NRIセキュアは7月21日、企業における情報セキュリティ業務で生じている、「漏れ」「偏り」「無駄」を定量的・定性的に評価し、改善すべき点の導出や対応方針の提案までを行う「セキュリティ業務改革支援サービス」を同日から提供開始したと発表した。

同サービスは、まず現行のシステムやセキュリティ業務に関するアンケート調査と担当者へのヒアリングを行い、収集した情報をもとに、NRIセキュアのコンサルタントが「漏れ」「偏り」「無駄」の3つの観点で分析し、3線モデルなどの考え方を活用した「可視化レポート」を用いて報告する。

3つの観点はそれぞれ「漏れ:本来実施すべきセキュリティ業務に、抜け漏れが存在していないか」「偏り:特定の領域やチームに業務が偏ることで、人材不足・余剰が生じていないか」「無駄:セキュリティ業務を無駄なく、効率的に実施できているか」という内容になっているという。

  • セキュリティ業務を評価した「可視化レポート」のイメージ

具体的には、「漏れ」によるセキュリティリスクや、「無駄」の削減で新たに得られる想定工数などを一覧化し、セキュリティ業務に携わる人数と業務量のバランスを定量的に評価することで、人材が不足している領域を明らかにする。

さらに、業務の「偏り」に対しては、内製化すべき業務とアウトソースが望ましい業務とに分類するとともに、同サービスを導入する企業の業界や業務特性を考慮しつつ、目指すべきセキュリティ業務の全体像を提案する。オプションサービスとして、セキュリティ業務を実施する上で必要なスキルセットを整理し、業務に従事する担当者の人材育成計画を作成することも可能になっている。

同サービスの特徴としては2点挙げられている。1つは、情報セキュリティ業務に精通したコンサルタントが、導入企業のセキュリティ業務に対して想定される工数を試算し、現在の工数がその想定を超過していないかを定量的に評価したり、担当者のセキュリティに関する業務経験や資格情報などを参考に、効率的かつ効果的に業務を実施できているかの分析を行ったりすることで「全体最適なセキュリティ業務改革に寄与できる」こと。

もう1つは、NICE Cybersecurity Workforce Framework(SP800-181)やSecBok(情報セキュリティ知識項目)など、国内外の情報セキュリティに関するガイドラインやフレームワーク、各業種固有のセキュリティ対策の最新状況を踏まえてNRIセキュアが独自に開発したアンケートを使用することで「不足しているセキュリティ業務を浮き彫りにできる」ことだ。