NRIセキュアテクノロジーズは2022年7月21日、「セキュリティ業務改革支援サービス」を提供開始した。企業の情報セキュリティ業務で生じている、「漏れ」「偏り」「無駄」を定量的・定性的に評価し、改善すべき点の導出や、対応方針の提案までを行うコンサルティングサービスである。アンケート調査と担当者へのヒアリングからレポートを作成して報告する。
NRIセキュアテクノロジーズの「セキュリティ業務改革支援サービス」は、企業の情報セキュリティ業務で生じている「漏れ」「偏り」「無駄」を、定量的・定性的に評価するコンサルティングサービスである。改善すべき点を導出し、対応方針の提案までを行う。
図1:セキュリティ業務を評価した「可視化レポート」のイメージ(出典:NRIセキュアテクノロジーズ)拡大画像表示
同サービスではまず、現行のシステムやセキュリティ業務に関するアンケート調査と、担当者へのヒアリングを実施する。こうして収集した情報をもとに、NRIセキュアテクノロジーズのコンサルタントが「漏れ」「偏り」「無駄」の3つの観点で分析し、「可視化レポート」を作成して報告する(図1)。
- 「漏れ」:本来実施すべきセキュリティ業務に、抜け漏れが存在していないか
- 「偏り」:特定の領域やチームに業務が偏ることで、人材不足・余剰が生じていないか
- 「無駄」:セキュリティ業務を無駄なく、効率的に実施できているか
可視化レポートでは、「漏れ」によるセキュリティリスクや、「無駄」の削減で新たに得られる想定工数などを一覧化し、セキュリティ業務に携わる人数と業務量のバランスを定量的に評価する。これにより、人材が不足している領域を明らかにする。
業務の「偏り」に対しては、内製化すべき業務とアウトソースが望ましい業務とに分類する。このうえで、業界や業務の特性を考慮しつつ、目指すべきセキュリティ業務の全体像を提案する。オプションサービスとして、必要なスキルセットを整理して人材育成計画を作成することも可能である。
同サービスの特徴は、定量・定性評価を実施すること。セキュリティ業務の想定工数を試算し、現在の工数が想定を超過していないかを定量的に評価する。さらに、担当者のセキュリティに関する業務経験や資格情報を参考に、効率的かつ効果的に業務を実施できているかも分析する。
各種ガイドラインに照らして不足しているセキュリティ業務を明らかにすることも特徴である。同サービスで使うアンケートは、「NICE Cybersecurity Workforce Framework」(SP800-181)や「SecBok」(情報セキュリティ知識項目)など、国内外の情報セキュリティに関するガイドラインやフレームワークを踏まえて独自に開発したという。
