「私のおかげでこの部署は成り立ってるんだ!」。普通、こんな“仕事頑張ってるアピール”をすると職場で嫌われる。多くのエンジニアは「人事評価の時ならともかく、普段から手柄を自慢するなんて恥ずかしい」と感じているだろう。
しかし、こうした“普通の感覚”で仕事をしてはいけない職場もある。セキュリティ担当チームだ。セキュリティ担当チームは「対策をうまくやるほど、評価が下がる」という全く報われない職場環境にある。
「セキュリティは企業にとってのインフラだが、生活インフラの水道や電気と違って手触り感が伴うものではない。何も起こらない状況が続くと、『何もしていない』と周囲から見られてしまい、チームの人数や予算を減らされたりする」。日本マイクロソフトの蔵本雄一マイクロソフトテクノロジーセンターセキュリティアーキテクトは、コンサルティングを通じて見てきた多くのセキュリティの現場の実態をこう話す。
もちろん、セキュリティ担当チームは「何も起こらない」ようにするのが仕事だ。何も起こっていないなら、それは「いい仕事」をしているからにほかならない。ただ“普通の感覚”の職場では、理不尽なことに「いい仕事」をすればするほど評価が下がってしまう。ユーザー企業のセキュリティ担当者の中には「たまに事故を起こすと評価が上がる」と冗談めしせて話す人もいるほどだ。
日々の活動リポートを経営層まで届ける
理不尽ならば打開するしかない。どうすればいいのか。蔵本氏は「セキュリティ関係者の多くが、日々の活動をアピールする意識が不十分なのではないか」と問題提起する。
導入済みの対策が攻撃をブロックした、マルウエアが侵入したが感染の拡大を自分たちが未然に防いだ、新システム導入のためにリスクアセスメントを実施した――。こうした日々の活動を「経営層まで届くようにレポートすべき」(蔵本氏)というのだ。報告会やリポートの機会を作るのも、セキュリティ担当チームの仕事であると蔵本氏は主張する。