前回の記事で、セキュリティマネージャとして「ソフトスキル、コンピテンシ、性質」が重要と書きました。

「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。

「性質」とは、継続的に勉強できるか、素直さとしたたかさをうまく両立できるか、他部門と揉めた時の押し引きに強いか、何か成し遂げられなかった時にへこたれないか、いざという時に人前で指揮することが好きか、みたいな明確に定義できないメンタル面の部分が多いにあります。

上記のうち研修や書籍でハウツーが紹介されているテーマも多々ありますが、「他部門と揉めた時の押し引きに強いか」はあまり見たことないかもと思い、自分の経験と思いを分解してみました。

この記事は、ある意味では腹の黒いところを見せるような、読み手にとっては嫌悪感を持つ内容かもしれません。

それでも、こういう情報を開示することで慣れない衝突で摩耗し精神的に病むセキュリティ担当を減らせればと思い、公開します。

• 前置き
• なぜ戦いが生まれるのか
• 勝敗とは何か
• パターン1．戦闘回避(95%)
  • 1. ルールを理解する
  • 2. 足りないルールを作る
  • 3. ルールを浸透させる
  • 4. 信頼関係を構築する
• パターン2. 正面衝突(4%)
• パターン3. 排除(1%未満)
• さいごに

前置き

• 今回はセキュリティ担当とIT部門の各システム担当間の衝突 という構図を前提に書きます。
• 前回同様、この手の話は組織の文化や思想によっては通用しない場合があります。
• できるだけ説教臭い成功譚にならないようにしますが、どうしても個人の経験に基づく内容なのでそう見えてしまったらスミマセン。

なぜ戦いが生まれるのか

無駄に哲学的な始まり方です。

そもそも、なぜセキュリティ担当がいるのでしょうか。

究極的には、全てのITシステムのオーナー・開発・運用部門（更には全ての従業員）がしっかりセキュリティ対策を考えられてインシデントレスポンスができるなら、こんな担当はいらないはずです。

でも現実はそうではありません。セキュリティの知識を持っている人は一握りだし、多くの人にとってはなるべく避けたい面倒ごとでしかありません。

だからこそ、この役割が必要で、気乗りしない人たちに向けてルールを作り、問題を発見したら是正を求めるのです。

そこに衝突が生じるのは仕方ないことだと思います。

ここでセキュリティ担当が戦えないとどうなるでしょうか。

「無理」「やりたくない」等の声に振り回されて推進すべきセキュリティ対策はいつまでも進みません。

組織のセキュリティは向上せず、セキュリティ担当の評価は下がり、事案が起きると責められる負のスパイラルに陥ります。

そうならないためにもセキュリティ担当は戦わねばならず、少なくとも負けてはならないのです。

勝敗とは何か

「負けてはならない」と書きましたが、勝ち負けとは何でしょうか。

本質的には勝ち負けという表現は適切ではなく「ビジネスにとって合理的な判断に至るかどうか」が全てです。

とはいえ、ちょっと抽象的です。

セキュリティ担当にとってビジネス観点を踏まえても譲れないものがあり戦う場合、以下が目指すべき「勝ち」の形だと思います。

• 相手が納得感を持ち、自分の足で改善の道を歩んでくれること
• セキュリティはやっぱり軽視できないな…と思ってもらえること
• 次はセキュリティ担当に相談しようと思ってもらえること

決して、何が何でもセキュリティ担当の言いなりにさせることではないです。そういう勝ちにこだわっても長期的にはマイナスでしかないです。

逆に「負け」とは、組織にとって最適でない方向に発言力や政治力で押し切られることだと思います。

許容できないリスクにも関わらず目を瞑るとか、本来の責任分担でない形で仕事を押し付けられるなどです。

戦った末、セキュリティ担当が間違っており相手の正しさを認める結果もあります。

言い合いという意味では敗北かもしれませんが、合理的な判断に至ったのであれば両者Win-Winと前向きに捉えて良いと思います。

ここから負けないための戦い方を3つのパターンに分解していきます。

併記しているパーセンテージは、セキュリティ担当がコミュニケーションにかける体力のうち何割くらいをそのパターンにかけるべきかを感覚的に表しています（もちろん組織によります）。

パターン1．戦闘回避(95%)

戦い方と言いながら、いきなり戦わない話です。

戦うことが目的ではないので「戦わずして勝つ」が理想だし、極力そう仕向けるべきです。

そのためにセキュリティ担当がすべき努力は、大きく4つあると思います。

1. ルールを理解する
2. 足りないルールを作る
3. ルールを浸透させる
4. 信頼関係を構築する

1. ルールを理解する

ルールは、戦わないための、あるいは戦わざるを得ない時に自分が踏ん張るための土台です。

細分化すると以下が挙げられます。

(1) セキュリティ担当に与えられた権限の理解

(2) 各関係者が負う役割と責任範囲の理解

(3) リスクマネジメントの考え方の理解

(4) 自組織のセキュリティ方針や要件の理解

要は、なぜ・誰が・何をせねばならないのか です。

何となくの理解ではなく、特に(1)(2)は各組織が定める業務基準や職務権限といった強制力のあるソースを押さえることがポイントかと思います。

2. 足りないルールを作る

１のような公式文書やルールが未整備の場合はどうするのでしょうか。

その場合はまだ戦いは早く、土台の整備が先決です。

例えば、セキュリティ戦略を立てたとして、それは経営層と合意して組織全体で取り組む位置づけになっているでしょうか。

セキュリティ要件を定めるだけでなく、それに沿わねばならないよう業務プロセスに組み込めているでしょうか。

インシデントレスポンスの際に、セキュリティ担当が各システム担当にログの提出やシステムの停止を指示できる権限を持っているでしょうか。

１や２が無いと単なる「お願い」になってしまい、無視されるか、戦ってもアッサリ負けて終わります。

そんな不毛な負け戦をする前に経営層と調整して土台を整える必要があります。

3. ルールを浸透させる

３はここまでに整えたルールの教育です。

システム担当者が自分が負う責任範囲や守るべきルールを事前に知っていたら、無用な戦いは避けられます。

4. 信頼関係を構築する

一般論として、良好な人間関係から争いは生まれにくいです。

日々大量の相談が寄せられても、前向きに、早く、丁寧に、分かりやすく対応する。

相手が真に困っている時には、権限や責任範囲を超えてお助けする。

セキュリティの管理や運用プロセスについて課題提起や指摘を頂いた場合は、しっかり受け止めて素早く改善する。

セキュリティ担当の要求事項は現場に負担をかけることばかりなので、少なくともセキュリティ担当が全力で支援する姿勢を日頃から見せないと心情的な理解を得られません。

また、宴席、タバコミュニケーション、どんな方法でも仲良くなっておくに越したことはないです。

この後のパターン２に入ってしまった場合でも、お互い相手を知っているのと知らないのではスタートラインが大違いです。

パターン2. 正面衝突(4%)

今回の主題です。

パターン１の活動がしっかりできていると、大半の戦いは生まれずに済み、衝突が生じても冷静な話し合いで解決できます。

それでも戦わねばならない時があります。

具体的には、相手との衝突においてセキュリティ担当が真摯な対応をしてもなお相手にも譲れない事情があり、それを力押しされた場合です。

「戦わずして勝つ」が最良ですが、こうなったら戦うしかありません。

冷静な話し合いの段階は過ぎ（あるいはすっ飛ばして）、相手は苛立ちを露わに自分の考えをまくし立ててきます。話はあちらこちらに飛ぼうとします。

そんな中、あくまで冷静に以下の4つを守ります。

1. 相手が噛みつく真因を見極める
2. 自分が違和感を持つ根源を見失わない
3. 曖昧な情報をそのままにしない
4. オーバーキルな一言を付け足さない

今回は最重要の１を掘り下げます。

ここを見誤ると、永遠にかみ合わない論議になります。

噛みつく理由は様々ですが、例として以下を挙げてみました。

• セキュリティ担当からの要求事項に納得がいかない

• 要求事項の必要性は分かっているがダメ元で突撃している

• 何も分かっておらず、ただ強気なだけ

納得がいかないケースは少し注意が必要です。

というのも、ここまでで既にセキュリティ担当はパターン１の努力をしているはずであり、それでも相手は納得していない状況なのです。その理由を掘り下げる必要があります。

理由は様々ですが、「なんで自分がやらなきゃダメなんだ」的な役割面の理由であれば、パターン１の（１）（２）に挙げた役割分担や責任論の目線あわせで話が終わる場合があります。

あるいは、セキュリティ担当の要求に対して「やらねばならない総論的な理由は分かるけど、技術的に考えて本当に必要か納得感がない」というケースもあります。そんなことしなくてもXXで守れてるはずじゃん。みたいな考えです。

ここでパターン１の（１）～（４）を説明してもあまり効果はありません。

この場合は、技術的にリスクがあることを納得してもらう必要があるため、相手が問題ないと主張する対策に対してどんな迂回方法があるのか、攻撃者目線での手法や他社での攻撃事例を元に説明する必要があります。

前回の記事の「1. ITとセキュリティの技術に関するスキル」が必要になる場面です。（私も修行中）

どちらのケースにしても「Why」「What」の理解が重要であり、そこが腹落ちすると一気にトーンダウンしてくれることが多いです。

ダメ元突撃ケースは、一見「何言ってんだこいつ」と感じがちですが、そこにも突撃してくる理由があります。

繁忙度が高いチームメンバをどうにかして守りたい管理職とか、背後に強烈な反対意見を持つ権力者によって板挟みになっているとかです。

その人たちはやむにやまれぬ事情から突撃してきているので、「Why」「What」の説明だけでは合意できません。

こちらの主張の正当性や必要性はしっかりと理解してもらいつつ、最後は負担の少ない解決策や妥協点、逃げ道を示せると、一気に感謝＆協調モードに切り替わります。

多分、本来は責任感ある人達なので、戦いながらも寄り添う考えが必要です。

妥協点や逃げ道とは、本来は相手がやるべきこと（例えば予算の確保）であっても一部はセキュリティ担当が引き受けるとか、本来の期限を超過することについて上位層への説明を一緒に行うといったものです。

言い負かしたら後ヨロシクではなく、最後は味方として一緒に進める形にすることが未来の信頼に繋がると思います。

経験上、こういうやりとりを経た相手は、雨降って地固まる的に今まで以上に頼ってくれるようになることが多いです。

最後の何も分かっていない強気ケースは、視野の狭い若手が空回り気味に突っ込んでくることが多く、見方を変えれば自分の目先の職務を果たすために必死なだけだったりします。

こうした相手には基礎的な部分からしっかり説明すると、途中から熱心に学び始めることが多いです。

それではダメで永遠に噛みついてくる場合（これは若手ではなく中堅以上管理職未満に多いのですが）は、後述のパターン３に進みます。

パターン3. 排除(1%未満)

パターン２を経てもなお、合理的な理由なく噛みついてくる人もいます。

この人達は、ディスカッションしようが何しようが根本的にやる気がないので延々と理屈にならない理屈を述べ続けますし、都合が悪くなると逃げます。

仮にディスカッションの場で一旦の合意に持ち込んでも、やらされ仕事として最小限しかやろうとしないし、何かあるとすぐ他人に押し付けようとします。徹底的に後ろ向きです。

このタイプは向き合うだけ時間の無駄なので視界から排除します。

つまり、当人との戦いに時間を割かずにその上位者との戦いに持ち込みます。

もちろん、最初から無視するのは無礼ですから、パターン２と同じくこちらの主張を、メールなど証拠に残しつつ丁寧に伝えます。

その上で、ダメそうだったら見切りをつけてその人の上位者と会話します。

この際、上位者が選手交代とばかりに戦い始めることも珍しくないのですが、その場合はパターン２で落ち着くことが通常です。

上位者に納得してもらったら、そのタスクは「上位者の責任として」最後までやってもらいます。

さいごに

今回書いたのはまだまだ一部であって、更に炎上した場合の対処方法、１：１ではなく三つ巴の戦いの抑え方、どうしても力関係的に負けた時の最後の護身術など色々あります。

でも、これ以上書くと嫌われそうなので一旦やめときます（もう手遅れか）。

冒頭に「病むセキュリティ担当を減らせれば」と書きましたが、こんな振る舞いを最初から出来る人はいません。

私も沢山戦って、悔しい思いをして、時間をかけて身につけてきたわけですし、これが正しいのかどうかも分かりません。

ですので、若手が戦いの場に巻き込まれたら、できるだけリーダーや管理職の方は「成長のため」とか言って後ろで腕を組んでないで一緒に（というか前に出て）戦ってあげてほしいなと思います。

---

これまでの記事一覧はこちら