小粋なセキュリティコンサルタントの「今日もごくろうさま」

ずばり、この不景気に情報セキュリティにお金を使う会社はありません。

一昨年までは

「このサーバの脆弱点を教えて」

「プライバシーマーク取得したいんだけど」

とかはありました。

昨年は

「この部分だけの脆弱点と改善策を教えて」

「マークはいらないから、改善点だけ教えて」

となりました。

規模が小さくなってきたんですね。

で、今は

「とりあえず様子見」

「特に事件起こしてないし」

となっています。

情報セキュリティっていうのは、リスクマネジメントですよね。

リスクっていうのは、今見えているものではなく、今後発生する不確実性のこと。

だから、そんなものに１円も使えないんです。

それでもリスクコンサル会社は、あーでもない、こーでもないと適当な理由を付けて案件を取ってきます。

これって間違っています。

その会社の利益向上のためにコンサルするのに、最初からダメダメダメ攻撃。

脆弱点だけを言って不安を煽り、たいした内容でもないのに数百万円。

こういうことやってるコンサル会社ってすごい多いです。

今後は、社内でセキュリティ管理をするようになってきます。

外部の意見よりも、幅広く知識と経験を積んでいる元コンサル人を雇ったほうがずっと安上がりだからです。

つまり、情報セキュリティコンサルタント（J-SOX含む）は消滅すると思います。

特にJ-SOX（IT含む）は消滅確定ですね。

※J-SOXはあれだけ流行ったんですけど、結局は大会社に適用するものですからね。

潰しが効かないんですよ。

私も同じ業界にいる者として寂しい限りですが、本当によく考えると先がないのが本音です。

コンサルのスキルを生かして次のステップにいくしかないのですが、なかなか見つかりません。

うーん困ったね

セキュリティコンサルしててクレームになったことってありますか？

ほとんどの人は無いと思いますが・・。

クレームにはいろいろあります。

・知見が無い

・報告書の内容が要求したものになっていない

・教育資料が当たり前のことしか書いていない

・態度が悪い、上から目線

・そもそもスキルが無い

などなど。

思うんです。

１度でもクレームを受けたコンサルはコンサルじゃないです。

コンサルを辞めるべきです。

コンサルっていうのは頭脳を売っていく商売です。

自分自身を商品として売っていくわけです。

もし食べ物を買って食べてみたら、実は腐っていた。

どうします？

返金要求するのは当然として、その製造元からもう一度購入する気になりますか？

私はなりません。

とある会社は社名の冠に有名な親会社の社名が入っています。

だからそれを信じちゃうんですよ。

で、蓋を開けてみたら素人集団だった。

それでも我慢して使ってみたんだけど、どうにもこうにも使い物にならない。

だからクレーム。

お客様も好きでクレーム言ってるんじゃないんです。

我慢と改善に期待しているんですが、それでもやっぱり駄目。

だからクレームを言うわけで、そこに至るまでには相当な我慢をしています。

なのでクレームを受けたら、もう終わりなんですよ。

でもそんなこと気にしない会社、図太いコンサルが多いこと。

こういう会社とコンサルって、本当にコンサルを商材としている会社なんでしょうか？

上司は何をしているんでしょうか？

コンサルのコの字も理解していない証拠ですよね。

・コンサルになりたい人は、このことをよく理解して覚悟してください。

・コンサルを依頼する会社の人は、こういう会社を見分ける目を持ってください。

・コンサルでクレームを受けたことがある人、すぐ辞めてください。あなたはコンサルに向いていません。

厳しい言い方かもしれませんけど、数百万円の買い物ですから当たり前です。

例の転職活動中の友人から連絡が来た。

約1ヶ月前にハロワから応募した会社の不採用通知だそうな。

合否判断結果は、遅くても７日以内に返答するという約束だったそうです。

※友人は毎日ドキドキしながら待ってたんだよね。

早速見に行ってみると、不採用通知（通称「お祈り」）の日付が１／１５。で、郵送で届いたのが本日。

ってーことはポストに入れて配達されるまで１週間かかったことになる。

あやしい・・

で、郵便局に問い合わせたところ、どんなに遅くでも２日で配達しているとのこと。

これを受けて、その会社に問い合わせさせたｗ

「まだ合否通知が来ていないんですけど・・・」

「えっ、調べます」「お待ちください」

「お待たせしました、昨日郵送しております」

「昨日ですね、解りました」

「待ってます」

はい、嘘つき会社確定。

お祈り通知の日付を改竄したんですね。

改竄でもないか。。。

つまりハロワ経由ということもあり、あまり長い期間連絡しないのはさすがにまずいですよね。

ハロワにクレーム出されたら困りますよね。

だから、１５日という日付で作成しておいたということ。

うーん、

どうも最近の買い手市場に便乗して、こういう会社のアフォな対応が目立ってますね。

ブラックリスト決定です！。

情報セキュリティコンサルは、企業のセキュリティを改善していくのが仕事です。

そのアプローチは

１．社外に出向いて年間で数十社のコンサルを実施する

２．特定の会社に出向常駐してコンサルする

の２つがあります。

問題なのは、後者です。

ある特定の会社に出向して常駐しているコンサルは、その会社のセキュリティには強いでしょうけど、他社の事例等のノウハウが無いので、まったく応用が利きません。

つまりは、その出向先の従業員の１人として「社内情報セキュリティ業務」を行っているだけなので、ひとたび違う会社のコンサルをおこなおうとしても何もできないのが現状です。

以前、「私は情報セキュリティコンサルを３年やってます」とかいう人がいました。営業と一緒に客先に連れて行っても何もしゃべれないし、提案書も作成できないし、知見もないという状況に見舞われたので、３年間のうち何社経験したんですか？と聞くと「ある会社に出向してまして内部監査支援や施策支援してました」とのこと。

たしかに３年やってたようですが、社外のコンサルに行く人と比べると、それは１社の経験であるので全く使い者にならなかったことがあります。

もし、情報セキュリティコンサルを採用する会社があれば、是非とも「社外コンサル経験」を重視したほうがいいと思いますね。特定の会社に常駐して業務しているコンサルのスキルは、社外でコンサルしている人が余裕でできる内容ですので。

もし今、特定の会社に常駐しているコンサルがいれば、可能であれば社外コンサルができる環境に異動したほうがいいと思います。

２年以上常駐しているコンサルは要注意です。

外に行ってナンボなんですよ、コンサルってのは。

ご無沙汰です。

実は今、知人の転職活動のお手伝いをしています。

親身になりすぎるのが私の癖ですが、今回の活動でいろいろ感じたことがあります。

まず今の転職状況ですが、最悪ですね。最悪な部分は案件自体が無いということです。

また、応募条件も異常です。

●学歴条件

・一流大学卒業

・４年制大学をストレートで卒業

・４年制大学を優秀な成績で卒業

●年齢制限

・３５歳まで→実態は２０歳台以下

・年齢制限無し→実態は３３歳以下

※これは実際に応募した会社に別経由で確認したら、「年齢制限は設けてないことにしているけど書類に目を通すのは３５歳以下だけ」との回答。

●転職回数

２回まで。つまり経験会社３社まで

とまぁ、主に学歴と年齢が全てです。これ、事実なんですね。

どんなに経験があっても年齢と学歴で抽出されます。

なので、ウソの年齢に併せて職務経歴のスタート時期だけを変えて、学歴を一流大学に変えてみたらオファーがくることくることｗ。知人を落とした会社から速攻でオファーが来た時は笑いまくりました。

つまり内容なんてみてないんですねぇ。馬鹿ですねぇ。

あと「あなたが過去に作成した計画書を見せろ」　や　「今後のサービス案を持ってきて」とかいう会社は駄目です。単にその会社にとって必要なアイデアが欲しいだけで採用する気なんて全く無しですから。

なので、面接前や面接時にこういうことを言われたら、即辞退することをお勧めします。無駄にあなたのスキルを出すことないでしょ。

転職エージェント会社の対応も悪くなっています。

派遣系の転職支援会社は、大学卒、転職回数２会以下、３５歳以下、その経験５年以上の全ての条件を満たしていないと登録すらできません。また、実際のコンサルタントも社会人経験数年の素人ですから、あなたの仕事のことを伝えても何一つわかってもらえません。

現在は書類通過率２５％、２次面接通過率２０％ですから、ほんと転職できるのは奇跡にちかいですね。

応募しても返事なんてこないしね。

年齢だの学歴だと言って会社がいかに応募者を愚弄しているかが解りますよね。

世の中には優秀な人はいっぱいいて、事業縮小や倒産などで否応なしに転職スル人が多いのに、やれ無職期間が長いだの、回数が多いだのと文句言って選別してさ。

ほんと嫌な時代です。

だから、私はこういう理不尽な会社や転職支援会社を全て記録し分析してみました。その際に判明したこと。

・嘘の募集要項を書いている

・そもそも採用枠が無いのに面接している

・一流大学卒とかちょっと差別的なことを書いている

・面接時に「プラン持ってきて」と言って、それを自社に利用している会社

・登録条件が異常な転職支援会社

・お客様である会社と癒着している転職支援会社

・応募してないのに勝手に応募してしまう転職支援会社

・案件が無いのに、あたかもあるようにして対応人数を増やしている個人転職エージェント

・何も解らない転職支援コンサルが所属している会社

あーもう！

ほんと馬鹿な会社ばっかりだ。

まだまだ増えそうですね。

最近いろんな人と話をする機会が多くありました。若い人から社長まで。

無職の人とかもふくめてね。

で、今回は会社についてですね。

就職できない人や面接にいったけど幻滅したっていう話をまとめてみました。

●社長紹介の画像

まず会社のホームページの社長のコメントページです。ポイントはコメント内容ではなく社長の写真があったときのポーズです。

腕を組んでいる場合の社長は絶対駄目！

こういう人は間違いなくキャリア思考です。まぁ写真からも想像できますよね。

何の経験もなくエリート、つまり学問は高いけどその他の能力はまるで無しって人です。

良い大学に入って良い会社にいて良いポジションにしかいない人なんです。

エリートでいいじゃんって思うでしょうけど、こういう場合周りが相当努力している筈です。

本人はそのことに全然気がつかないので、「俺はできるんだ」と勘違いしています。

そんな中で社長になるので、いつまで経っても自分の馬鹿さ加減に気がつかないんです。しかもキャリアだけは一丁前なのでプライドが高い。常に上から目線だったので社長になっても馬鹿にされたくない、他社の社長と対等に渡り歩きたいという意識の現れが「腕組み」となります。

私の周りにも４人ほど「腕組み社長」がいますが、みんな糞です。

取り巻きと女性にだけ媚び売って、ポイント稼いでいますね。

事業計画もできないし従業員に対しても納得させるだけの説明ができない。

でね、不思議なことにこういう社長って結構連鎖しているんですよ。

腕組み社長を調べると他の腕組み社長に行き着いたりします。

●自身のキャリアを記載している社長

どこそこの協会の理事やってた、この会社の取締役してます、こういうことを日本で初めてやったよ。

など、ごちゃごちゃと記載している社長や会社は駄目です。

自分に自信が無いのでそういう情報を付加して大きく見せるんです。

どっかにいますよね、鳥で。体の回りにいろんなものを付けて大きくみせる鳥。あれと同じです。

本当に実力がある人はそんなことしなくても、実績を出すばかりか周りがちゃんと理解してついてきます。

会社のホームページなのに自分（社長）のアピールに注力してしまっている会社は間違いなくワンマンです。

気を付けたほうがいいです。

●面接時におかしなことをする会社

面接時の情報って間違いなくセンシティブ情報ですから、個人情報の取扱についての説明は必要です。

セキュリティ専門会社で個人情報保護の説明をしない会社がありますね。

名前は出せませんけどねｗ。

まだあるんですね、この会社。ほんと業界のためにも早く無くした方がいいです。

で、この会社に面接にいった人から聞いたのですけど、面接時にタイムマネジメントについてのテストをさせたらしいです。

「はい、３０秒与えますので自分の短所について説明してください」って。

面接時にこういうことをしてくる会社ってのは、間違いなく社内でタイムマネジメントが行われていない会社です。

マネジメントされていないんですから当然残業も多いし、工数オーバーなんて当たり前でしょうね。

また、上司は逆に残業を認めません。「残業が多いのはお前の効率が悪い」とか言うんでしょうねｗ。

あぁ、目に浮かびます。

・社長を中心とした取り巻きがいて、

・サークルのように会社を経営し、

・サークル外の人間は無視。

・サークルに入りたい人もいて媚び売ってる姿が・・。

最近はなかなか転職できないようですが、焦ってこういうブラック会社に入社しないようにしましょうね。

「いやー、しかしいろんな会社がセキュリティ事件事故を起こしてくれるから、商売繁盛だよ」

これ、有名なセキュリティコンサル会社の人が言った言葉です。

どう思います？

たしかに本音はそうなんでしょうけど、そういうことって口に出して言っちゃいけないですよね。

さらにこの会社は選考の際に健康状況とか綿密に確認しています。そもそも健康情報はセンシティブ情報だし、その結果を採用可否判断にしてはいけないんですけどね。

堂々としているところが、また腹立たしいですね。

ほんとにこの会社はいろいろとやってくれますｗ。

ポロポロと情報が漏れるし、お客様を馬鹿にした態度もすごいものです。

一体、なにを保護している会社なんですかね。

同じ業界にいる者として恥ずかしいやらむかつくやら。

なので、転職などで面接する機会があった場合、健康情報について記載するようなことがあれば、それは完全なブラック会社ですので気をつけてね。

良いセキュリティ会社の見分け方Part2です。

今回は教育の観点から善し悪しを判断する方法です。

有償無償問わず、セキュリティに関するセミナーに１度でも参加したことありますよね？

実は、そこから良いコンサル会社、悪いコンサル会社の判断ができます。

駄目なコンサル会社

・セミナーが始まって２分経過しても資料のページがめくれない

・最初に会社紹介してしまう

・資料の内容が、どっかで見たような絵柄を使っている

・喋りが下手（ラリラリ語、えー、という接続語を多用しているなど）

上のうち、１つでも当てはまればそのセミナーには参加しなくていいです。まぁ折角だから資料だけでも貰って「ちょっと急用が」といって退席しちゃいましょう。

特に多いのが、２分経っても１ページもめくれない場合と、似たような絵柄（資料）ですね。

参加メンバーは全てを聞きたいのではなくポイントポイントで聞きたいし、セミナー開始前段階で資料を一通り目を通しているので、早く自分の興味があるところだけど知りたいんですよ。

なのに、ずーっと話をしてしまって資料がめくれないと、「あー、このペースだと自分の知りたいところまで長いなぁ」って思うんですよ。たった最初の数分で。

資料に記載されている内容をそのままなぞって喋っているだけの場合もありますよね。

こういう場合、講師が未熟の場合が多いんです。

セミナーなのに講師慣れしていない人を講師として講義しちゃうんです。

参加者を馬鹿にしてますよね。

とにかく資料をなぞってしまい、余談話も何もなし。つまり知見が一言も無いんですよ。

速攻で眠くなりますね。

あと、資料ですが、これはね結構問題なんです。

ある一部の優良コンサルタントさんが作成した資料が元になっている場合が多いです。

出所はそんなに多くないんですよ。

セキュリティ会社のWEBサイトに教育サービスがあったとしたら、その内容を確認してみてください。

他のコンサルが作成した内容そのままってことがあります。

コンサルがZEROから作成した資料には著作（知的財産権）が生まれています。

なので勝手に使うと違法なんですよ。

なのに、バンバンコピーして使用しているセキュリティ会社、私しってます。

ほんとパクリばっかりで笑っちゃいました。

ずーっと悪いこと書いたので、ここで良い情報を・・・・・

私が知っているスーパーコンサルは３名います。

・１名は、白い犬でおなじみの会社名が冠に付いているセキュリティ会社のお偉いさん

・１名は、総合商社系の冠が付いたセキュリティコンサルの人（最近辞めちゃった)

・１名は、ISP系の技術会社のお偉いさん（今はたぶん居ないと思う）

この３名はほんとすごかった。同業者なのに初めて講義を聴いた時は鳥肌たったもんね。

人の心を掴むのがうまいっていうのか、喋っている内容、資料の内容、ペース、声質、全部最高。

面白くて面白くて、それでいて的を得ていて本質を見抜いていた。

あっという間の２時間だったことを思い出します。

名前を出せなくてほんと残念なくらいです。

こういう人がいっぱい居れば、この業界も少しは変わると思うんですけどね。

なにせ今はクリエイティブなコンサルが居ないので、どこもかしこも同じような内容（パクリ）で困りますね。

今回は個人情報保護法第２条第１項です。

法第２条は、ちょっと長いですよね。
いかにも「法律」って感じの内容ですが、表記に慣れればたいしたことないです。
個人情報保護法を理解する上での定義みたいなものが書かれています。

１　「個人情報」
まずは、現在生きている人に関する情報で、
その情報に含まれる氏名、生年月日その他の記述等により「特定の個人を識別」することができるものを個人情報といいます。さらに、その情報単独では「特定の個人を識別」できないけど、他の情報と容易に照合することで特定の個人を識別することができる情報も個人情報となります。

ちょっと難しいですか？
条件が書いてありますよね。

まずは、
●生きている人の情報で、特定の個人を識別できる情報は個人情報。
さらに、社員コードなどの番号だけであっても、Excelに社員コードと名前がセットになっているデータがあって、それが容易に参照出来る場合は、社員コードも個人情報になります。

●「個人　太郎」さん(メジャーな名前と仮定して)がいたとします。
「個人太郎」という人物は、それだけでは個人情報になり得ません。
よっぽど珍しい名前で無い場合は、全国に何人もいますし特定できませんよね。

○○県○○市の個人太郎さん

となると、特定できます。こうなると個人情報になります。

気になるのが「生存している」と「容易に照合」だと思います。

生きている人の情報ですが、その記載の通りです。
しかし、死亡した人の情報であっても、生きている人を特定するための情報となる場合は、その生きている人の個人情報となります。

つまり、死亡している「Ａさんの個人情報」は、普通なら個人情報ではありません。
しかし、生きているＡさんの弟である「Ｂさんを特定する情報」であれば、その情報はＢさんの個人情報になるのです。

えっ？？どういうこと？
そうです。死亡しているかどうかは、これにより事実上関係ないんです。
生きていないと、後で出てくる「請求権」がないからというのも理由ですが、基本的には死亡している人の個人情報も保護する必要があります。

尚、死亡している歴史上の人物の場合は、個人情報になりません。
つまり、坂本龍馬のいろいろな情報は、全て個人情報ではありません。

それと「容易に照合」ですが、他部署のデータベースに社員CDと名前のセットがあって、そこにアクセスするにはパスワードを入れないと参照出来ない場合は「容易」とはいえません。

このように法第二条第一項は結構大事ですが、曖昧な表現が多くあります。
これが「個人情報」を難解にしている理由でもあります。

個人情報という名前から「氏名」や「生年月日」を思い浮かべますが、実際は単体で個人情報になり得るものなんてないのです。
逆に、他の情報とセットになっていない情報ってありますか？
そうです、ないんです。
会社の場合は「部署名と氏名」、「会社名と氏名」というように、必ずセットになってますよね。
会社じゃない場合でも「住所と名前」「名前と電話番号」などのセットになっています。

だから、会社で使用する「●●申請書」とか「勤怠連絡メール」なんかも個人情報になりますよ。
これね、半分くらいの企業は個人情報扱いにしていませんね。駄目です。
個人情報ですから管理台帳にアップしてくださいね。

うーん「俺の会社は●●申請書を管理台帳に記載しなかったけどＰマーク認定されたよ」という企業もあると思います。それは審査員のスキルがなかっただけですね。ラッキーですね。

最近の審査員は、会社で発生する様々な申請書や報告書など、さらに他社フォーマットのものでも個人情報として扱うように指摘します。

よくWEBとかに名前が挙がるコンサルっていますよね？

どっかの協会に入っているとか、セキュリティなんとかっていう大会に参加してるとか、ググると名前がバンバン挙がるとか・・・・

こういう輩、まず経験ないです。

コンサルできないです。

では、なんで有名になるの？

そうです、とにかく口がうまいんです。

世あたり上手ってこと。

そういう人はたいてい部下に仕事をさせているか、コンサルをアウトソースしています。自分では一切何もしていません、っていうかできません。

そうですよ。

実は皆さんの会社に来ているコンサルって、その会社の人とじゃない可能性があります。

これ、最近実は多いです。

名刺もちゃんと作っていますからね。

某セキュリティ会社で課長の人がいます。

この人、そこそこ他社から名前が挙がるんです。

でも実態は部下に全てやらせて横から口を挟むだけなんですよ。

スキルがあるけど経験が無いっていう最悪コンサルの典型。

お客様との対応だけをその人がやっているので、お客様が勘違いしちゃってるんですよね。

で、１度、それがお客様にばれたことがあってね。クレーム。

これはウケた。

そういう人ってプライドも高いので必死になって回答してるけど、全部的外れｗ

しかも、自分が一番だと思いこんでいるのでクレームであることも理解できないわけ。

あれよこれよと「自分が悪くない」ことを一生懸命に細かいところまで探して、最終的に他人に責任押しつけましたね。

そして用意周到に上層部に取り入ってました。

「おい、自分の会社の人間の責任にしてるよ」って思って、思わずふいたことがあります。

ほんとね、気をつけてくださいね。

有名な人が「できるコンサル」とは限りません。

本当にできるコンサルは、お客様を理解して回答を選んでいるし、無理難題を言ったりしていません。

使い回しのコンテンツを使わずに相手のレベルに併せてコンサルしてます。

そういうコンサル、私は何名か知っています。

見習いたいですよ。