前回の記事で、セキュリティマネージャとして「ソフトスキル、コンピテンシ、性質」が重要と書きました。

「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。

「性質」とは、継続的に勉強できるか、素直さとしたたかさをうまく両立できるか、他部門と揉めた時の押し引きに強いか、何か成し遂げられなかった時にへこたれないか、いざという時に人前で指揮することが好きか、みたいな明確に定義できないメンタル面の部分が多いにあります。

上記のうち研修や書籍でハウツーが紹介されているテーマも多々ありますが、「他部門と揉めた時の押し引きに強いか」はあまり見たことないかもと思い、自分の経験と思いを分解してみました。

この記事は、ある意味では腹の黒いところを見せるような、読み手にとっては嫌悪感を持つ内容が含まれるかもしれません。

それでも、こういう情報を開示することで慣れない衝突で摩耗し精神的に病むセキュリティ担当を減らせればと思い、公開します。

• 前置き
• なぜ戦いが生まれるのか
• 勝敗とは何か
• パターン1．戦闘回避(95%)
  • 1. ルールを理解する
  • 2. 足りないルールを作る
  • 3. ルールを浸透させる
  • 4. 信頼関係を構築する
• パターン2. 正面衝突(4%)
  • 意識
  • 態度
• パターン3. 排除(1%未満)
• さいごに

前置き

• 今回はセキュリティ担当とIT部門の各システム担当間の衝突 という構図を前提に書きます。
• 前回同様、この手の話は組織の文化や思想によっては通用しない場合があります。
• できるだけ説教臭い成功譚にならないようにしますが、どうしても個人の経験に基づく内容なのでそう見えてしまったらスミマセン。

なぜ戦いが生まれるのか

無駄に哲学的な始まり方です。

そもそも、なぜセキュリティ担当がいるのでしょうか。

究極的には、全てのITシステムのオーナー・開発・運用部門（更には全ての従業員）がしっかりセキュリティ対策を考えられてインシデントレスポンスができるなら、こんな担当はいらないはずです。

でも現実はそうではありません。セキュリティの知識を持っている人は一握りだし、多くの人にとってはなるべく避けたい面倒ごとでしかありません。

だからこそ、この役割が必要で、気乗りしない人たちに向けてルールを作り、問題を発見したら是正を求めるのです。

そこに衝突が生じるのは仕方ないことだと思います。

ここでセキュリティ担当が戦えないとどうなるでしょうか。

「無理」「やりたくない」等の声に振り回されて推進すべきセキュリティ対策はいつまでも進みません。

組織のセキュリティは向上せず、セキュリティ担当の評価は下がり、事案が起きると責められる負のスパイラルに陥ります。

そうならないためにもセキュリティ担当は戦わねばならず、少なくとも負けてはならないのです。

勝敗とは何か

「負けてはならない」と書きましたが、勝ち負けとは何でしょうか。

本質的には勝ち負けという表現は適切ではなく「ビジネスにとって合理的な判断に至るかどうか」が全てです。

とはいえ、ちょっと抽象的です。

セキュリティ担当にとってビジネス観点を踏まえても譲れないものがあり戦う場合、以下が目指すべき「勝ち」の形だと思います。

• 相手が納得感を持ち、自分の足で改善の道を歩んでくれること
• セキュリティはやっぱり軽視できないな…と思ってもらえること
• 次はセキュリティ担当に相談しようと思ってもらえること

決して、何が何でもセキュリティ担当の言いなりにさせることではないです。そういう勝ちにこだわっても長期的にはマイナスでしかないです。

逆に「負け」とは、組織にとって最適でない方向に発言力や政治力で押し切られることだと思います。

許容できないリスクにも関わらず目を瞑るとか、本来の責任分担でない形で仕事を押し付けられるなどです。

戦った末、セキュリティ担当が間違っており相手の正しさを認める結果もあります。

言い合いという意味では敗北かもしれませんが、合理的な判断に至ったのであれば両者Win-Winと前向きに捉えて良いと思います。

ここから負けないための戦い方を3つのパターンに分解していきます。

併記しているパーセンテージは、セキュリティ担当がコミュニケーションにかける体力のうち何割くらいをそのパターンにかけるべきかを感覚的に表しています（もちろん組織によります）。

パターン1．戦闘回避(95%)

戦い方と言いながら、いきなり戦わない話です。

戦うことが目的ではないので「戦わずして勝つ」が理想だし、極力そう仕向けるべきです。

そのためにセキュリティ担当がすべき努力は、大きく4つあると思います。

1. ルールを理解する
2. 足りないルールを作る
3. ルールを浸透させる
4. 信頼関係を構築する

1. ルールを理解する

ルールは、戦わないための、あるいは戦わざるを得ない時に自分が踏ん張るための土台です。

細分化すると以下が挙げられます。

(1) セキュリティ担当に与えられた権限の理解

(2) 各関係者が負う役割と責任範囲の理解

(3) リスクマネジメントの考え方の理解

(4) 自組織のセキュリティ方針や要件の理解

要は、なぜ・誰が・何をせねばならないのか です。

何となくの理解ではなく、特に(1)(2)は各組織が定める業務基準や職務権限といった誰もが逆らいにくいソースを押さえると強力な武器になります。

2. 足りないルールを作る

１のような公式文書やルールが未整備の場合はどうするのでしょうか。

その場合はまだ戦いは早く、土台の整備が先決です。

例えば、セキュリティ戦略を立てたとして、それは経営層と合意して組織全体で取り組む位置づけになっているでしょうか。

セキュリティ要件を定めるだけでなく、それに沿わねばならないよう業務プロセスに組み込めているでしょうか。

インシデントレスポンスの際に、セキュリティ担当が各システム担当にログの提出やシステムの停止を指示できる権限を持っているでしょうか。

１や２が無いと単なる「お願い」になってしまい、無視されるか、戦ってもアッサリ負けて終わります。

そんな不毛な負け戦をする前に経営層と調整して土台を整える必要があります。

3. ルールを浸透させる

３はここまでに整えたルールの教育です。

システム担当者が自分が負う責任範囲や守るべきルールを事前に知っていたら、無用な戦いは避けられます。

4. 信頼関係を構築する

一般論として、良好な人間関係から争いは生まれにくいです。

日々大量の相談が寄せられても、前向きに、早く、丁寧に、分かりやすく対応する。

相手が真に困っている時には、権限や責任範囲を超えてお助けする。

セキュリティの管理や運用プロセスについて課題提起や指摘を頂いた場合は、しっかり受け止めて素早く改善する。

セキュリティ担当の要求事項は現場に負担をかけることばかりなので、少なくともセキュリティ担当が全力で支援する姿勢を日頃から見せないと心情的な理解を得られません。

また、宴席、タバコミュニケーション、どんな方法でも仲良くなっておくに越したことはないです。

この後のパターン２に入ってしまった場合でも、お互い相手を知っているのと知らないのではスタートラインが大違いです。

パターン2. 正面衝突(4%)

今回の主題です。

パターン１の活動がしっかりできていると、大半の戦いは生まれずに済み、衝突が生じても冷静な話し合いで解決できます。

それでも戦わねばならない時があります。

具体的には、相手との衝突においてセキュリティ担当が真摯な対応をしてもなお相手にも譲れない事情があり、それを力押しされた場合です。

「戦わずして勝つ」が最良ですが、こうなったら戦うしかありません。

ここでの要点を意識（自分の中）と態度（相手への示し方）の2点から掘り下げます。

意識

冷静な話し合いの段階は過ぎ（あるいはすっ飛ばして）、相手は苛立ちを露わに自分の考えをまくし立ててきます。話はあちらこちらに飛ぼうとします。

そんな中、あくまで冷静に以下の4つを守ります。

1. 相手が噛みつく真因を見極める
2. 自分が違和感を持つ根源を見失わない
3. 曖昧な情報をそのままにしない
4. オーバーキルな一言を付け足さない

今回は最重要の１を掘り下げます。

ここを見誤ると、永遠にかみ合わない論議になります。

噛みつく理由は様々ですが、例として以下を挙げてみました。

• セキュリティ担当からの要求事項に納得がいかない

• 要求事項の必要性は分かっているがダメ元で突撃している

• 何も分かっておらず、ただ強気なだけ

納得がいかないケースは少し注意が必要です。

というのも、ここまでで既にセキュリティ担当はパターン１の努力をしているはずであり、それでも相手は納得していない状況なのです。その理由を掘り下げる必要があります。

理由は様々ですが、「なんで自分がやらなきゃダメなんだ」的な役割面の理由であれば、パターン１の（１）（２）に挙げた役割分担や責任論の目線あわせで話が終わる場合があります。

あるいは、セキュリティ担当の要求に対して「やらねばならない総論的な理由は分かるけど、技術的に考えて本当に必要か納得感がない」というケースもあります。そんなことしなくてもXXで守れてるはずじゃん。みたいな考えです。

ここでパターン１の（１）～（４）を説明してもあまり効果はありません。

この場合は、技術的にリスクがあることを納得してもらう必要があるため、相手が問題ないと主張する対策に対してどんな迂回方法があるのか、攻撃者目線での手法や他社での攻撃事例を元に説明する必要があります。

前回の記事の「1. ITとセキュリティの技術に関するスキル」が必要になる場面です。（私も修行中）

どちらのケースにしても「Why」「What」の理解が重要であり、そこが腹落ちすると一気にトーンダウンすることが多いです。

ダメ元突撃ケースは、一見「何言ってんだこいつ」と感じがちですが、そこにも突撃してくる理由があります。

繁忙度が高いチームメンバをどうにかして守りたい管理職とか、背後に強烈な反対意見を持つ権力者によって板挟みになっているとかです。

その人たちはやむにやまれぬ事情から突撃してきているので、「Why」「What」の説明だけでは合意できません。

こちらの主張の正当性や必要性はしっかりと理解してもらいつつ、最後は負担の少ない解決策や妥協点、逃げ道を示せると、一気に感謝＆協調モードに切り替わります。

多分、本来は責任感あるいい人達なので、戦いながらも寄り添う考えが必要です。

妥協点や逃げ道とは、本来は相手がやるべきこと（例えば予算の確保）であっても一部はセキュリティ担当が引き受けるとか、本来の期限を超過することについて上位層への説明を一緒に行うといったものです。

言い負かしたら後ヨロシクではなく、最後は味方として一緒に進める形にすることが未来の信頼に繋がると思います。

経験上、こういうやりとりを経た相手は、雨降って地固まる的に今まで以上に頼ってくれるようになることが多いです。

最後の何も分かっていない強気ケースは、視野の狭い若手が空回り気味に突っ込んでくることが多く、見方を変えれば自分の目先の職務を果たすために必死なだけだったりします。

こうした相手には基礎的な部分からしっかり説明すると、途中から熱心に学び始めることが多いです。

それではダメで永遠に噛みついてくる場合（これは若手ではなく中堅以上管理職未満に多いのですが）は、後述のパターン３に進みます。

態度

態度や話し方にもポイントがあります。

基本的には言い淀まずに毅然と主張する必要があります。

また、ここで言う戦いは30分から長くて60分の短期決戦ですが、その短い戦いの中にもフェーズがあることを意識して態度をコントロールできると理想です。

ここでは便宜的に「着火フェーズ」「最高潮フェーズ」「鎮火気味フェーズ」と呼びます。

「着火フェーズ」は相手が納得のいっていない所、不満に思っているところを述べている段階です。

どのフェーズでも相手の主張を遮らずに傾聴する姿勢が基本ですが、特にこのフェーズで話を遮るのは何も良いことがないので避けるべきです。

とりあえず黙って話を聞き、噛みつきの真因を探ります。

「最高潮フェーズ」は双方が火花を散らして主張し合っている段階です。

自分の頭は冷静に保つ必要がありますが、相手にあわせて口調の厳しさを調整し、場合によっては敢えて怒った口調を用いる場合もあります。

「鎮火気味フェーズ」は相手が「ﾑﾑ？自分の主張に穴があるかも…」 と揺らぎ始めた段階です。

これはタイミングの見極めが肝心で、ここで自分だけ最高潮フェーズのノリで高圧的に攻め続けるとオーバーキルになり、相手が振り上げた拳を下す場所を失います。喧嘩の後には草っぱらに寝転がって語らう時間が必要なのです（昭和）。

双方を衝突状態から協調状態に切り替えるために、トーンダウンして相手の状況に心情的な理解を示したり、妥協案や逃げ道を提示して落としどころを探ったりします。相手によっては冗談を加えながら和やかに話します。

セキュリティ担当側が間違っていた場合はどうするのでしょうか。

その場合は、変に意地を張って負けてませんよアピールをするよりも、相手の主張の正当性を理解したことをはっきり伝えるだけです。

特に謝罪することもなく、むしろ理解させてくれてありがとう！的に前向きに終わればよいと思います。

色々書きましたが、別に私も「ﾌﾑﾌﾑ、今は着火フェーズですね(ﾆﾔﾘ)」みたいに明確にフェーズだのパターンだの考えながら戦っているわけではありません。実際にはもっと感覚的にその場に応じて動いています。分解するとこんな感じというだけです。

パターン3. 排除(1%未満)

パターン２を経てもなお、合理的な理由なく噛みついてくる輩もいます。

ここに当てはまるのは、偏った思想の中堅～ベテランな気がします。

この手の人は、ディスカッションしようが何しようが根本的にやる気がないので延々と理屈にならない理屈を述べ続けますし、都合が悪くなると逃げます。

仮にディスカッションの場で一旦の合意に持ち込んでも、やらされ仕事として最小限しかやろうとしないし、何かあるとすぐ他人に押し付けようとします。徹底的に後ろ向きです（でもプライドは高い）。

このタイプは向き合うだけ時間の無駄なので、「負け」にならないように視界から排除します。

つまり、当人との戦いに時間を割かずにその上位者との戦いに持ち込みます。

もちろん、最初から無視するのは無礼ですから、パターン２と同じくこちらの主張を丁寧に伝えます。

そしてそれをメールなど証拠に残します。（彼らは言った言わない論議に持ち込むのも大好きです）

その上で、こりゃダメだと思ったら見切りをつけてその人の上位者と会話します。

この際、上位者が選手交代とばかりに戦い始めることも珍しくないのですが、その場合はパターン２で落ち着くことが通常です。

上位者に納得してもらったら、そのタスクは「上位者の責任として」最後までやってもらいます。

そもそも1%未満の話なのでサンプル数が多いわけではありませんが、ここまで至った相手は、相手なりに「面倒だった」印象を持つためか、次からむやみに戦いを挑んでこなくなることが多いように思います。

さいごに

今回書いたのはまだまだ一部であって、更に炎上した場合の対処方法、１：１ではなく三つ巴の戦いの抑え方、どうしても力関係的に負けた時の最後の護身術など色々あります。

でも、これ以上書くと嫌われそうなので一旦やめときます（もう手遅れか）。

冒頭に「病むセキュリティ担当を減らせれば」と書きましたが、こんな振る舞いを最初から出来る人はいません。

私も沢山戦って、悔しい思いをして、時間をかけて身につけてきたわけですし、これが正しいのかどうかも分かりません。

ですので、若手が戦いの場に巻き込まれたら、できるだけリーダーや管理職の方は「成長のため」とか言って後ろで腕を組んでないで一緒に（というか前に出て）戦ってあげてほしいなと思います。

---

これまでの記事一覧はこちら