働き方改革は、経営層の固定観念を壊す「攻城戦」 君たちはその「参謀」になれ：エバンジェリスト澤氏が伝える「意識改革」（3/4 ページ）

[柴田克己，ITmedia]

経営者が恐れる「セキュリティリスク」の本質を知る

　外堀が埋まれば、城内へと軍を進められる。改革の必要性を示した次は、具体的な取り組みを進めるよう説得するのが必要だ。澤氏は、この段階で必要なのは「納得感」だと話す。しかし、経営層にとって、この納得感の醸成を阻害する一番の要因は「セキュリティ」だという。

　「ITの知識が少ない人ほど、セキュリティリスクを過剰に恐れ、結果的に無用なルールを増やすことにつながります。納得感を持ってもらうためには、ITに詳しい人材がセキュリティを十分に担保をする必要があるのです」（澤氏）

　経営層が考えるセキュリティリスクは、ITエキスパートが具体的にイメージするようなデジタルセキュリティの文脈とは若干異なる。彼らが最も恐れるのは「説明責任が果たせない」リスクだという。

　「経営層にとって最も恐ろしいのは、問題が生じたときに、正確な状況をステークホルダーに説明できないこと。ならば、そうした状況にならないような仕組みを環境に組み込むことで、納得感を醸成できます」（澤氏）

　そのために必要なのは、「人は失敗する」ことを前提とした環境作りだ。「多くの日本企業に失敗を許さない文化が根強く残っている」と澤氏は強調する。失敗を許さない組織では、従業員は叱責を恐れて失敗を隠し、さらに失敗を恐れるあまり、挑戦をしなくなる。隠された失敗は、経営陣にとって大きなリスクとなり、チャレンジをしなくなった組織は徐々に活気を失い、死に至る。

　「人は失敗することを前提に、失敗があっても致命傷にならないようにシステムをデザインしておくことが重要でしょう。その具体的な方法の1つが『自動化』です。作業が自動化されていれば、ミスが起きたときに個人への責任追及ではなく、ミスしたシステムを直すことが最優先事項となります」（澤氏）

　自動化と併せて、システムのセキュリティを担保する技術として、澤氏は「ID管理」を挙げた。

　「誰かが自宅に入ろうとしたとき、その人が誰か、家に入っていいのかの2つが分かればセキュリティの管理は可能でしょう。逆に、入った相手が誰だか分からない場合に、それは状況説明ができないインシデントになり得るわけです。システムにおいても同様に、『誰』という情報を特定可能なID管理を徹底することが、セキュリティを担保する上で最も重要だと言えます」（澤氏）

　こうした考え方は、Microsoftでも徹底されているという。同社では営業担当者が営業活動の一環として、澤氏が所属するテクノロジーセンターのスタッフにセッションを依頼することがある。そのセッション予約は「Power BI」を使ったレポーティングシステムに自動的に集計され、スタッフの成果レポートに反映される仕組みになっているそうだ。

　また、レポートの元となるデータを入力した人物については、Azure ADによるID認証で管理されており、入力作業やスケジュール調整にかかるコストだけでなく、不正入力や作業ミスが起こる余地も最小限に抑えているという。