CSIRT小説「側線」 第7話：協調領域（前編）：CSIRT小説「側線」（2/2 ページ）

[笹木野ミドリ，ITmedia]

　懐柔は、CSIRTの中「ノーティフィケーション担当」をしている。ノーティフィケーション担当とは、PoC（Point of Contact）などを通じて入手した情報を会社の各部門に情報発信する役目だ。PoCと違うのは、情報発信だけでなく、その情報から発生する作業の各部門への依頼や、部門で発生した要請のCSIRT内への取り次ぎを行い、場合によっては部門との間で作業の実施可否を調整することもある点だ。

　例えば、脆弱（ぜいじゃく）性情報が発見されたら、部門にその内容とリスクを説明し、適切な対応を要請することがある。この時、相手が素直に受け入れてくれれば良いが、大抵は「この忙しい時にできない」「コストがかかるためできない」「スケジュール的にいまは取り掛かれない」など、難色を示すのが常だ。そうした場合に、妥協案の提案も含めて調整し、リスクを下げるのが懐柔の仕事だ。ITのテクニカルなスキルではなく、論理的かつ相手の感情にも訴えられるような対人スキルが要求される。

　――啓子は浮かない顔で返事した。

　「ああ、善（ぜん）さん、もう、ぜーんぶ、うまくいかなくって」

　「どういうこと？　よかったら聞かせて」

懐柔善成：通称「仏の善（ぜん）さん」。理詰めで話もできるのだが、普段は情緒的に折衝する。落としどころを見つけるのもうまい。

　啓子は同じように対人の苦労をしてきたであろう懐柔に語り始めた。

　「先月、不審なメールが起因で、いくつかの端末が使えなくなったことがありましたよね。私はメールの訓練もしているんですけど、実はそれ以外にセキュリティに関するベーシックなリテラシー教育も全従業員に行っているんです。もちろん、全部を対面ではできないので、教育コンテンツを作って、社内掲示板からオンラインでいつでも受講できるように工夫をして」

　「知ってるよ。それが何か？」

　「クレームがよく来るんです。『この忙しい時に教育ばっかりバンバン投げてよこすな。いい加減にしろ』って」

　「確かに。教育といっても、セキュリティだけではなく、今どきはパワハラセクハラ防止やコンプライアンスとか、社員満足度調査とか、いろいろ来ているからなあ」

　懐柔がつぶやく。

　「確かに、従業員からすれば、次から次へと切れ間なく教育受講依頼が来て、いい加減にしろと思う気持ちも分からないではないわ」

　啓子が諦めたように言い、続ける。

　「そもそも、教育プログラムの発信者がそれぞれ違うのよ。セキュリティ担当だけじゃなく、総務部とか法務部とか、CSR部とか。年間計画を通して、それぞれ同時期にかぶらないように調整しているんだけど、逆にそのせいで年がら年中、教育依頼をしているみたいに見えるわ」

---

　懐柔が言う。

　「そんなんじゃ、教育プログラムの受講率も悪いんじゃない？」

　啓子が答える。

　「だんだん下がってきているわ。始めたころは物珍しさもあって、結構良かったんだけど。もっとも教育の方針が基礎的なリテラシーを教える内容を繰り返す、というものなので、何度も受けている人には飽きられているかもしれないと思う」

　なるほど、という顔で懐柔が言う。

　「強制的な感じになってしまうけど、今のセキュリティ事情を鑑みて、『全従業員の受講を目指すために、受講率を各部門の年間目標に設定して成績と連動させた』という他社事例もある。ただし、そうすると受講そのものが目的になってしまい、効果の程度は分からないと言っていたが」

　懐柔が続ける。

　「それと、教育される側にも何かメリット――“楽しいこと”や“うれしいこと”がないと、モチベーションが維持できないな。俺が部門と調整する際には、まず相手が何を思ってこの場に臨んでいるかを考えるぞ。相手が望む先を読み、そこを妥協点としてまわりから固めて、そこに落としていく。相手も『それならば仕方ない』と、にっこり納得だ」

　――啓子は、「さすがは仏の善さん、だてに部門調整を長年続けているわけではないわ」と思い、聞いてみた。

　「メリットは分かりますけど、楽しいことやうれしいことって、例えばどんな……？」

【第7話（後編）へ続く】

CSIRT小説「側線」　人物相関図

イラスト：にしかわたく