロな対策の支援をします。
 ただ、依頼者のその後ろの問題意識と、依頼内容が一致していない時もありますね。そういう場合は、一応、依頼内容を解決するように支援しますが、それで、依頼者の問題意識が解決することはないので、できるだけ作業中に本当の問題がどこにあるのかを気づくようにするのですがそれにも限界があります。
 この点は依頼者の能力にも依存しますね。残念ながら・・・・。

 本当に情報セキュリティマネジメントをちゃんとしたいのであれば、相当本気にならないとだめなわけです。それは、依頼する側もそうだし、依頼を受ける側もそうです。

 私の言いたいヘボ・コンサルはそういうことがわからない人です。
 内部統制も同じです。自分の得意なミクロな部分に意識が集中してしまい、その背景にある本当の問題を見逃してしまいます。依頼者と同じ立ち位置でコンサルしてもだめなんですよね。ましてや、依頼者より低い立ち位置でコンサルしてしまうなんて、ヘボです。

 最近、このような人に仕事をかき回されているので少し疲れていて過激な発言になってしまいました。すみません。

 私の究極の姿は、「丸山さんがいなくても、このプロジェクトはうまくいきましたね。。。」なんていわれるコンサルです。
 プロジェクトで一緒に仕事をしている中で依頼者が自分で課題を見つけて、解決策に気づいてプロジェクトが成功している。
 こういうコンサルができるようになりたいものです。ということで、私も精進している途中の途中です。まだまだ三合目ですかね・・・。

Posted by: 丸山満彦 | 2005.11.20 15:30

下道さん♪

なんでもそうだと思いますが、プロジェクトを始める前に予算をクライアントに提出しますよね。その際に何にどのくらい時間がかかるというような予算の立て方をされるのではないかと思います。

その区切りをクライアントに提出する際に、ここにはこれだけの時間がかかりますが、これだけの時間をかけて構築したシステムであっても、実際に社員が実行するとしたら効率が落ちますよ。また社員が実行できるようにするにはトレーニングや定期的に行うこともあるので、あまりお勧めできないですが、よろしいのでしょうか。。。

というようなことをコメントできないのが丸山さんがおっしゃるところの「ヘボコンサル」なのだと思います。

クライアントとコンサルの違いは、クライアントにとっては経験のないプロジェクトであっても、コンサルは経験値があるところです。そうした経験値の中には、過去に他でやって失敗したことも含まれています。ミクロレベルで細かいところまで決め過ぎて自分の首を絞めることになったクライアントも、過去にはいたことでしょう。そうした他社の失敗をよそでも繰り返すようなやり方をしているコンサルはヘボだと思いませんか。

言いたいことが上手く言えないのですが、コンサルがへぼかどうかを見分ける目を持つように(アタシは)精進していきたいと思います。

Posted by: koneko04 | 2005.11.21 04:32

すみません。途中で文章を書き換えたのですが、そこのところが上手く反映されていませんでした。

>トレーニングや定期的に行うこともあるので

ト導入する際のレーニングを行い、また定期的に上手く取り入れているかの再教育を行うこともあるので、

と書いたつもりでした。

Posted by: koneko04 | 2005.11.21 04:35

koneko04さん、コメントありがとうございます。人のことをとやかく言う前に自分のことをしないと・・・と反省しました。

Posted by: 丸山満彦 | 2005.11.22 06:40

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 情報セキュリティ・ヘボ・コンサル:

« 内部者による情報流出への対策 | Main | 国土交通省 建設・交通機関に事業継続計画策定を要請 »