支援士だから支援しか出来ないって、何をどう勘違いしてるのかわからんが、
手が動かせない、セキュリティ担当として動けないという訳ではないぞ。

受けたらわかってるだろうけど、
セキュリティを担保するのは企業なりなんなりの役割であって、それを支援するんだけど。
リスクの転嫁や受容を含めた管理の責任の主体は企業の経営陣であって、セキュリティ担当者ではないでしょ。

要は責任の主体があるなら、権限の主体はそこに伴ってるべきなんだから、あくまで情報処理の安全確保は企業に対しての役割で、それに対して支援が行えるんじゃん?
自社に対して自社の情報処理の安全確保支援として、担当者になって手を動かせば良いと思うが。

支援って言葉をなんか曲解してないか?
チアリーダーじゃねえぞ?