RSA、セキュリティコンサル事業を開始－戦略策定から運用支援まで

代表取締役社長の山野修氏

　RSAセキュリティ株式会社（以下、RSA）は11月11日、企業の情報セキュリティを包括的に支援するコンサルサービス「RSAプロフェッショナルサービス」を開始した。同日付けで専門部署「プロフェッショナルサービス本部」を設立、シマンテックなどで長年セキュリティやプロフェッショナルサービスに携わってきたラスカウスキー・テルミ氏を本部長に招き、サービス提供を開始した。

　RSAプロフェッショナルサービスは、企業のセキュリティ戦略の策定から法令順守を見据えたセキュリティ基盤の構築、実際の運用までを総合的に支援するもの。「セキュリティ戦略アドバイザー」として、顧客視点でCIO（最高情報責任者）/CSO（最高セキュリティ責任者）をサポートするという。

　代表取締役社長の山野修氏は、「これまでのセキュリティで主流だった対症療法的なポイントソリューションはもはや限界。昨今は、外部からの脅威だけでなく、内部犯行（うっかりミスも含む）が多発しており、予防的な対策だけでなく、発生後の対策も考えていかなければいけない」と、セキュリティを取り巻く状況について言及。新サービスはその状況に対応するためのものとした上で、「当社には25年以上、セキュリティの発展を支援してきた実績がある。認証、暗号、アクセス管理、イベント管理、情報漏えい対策など、豊富なソリューションで培った経験とナレッジに加え、オンライン犯罪対策で構築した大規模なデータベースを持っている。これまでは技術や製品にフォーカスされる企業だったが、顧客からコンサルも提供してほしいという要望を受けるようになったため、より上流からセキュリティを支援するに至った」と、このタイミングでRSAがコンサルを提供する理由を語った。

　新サービスでは企業セキュリティについて、1）ビジネスと同期の取れた戦略策定を行う「CSOアドバイザリー」、2）具体的なプログラム策定を行う「セキュリティコンサルティング」、3）対策基盤のプランニング・構築を行う「セキュリティ・アーキテクチャデザインと構築」、4）運用支援を行う「セキュリティオペレーション」の4種類のサービス基盤を定義。これらに基づいて、個別のサービスメニューを順次提供していく。

CSOアドバイザリーでは、戦略立案からセキュリティポリシー策定、最適化、効果測定などを支援。効果測定では、セキュリティが事業に与える効果の数値化なども行うという	セキュリティコンサルティングでは、アセスメント、機密情報の分類、セキュリティ委員会の設置・活動支援、ポリシートレーニングなどを支援。特に機密情報の分類はできていない顧客が意外と多いそうだ

アーキテクチャデザインと構築では、実装プランニングからソリューション設計・実装のほか、開発プロジェクト管理も行う。構築にあたってはベンダーニュートラルな提案を行うとのことで、多数の企業の技術をオーケストレーションさせるためのプロジェクト管理が重要なのだという	セキュリティオペレーションでは、運用の計画のほか、監視・インシデント対応のための常駐なども視野に入れる

プロフェッショナルサービス本部長のラスカウスキー・テルミ氏

　ラスカウスキー氏は、「単にコンサルを提供するだけでなく、より上位のアドバイザリーもメニューに用意した。コンサルは課題に対する答えを提示して終わりということが多いが、セキュリティは本来“人”と“プロセス”が前提となって“技術”が必要となるもの。事業戦略と同期していることが重要となるが、事業のことはお客さまにしか分からない。アドバイザリーでCSO戦略支援からポリシー策定、効果測定まで、お客さまと一緒になって考える。これが新サービスの特長だ」と説明した。

　最初の具体的なメニューとしては、「アドバンスト・セキュリティ・オペレーション構築支援サービス（以下、ASO構築支援サービス）」を同日よりスタート。企業の事業戦略に最適化されたセキュリティオペレーション機能を構築するという。

　具体的には、セキュリティ情報・イベント管理（SIEM）を実現する。SOC（Security Operation Center）などを思い浮かべると分かりやすいが、セキュリティオペレーションとは、いまどんなセキュリティ脅威が発生しているのかを監視し、予防やインシデント対応を行うものである。そのSIEMの仕組みを、顧客企業の状況に合わせて実現していく。

　まず、現行のセキュリティ運用の効果測定や分析を行い、課題を洗い出す。その結果に基づいて、適切なセキュリティ戦略を策定し、システム設計・実装へと落とし込んでいく。その後はオペレーション計画や実践トレーニング、あるいは監視・インシデント対応のアウトソースなども引き受けながら、企業の規模・状況に合わせた“自社内SOC”をつくりあげていく。4つのサービス基盤を横断的にかかわりながら実施していくのが特長だ。

　また、「セキュリティオペレーション戦略」というCSOアドバイザリーに該当する部分が、他社と比べた優位点になるという。ラスカウスキー氏によれば、「立案・評価のために、TCM（Target Capability Model）というセキュリティオペレーションに特化した能力成熟度モデルを採用しているのが特長。これは、セキュリティの成熟度を高めるノウハウをデータベース化する考え方で、米国ですでに多くの実績をあげている」という。

　今後もこうしたサービスを追加していく方針だ。山野氏は「今年に入って突発的なセキュリティ事故が多発しており、セキュリティを取り巻く状況は新たなステージに入っている。この時期に新サービス市場に参入できたのは、いいタイミングだった」と発言。プロフェッショナルサービス本部を新設した同社は、当初数名、2010年末には数十名の体制で事業に取り組んでいく。

　その上で「ただ、当社がいきなりプロフェッショナルサービスを提供しても、有事の際に、お客さまが直接当社に問い合わせることは少ないだろう。そこで現在、大手の監査法人と協業を進めている。監査法人は有事の際の窓口になっていることが多い。その中からセキュリティ関連のコンサルについては、当社が担当するという形で進めていく」と述べるとともに、「提案に際しては当社製品に依存せず、パートナーや他社製品を多く採り入れていくつもりだ」と、ベンダーニュートラル性を強調した。