自社独自のセキュリティ評価基準の策定・導入が中心
専門領域:情報セキュリティ
経歴
システム開発会社にて、エンジニアとしてサーバーの保守・運用等の業務に従事した後、当社にジョイン。エンジニアとしての経験を活かし、技術的観点をふまえた企業のセキュリティ評価や戦略策定に強みを持つ。
- 主な取り扱い分野
- セキュリティリスクアセスメント
- 案件例
- 大手Web系企業 グループ統括セキュリティ改善支援
企業のセキュリティを正しく評価できるリスク評価システムを構築
ーインターネットプライバシー研究所に入社してから、主にどのような仕事をしてきましたか。具体的な事例も含めて教えて下さい。
"プライバシーマーク"、"ISMS(ISO 27001)"の認証取得支援にも携わりましたが、クレジットカード情報保護の業界基準である"PCI DSS"準拠、ISMSのアドオン認証であるISO27017の認証取得支援にも携わっています。また、認証取得・維持から発展して情報セキュリティリスク評価も、ソリューションとして整備・確立し、これまでに複数社ご支援させていただいています。
ーインターネットプライバシー研究所について、会社の雰囲気や提供しているサービスの特徴・強みなどがあれば教えて下さい。
非常にさっぱりとした雰囲気で、個々人の裁量で案件を回していくことができると考えています。しかし、単に個別の力量での支援になってしまうということはありません。従業員がそれぞれ得意分野を持っており、質問、相談なども頻繁に行い各々の知識や経験を補いながら仕事を行うことができています。
より持続可能なセキュリティ対策を
ー業務をおこなう中で、最も大事に考えているポイントやこれだけは外せないという考えがあれば教えて下さい。
コンサルタントは相手に理解していただくことが仕事であるため、いかに相手にわかりやすい説明ができるかといことはしばしば頭を悩ませます。一方的に話、自己満足にならないよう心がけています。実際あとから自分で見返してみて何のことかわからないような説明や資料とならないように心がけ、自分の説明や資料を客観的にチェックする視点が必要であると思います。
ー現在多くの企業がセキュリティ強化に取り組んでいますが、企業のセキュリティ・情報管理への対策について、
重要なポイントを教えて下さい。
ガチガチなセキュリティよりも柔軟なセキュリティのほうが持続します。して良いことは開放するが、要所要所でNGとする部分を定める、というように会社の情報セキュリティの方向性を示し、対策することが重要と言えます。
OTHER CONSULTANT
その他のコンサルタントインタビュー
専門領域:情報セキュリティ
