ある顧客から、「運用部門の査定は、何もなければ±0(プラマイゼロ)、何かあれば-(マイナス)。査定が+(プラス)になることはない」という話を聞いたことがある。多くの組織の実情を捉えた言葉ではないかと思う。
セキュリティ対策の場合はさらに極端だ。何もなければなかったで「意味がない、予算の無駄遣い(どうせ何も起きないのだから)」、事故が起きた場合も「意味がない、予算の無駄遣い(何も効果/成果はなかったのだから)」ということになる。
このように何も評価の対象にならない状況では、必然的に対策がおざなりとなり、効果的なセキュリティ対策を実施することは難しい。
こうした状況のより根源的な問題として、自分の関わる仕事の重要性に対する認識と責任の所在が不明瞭な組織運営、というものを背景として挙げることができる。
知人の部下が事業の存続にかかわるようなミスをした際に「十分な給与をもらっていないのだから、悪いのは会社であり、自分の責任ではない」という発言をしたそうだ。筆者も、部下から「マネージャにしてくれればちゃんとした仕事ができる。成果が出ないのはあなた(筆者の人事政策上)の問題であり、私の責任ではない」と、言われたことがある。
このようなやり取りを考えると、どうも運用担当者は自分の仕事を「失敗しても影響のない仕事」としてとらえ、自らの価値を貶めているのではないかと感じてしまう。
筆者は、2年前にIT企画室長(CIO)という職責に就き、初めて本格的に運用にかかわるようになった。トラブルが起きた際の影響の大きさと責任の重さを実感し、トラブルを回避し、被害を最小限にするために要求される技術レベルの高さと幅広さを実感した。まさしく、「悲観的に準備し、楽観的に実施」する必要があった。
しかし、ここで紹介した事例では、管理側も担当者側にも、運用に要求される技術レベルの高さと責任の重さが感じられない。このような環境では、チームとして会社や社会に対して責任のある仕事をしているという実感が持てず「悲観的に準備し、楽観的に実施する」という言葉が活きることはない。
直接ITにかかわりのない人から見れば、ヘルプデスクもネットワーク管理者もサーバ管理者も同じ仕事に見える。しかし、実際に運用を行っている立場では、これらの業務は明らかに異なる仕事であり、また異なる文化を持っている。
事例でも紹介した公開Webサイトに対する不正アクセスは、ネットワーク管理者、サーバ管理者、データベース管理者、Webアプリケーション開発者の間で、意思の疎通が行われていないことが1つの要因となっている。
関係者間で意思の疎通が必要なことは明らかだ。だがそれは、一杯飲みに行けば解決するというものではなく、また、上司が指示を出せば解決するというものでもない。
筆者は、そもそも意思の疎通を図るための正解はないと考えているが、参考までに、2つほどアプローチを紹介する。
日本には馴染みにくいかも知れないが、こんなやり方がある。
たしか、G.M.ワインバーグの本だったと思うが、品質管理チームがおそろいの黒いユニフォームを着て作業をするようになったところ、チームの一体感と存在感が増し、成果が上がるようになったという。
また、マイクロソフト日本法人がセキュリティチームを立ち上げる際には「ねぇ、パッチあてた?」というキャッチフレーズの入ったポロシャツを用意した。チームであることを確認し、やるべきこと(スローガン)を共有するためには、このような作戦も有効だと思う。もしかすると、多少の遊び心を共有することが意思の疎通を図るためのコツなのかもしれない。
筆者が社内でチームを率いる場合は、ミーティングを活用する。初めのうちは毎日、慣れてきても最低週に一度はミーティングを行う。ただし、このミーティングは、何かを決めることを目的としたミーティングではない。
何かが決まったとすれば、それは結果である。ミーティングを繰り返すことにより、参加者が共通の利害関係を持った関係者であることを明確にし、それぞれが業務の内容を報告する際に、業務の内容、抱えている問題点、優秀なノウハウ、共通のマイルストーンなどを共有することになる。
実際にこれをやってみると、リーダーが誰であるかを明確にするとともに、リーダーにどのような責任が求められているかを知ることにもなる。厳しい面もあるが、チームもリーダー個人も対外に成長を促す効果もあると考えている。
最後に単純なコツをひとつだけ。メンバーを安易に拡大しないことだ。特に、傍観者をこのミーティングに入れるとうまくいかない。当事者能力のあるメンバーだけで実施するのがコツではないだろうか。
■筆者略歴
|
Copyright © ITmedia, Inc. All Rights Reserved.